Best Practices: Patch-Management für KMUs
Goldener Mittelweg
Mindestens einmal im Monat wird es für Windows-Administratoren stressig. Denn spätestens wenn Microsoft am zweiten Dienstag seine aktuelle Patch-Kollektion herausgibt, sollte man die Mikro-Updates entsprechend ihrer Dringlichkeit irgendwie auf die PCs der Anwender bringen. Dieser Beitrag zeigt Vorgehensweisen, die sich für kleine und mittelständische Unternehmen (KMU) bewährt haben.Bei dem Erscheinen eines neuen Patches steht ein Administrator grundsätzlich vor einem Dilemma: Handelt es sich um einen Sicherheits-Patch mit der Einstufung "kritisch", sollte er diesen natürlich so schnell wie möglich auf den betroffenen Rechnern im Unternehmen installieren. Doch gleichzeitig birgt jeder Patch die Gefahr, dass er i- auch wenn dies selten vorkommen - mehr Schaden anrichtet, als er nutzt. Denn wenn ein Rechner nach dem Patchen beispielsweise aufgrund unvorhergesehener Inkompatibilitäten nicht mehr startet, ist dem Anwender wenig gedient. Daher empfehlen Leitfäden wie ITIL, Patches nach Möglichkeit vor dem Rollout zunächst zu testen. Allerdings ist es für KMU utopisch, alle ITIL-Prozesse in ihrer vollen Breite und Tiefe umzusetzen. Hier ist der goldene Mittelweg zwischen empfohlenen Vorgehensweisen und pragmatischem Handeln gefragt.
WSUS-Einsatz
Um überhaupt kontrollieren zu können, welche Patches auf die Rechner der Anwender gelangen, sollte jeder Administrator eines Windows-Netzes unbedingt die Windows Server Update Services (WSUS) 3.0 installieren. Dort lässt sich festlegen, wann welche Patches von Microsoft für die Nutzer zum Update freigeben sind. Verzichtet ein Unternehmen auf den Einsatz der WSUS, erhalten die Anwender schlimmstenfalls gar keine Patches, etwa wenn sie Installationsdialoge einfach wegklicken.
Als nächstes empfiehlt es sich, eine Liste von Anwendungen zu erstellen, die für das eigene Unternehmen geschäftskritisch sind. Der Administrator sollte dann regelmäßig von sich aus prüfen, ob es für diese Applikationen Updates, Patches oder Service-Packs gibt. Hier können Newsletter oder RSS-Feeds der jeweiligen Hersteller die Holschuld etwas erleichtern. Das Betriebssystem der Arbeitsplatz-PCs ist dabei immer eine unternehmenskritische Anwendung, aber auch Treiber können unternehmenskritisch sein, zum Beispiel der Grafikkartentreiber für CAD.
Wenn möglich, vorher testen
Nach Möglichkeit sollte die IT-Abteilung alle Patches zunächst auf einem oder mehreren für das Unternehmen typischen Systemen testen. Geht dies bei besonders kritischen Patches aus Zeitgründen nicht, empfiehlt sich zumindest ein abteilungsweiser Rollout, um den potenziellen Schaden gering zu halten. Weniger kritische Patches können Administratoren sammeln und zu Installationspaketen zusammenfassen. Diese Pakete lassen sich dann in Ruhe testen, wenn gerade Zeit zur Verfügung steht. Anschließend kann WSUS oder das Client-Management-System die Pakete in der Nacht an die Clients verteilen.
Patches für Nicht-Microsoft-Anwendungen sollten IT-Verantwortliche nach Möglichkeit mit der Softwareverteilung einer Client-Management-Lösung ausbringen. Denn es ist besser, sich nicht auf die internen Update-Mechanismen zum Beispiel von Java oder Adobe Reader zu verlassen, sondern diese Auto-Updates auf den Clients nach Möglichkeit abzuschalten. Denn auch hier können Anwender die Updates dieser gutgemeinten Helferlein wegklicken. Oder sie rufen verunsichert den Helpdesk an, wenn sie nicht wissen, was die plötzlichen Meldungen über Sicherheitsrisiken bedeuten.
Wenn Administratoren die Wahl zwischen einem Patch und der Neuinstallation der gepatchten Anwendung haben, sollten sie den zweiten Weg wählen. Denn bei einer Erstinstallation der Anwendung beispielsweise auf neuen Rechnern ist es viel einfacher, dort das entsprechend aktuelle Software-Paket per Client-Management-Lösung auszurollen, als ein altes Paket und eine Reihe von Patch-Paketen in genau einzuhaltender Reihenfolge. Zudem ist auf diese Weise nur ein Paket zu packen.
Zuguterletzt: Jeder Administrator tut gut daran, den eigenen Vorgesetzten rechtzeitig über die Risiken für sein Unternehmen zu informieren, die entstehen, wenn er kritische Patches nicht zeitnah ausbringen kann. Dabei empfiehlt es sich darzulegen, wie viel Zeit pro Monat für das Patch-Management notwendig ist. Die Entscheidung über die Priorität des Patch-Managements innerhalb der gesamten IT-Administration ist eine Management-Entscheidung.
Der Autor auf LANline.de: sweber
Lesen Sie mehr zum Thema
