Security-Updates as a Service
Softwareaktualität delegieren
Sicherheit ist eigentlich Chefsache, gerade auch angesichts der Diskussionen um Prism und staatlich geförderte Cyberspionage. Dennoch lagern immer mehr kleine und mittlere Unternehmen ihre Sicherheit aus. Denn nicht immer ist der Eigenbetrieb die beste Lösung, manchmal ist der Fachmann die bessere Adresse. Dies verdeutlicht ein Blick auf die arbeitsintensive Sicherheitsdisziplin Software-Updating.Je komplexer und zahlreicher Software-Updates werden, desto mehr nimmt die Zahl der Sicherheitslücken zu, die allein durch nicht aktualisierte Software aufreißen. Softwareanbieter bieten zwar regelmäßige Updates an, doch nur wenige offerieren einen wirklichen Update-Dienst. Außerdem werden gerade sicherheitskritische Updates häufig außer der Reihe veröffentlicht und für ihr ordnungsgemäßes Installieren ist eine Einarbeitung nötig. Das Ergebnis sind große Update-Lücken, wie eine Auswertung von rund 200.000 Rechnern durch F-Secure im April 2013 belegte: Nur bei 13 Prozent der PC-Systeme in Unternehmen waren alle sicherheitskritischen Updates installiert. Der Auswertung zufolge hatten 54 Prozent der Rechner Lücken bei Java-Updates, 36 Prozent der Systeme hatten keinen vollständig aktuellen Adobe Flash Player. Bei 23 Prozent bestand eine Verwundbarkeit in Windows Common Controls, was die Remote-Ausführung von Schadcodes erlaubt. Schon beim Software-Updating kann eine SaaS-Lösung (Software as a Service) daher enorme Hilfe leisten. Wichtig ist dabei eine möglichst weitgehende Automatisierung des Update-Prozesses, die dem Dienstleister aber zugleich die Möglichkeit einer individuellen, am Netz des Kunden orientierten Steuerung lässt. Voraussetzung eines solchen Software-Updating-Services ist das Sammeln der Updates und deren Bewertung nach ihrer Sicherheitsrelevanz. Eine anspruchsvolle Lösung unterstützt die verschiedensten Betriebssystemumgebungen, Browser, Geschäfts-, SQL- und Dotnet-Anwendungen, Virtualisierungslösungen, E-Mail-Server-Systeme, Directx-Umgebungen, Java Runtime Environments bis hin zu Detaillösungen wie Winrar oder Winzip. Ein Softwarescan priorisiert alle verfügbaren Versionen und unterscheidet zwischen sicherheitskritischen, wichtigen und weniger wichtigen Updates. Ein automatisch oder händisch angesetzter Scan präft dabei alle Systeme im Unternehmensnetz nach dem Stand der Softwareaktualisierung. Nach der Auswertung der Scan-Ergebnisse triggert der Dienstleister die entsprechenden Updates an. Dabei lässt sich auf Wunsch die automatische Aktualisierung sofort oder an einem festgesetzten regelmäßigen Termin durchführen. Eine automatische Dienstleistung kann auch nur den wirklich sicherheitsrelevanten Updates vorbehalten bleiben. Wichtig ist eine Überprüfung der Update-Funktionen. Spezielle Probleme werden im Rahmen einer Problemlösungshilfe angezeigt. Update-Lösungen geben so zum Beispiel an, ob eine fehlerhafte Verbindung mit dem Netz, einem Proxy oder der Hersteller-Website Ursache war und verweist auf Client-Protokolle, falls eine Installation nicht gelang. