News zu Servicewelten

Tipps und Tricks zum Patchen von Da­ten­ban­ken: Ob es wirklich nötig ist, jeden Patch einzuspielen

„Muss ich denn wirklich jeden (Datenbank) Patch ein­spie­len?“ Um diese Frage zu be­ant­wor­ten, muss als erstes dif­fe­ren­ziert werden, ob es sich beim Patch um ein si­cher­heits­re­le­van­tes oder ein funk­tio­na­les Update handelt. Bei einem funk­tio­na­len Update (Funktions- oder Sta­bi­li­täts­ver­bes­se­run­gen), musst du letztlich in­di­vi­du­ell für dich be­trach­ten, ob und wie du die ent­spre­chen­de Funktion nutzt und ob du dich etwaigen Be­ein­träch­ti­gun­gen aus­ge­setzt siehst. Diese Patches sind meist optional.

Bei si­cher­heits­re­le­van­ten Patches geht es ei­gent­lich gar nicht mehr wirklich um die Frage, ob du diese ein­spie­len musst, sondern vielmehr darum, wie schnell. Das wird wohl jeder un­ein­ge­schränkt be­stä­ti­gen, der schon mal das Vergnügen hatte, sich mit kom­pro­mit­tier­ten Systemen aus­ein­an­der­zu­set­zen und diese ggf. wiederherzustellen.

Zugegeben, das Patchen von Systemen ist sicher nicht die span­nends­te Aufgabe für dich als IT-Ver­ant­wort­li­chen. Aber es ist nun mal eine durchaus sehr wichtige Aufgabe und sollte als Teil des ope­ra­ti­ven Betriebes eine feste Rolle in den Abläufen der IT spielen. Wir haben bei unserem Projekt- und Service Delivery Manager Kai nach­ge­fragt, was er zu dem Thema meint. Er erzählt, wie die Ein­stel­lung seiner Kunden dies­be­züg­lich ist und welche Vor­ge­hens­wei­sen sich in der Praxis bewährt haben.

kai_lindner_modified_3

Kai
Projekt- und Service Delivery
Manager bei ASPICON

Patch-Policies als Teil des Risikomanagements

“Si­cher­heits­re­le­van­te (Datenbank) Patches müssen – wenn sie deine ein­ge­setz­ten Produkte betreffen – zeitnah ein­ge­spielt werden, Punkt. Das ist al­ter­na­tiv­los hin­sicht­lich Sta­bi­li­tät und Si­cher­heit der Systeme.“, so Kai auf die oben gestellte Frage. In der Praxis haben sich Patch-Policies als Teil des Ri­si­ko­ma­nage­ments bewährt: “Einige unserer Kunden haben für das Ein­spie­len von Patches spezielle Policies fest­ge­legt. Diese geben bei­spiels­wei­se vor, dass wir die Ein­spie­lung in de­fi­nier­ten War­tungs­fens­tern vornehmen oder aber mit einer An­kün­di­gung sowie einer de­fi­nier­ten Vor­lauf­zeit direkt patchen sollen. Außerdem kann definiert sein, dass der Patch zunächst im Test­sys­tem ein­ge­spielt werden muss, bevor die Ein­spie­lung im Pro­duk­tiv­sys­tem erfolgt. Dies gibt dem Kunden die Chance, seine Ap­pli­ka­ti­on zunächst zu prüfen. In der Regel liegt dann zwischen Ein­spie­lung in Test- und Pro­duk­ti­ons­um­ge­bung eine Woche Zeit­ver­satz.“, sagt Kai. Aus­rei­chend Zeit also, um die Systeme best­mög­lich zu prüfen. Und in seltenen Fällen kommt es vor, dass ein Her­stel­ler einen Patch auch mal zu­rück­zieht, weil Kunden berichten, dass dieser Probleme ver­ur­sacht. Das geschieht dann für ge­wöhn­lich auch innerhalb einer Woche.

Si­cher­heits­re­le­van­te Patches müssen zeitnah
ein­ge­spielt werden, Punkt. 

Darüber hinaus geben wir unseren Kunden die Mög­lich­keit, sich auf einer ASPICON Patch­lis­te eintragen zu lassen. Diese Kunden in­for­mie­ren wir dann in­di­vi­du­ell, wenn si­cher­heits­re­le­van­te Updates für deren Da­ten­bank­pro­duk­te zur Verfügung stehen – auch zwischen den ohnehin geplanten Patches. “Die Inhalte der Patches werden in der Regel von unseren Tech­ni­kern geprüft und mit den ein­ge­setz­ten Produkten und Modulen unserer Kunden ab­ge­gli­chen. Somit können wir die Kunden zeitnah und proaktiv in­for­mie­ren, sobald ein re­le­van­tes Update für ihre Datenbank verfügbar ist.”

