Patches? Wir haben genug von den #!!-**%%$# Patches!
1. Juli 2008 um 09:24
Unternehmen kommen mit der Patchflut nicht mit.
Unternehmen kommen mit der Patchflut nicht mit.
Unternehmen weltweit sind einer kontinuierlichen Flut von Updates und Patches ausgesetzt: Betriebssysteme, Office-Anwendungen, Browser, Medienplayer, Java, Acrobat-Reader, Flash usw. usf.: Alles will dauernd gepatcht werden, und viele der Updates wären für die Sicherheit wichtig. Aber eine Mehrheit der Unternehmen hinkt bei ihrer Anwendung hinterher oder lässt sie teilweise aus.
Der Security-Softwarehersteller Sophos nahm in einer aktuellen Studie weltweit 583 Unternehmens-PCs über 40 Tage unter die Lupe. Obwohl dabei nur nach von Microsoft stammenden Updates gesucht wurde, fehlte gemäss Sophos auf 63 Prozent dieser Clients einer oder mehrere sicherheitsrelevante Updates. Am häufigsten fehlen Windows-Patches, gefolgt von Office-, IE-, Media-Player und Flash-Player-Patches.
Besser steht es bei der Anti-Malware-Software: 100 Prozent der untersuchten PCs waren damit ausgerüstet, und bei 85 Prozent war sie auf dem neusten Stand (Bei 10 Prozent war sie nicht ganz aktuell und bei 5 Prozent ganz deaktiviert.) Auch eine Client-Firewall ist auf fast allen PCs vorhanden, in genau der Hälfte der Fälle war sie allerdings nicht aktiv.
Abnützungskrieg
Sophos erklärt, dass das Bewusstsein über die Wichtigkeit der Endpoint-Security bei vielen Unternehmen noch zu wenig entwickelt sei: PCs mit ungepatchten Sicherheitslöchern seien "tief hängende Früchte" für Cyberkriminelle.
Im Fall der nichtangewendeten Patches muss man die Unternehmen allerdings auch in Schutz nehmen: Sachzwänge spielen dabei eine grosse Rolle. Der bekannte australische Sicherheitsexperte Roger Thompson erklärte dazu gegenüber 'ITjungle': "Microsoft macht zwar einen guten Job beim Testen der Kompatibilität seiner Patches, aber sie können sie nicht mit allen Anwendungen testen." Microsoft bringe manchmal zehn oder mehr Patches in einem Monat heraus, und vor allem für Unternehmen mit vielen betriebskritischen Spezialapplikationen sei die Last der Kompatibilitätstests oft überwältigend. "Unternehmen versuchen darum oft, nur die wichtigsten Patches herauszupicken. Aber für viele ist es ein Abnützungskampf, der sich Monat für Monat wiederholt." (Hans Jörg Maron)
(Bild: ninjapoodles, Creative Commons)
Loading
Bund will zentrales Tool für das Information Security Management
Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.
Podcast: Wird Justitia 4.0 zum neuen EPD?
Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim E-Patientendossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechtsgrundlage dafür bestand.
Die USA fahren eine neue Cyberstrategie
Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.
VW fährt Produktion nach IT-Problemen wieder hoch
Seit Mittwoch standen mehrere Werke von Volkswagen wegen eines Informatikproblems still. Einige Systeme könnten laut VW noch immer beeinträchtigt sein.