Gute Vor­be­rei­tung ist alles

Laut Kai ist zu spüren, dass das Thema Patchen mehr und mehr in den Fokus unserer Kunden rückt. Meist ist es auch nicht mehr nur das Augenmerk der IT-Abteilung, sondern immer öfter auch eine Thematik, die in der Ma­nage­ment­ebe­ne Auf­merk­sam­keit genießt, denn schließ­lich handelt es sich um ein Si­cher­heits­ri­si­ko, welches die Hand­lungs­fä­hig­keit einer ganzen Firma aufs Spiel setzen könnte. „Es sind ggf. An­pas­sun­gen im Test­sys­tem nötig, Downtimes sowie Termine müssen ab­ge­stimmt und Kosten frei­ge­ge­ben werden. Je besser diese Punkte in der Vor­be­rei­tung geklärt sind, desto weniger kommt es zu Stör­fak­to­ren. Ergo: Je rou­ti­nier­ter das Patchen abläuft, umso weniger Aufwand ver­ur­sacht es.“, gibt Kai aus seiner Erfahrung der letzten Jahre preis.

Bei unseren Kunden mit Con­sul­ting­pa­ke­ten, Fully Managed Service und Ab­rech­nung über Service Desk ist zumindest der kauf­män­ni­sche Part für ge­wöhn­lich abgedeckt. Beim Großteil unserer Kunden kennen wir außerdem die An­for­de­run­gen und Zeit­fens­ter für Updates. Dem­entspre­chend können wir passende Termine anbieten. Po­ten­ti­el­le Downtimes sind in der Regel nahezu gleich, was den Prozess vor­aus­schau­end gut planbar macht.

Je rou­ti­nier­ter das Patchen abläuft, desto weniger
Aufwand ver­ur­sacht es. 

Die Prio­ri­sie­rung wird weiter zunehmen

Auf die Frage, ob es eine spürbare Ver­än­de­rung der Prio­ri­sie­rung von Si­cher­heits­up­dates innerhalb der ver­gan­ge­nen Jahre gibt, sagt Kai: „Ja, definitiv! Noch vor zwei Jahren wurden Si­cher­heits­patches als weniger wichtig angesehen – nach dem Motto: „Es wird schon nichts passieren“. Die in letzter Zeit ständig präsenten Meldungen zu diversen Si­cher­heits­lü­cken und An­griffs­sze­na­ri­en führen de facto zu einer stärkeren Sen­si­bi­li­sie­rung der IT-Ver­ant­wort­li­chen und der Lei­tungs­ebe­nen. Ausreden wie „Wir haben kein Budget / keine Zeit“ oder „Wir können uns keine Downtimes leisten“ oder „Das haben wir schon immer so gemacht“, werden glück­li­cher­wei­se deutlich weniger.”

Darüber hinaus ist das Thema Patching ein ele­men­ta­rer Be­stand­teil der An­for­de­run­gen des BSI für den IT Grund­schutz. Vor allem für Un­ter­neh­men aus dem KRITIS-Umfeld gilt dies in be­son­de­rem Maße. “Klar kostet das Patchen von Systemen Zeit und Geld. Aber im Falle einer Kom­pro­mit­tie­rung in Ver­bin­dung mit dann meist noch viel längeren Downtimes, Pro­duk­ti­ons­aus­fäl­len oder gar Da­ten­ver­lust ist der Aufwand um ein Viel­fa­ches höher.”, sagt Kai abschließend.

Fazit

Wenn wir von si­cher­heits­re­le­van­ten (Datenbank) Patches sprechen, dann ist ganz klar zu sagen: Ja, jedes Update sollte ein­ge­spielt werden – und zwar zeitnah! Vor­aus­ge­setzt natürlich, dass deine ein­ge­setz­ten Produkte oder Module davon betroffen sind. Denn jede – wenn auch ver­meint­lich noch so kleine – Si­cher­heits­lü­cke kann dazu führen, dass du dich, re­spek­ti­ve deine Systeme, an­greif­bar machst. Wir empfehlen unseren Kunden die Auf­stel­lung eines Patch­plans, damit das Thema nicht immer wieder von Neuem bewertet werden muss. Außerdem sollte das Patchen in den ope­ra­ti­ven Ablauf ein­ge­bun­den werden, um zu einer gewissen Routine zu kommen. Denn (siehe oben): Je rou­ti­nier­ter das Patchen abläuft, desto weniger Aufwand ver­ur­sacht es.

Als unser Kunde hast du übrigens die Mög­lich­keit, dich auf unserer Patch­lis­te eintragen zu lassen. Dann in­for­mie­ren wir dich künftig immer recht­zei­tig und proaktiv vor den Terminen und finden gemeinsam mit dir einen Weg, um deine Systeme re­gel­mä­ßig auf den aktuellen Stand zu bringen – selbst­ver­ständ­lich unter Be­rück­sich­ti­gung deiner in­di­vi­du­el­len Rah­men­be­din­gun­gen. Natürlich sind wir dir auch gern bei der Er­ar­bei­tung der Patch­stra­te­gie behilflich.

Patch-Hotline: +49.371.909515–100

Hier findest du weitere Infos zu den ver­gan­ge­nen und aktuellen Patch Updates aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email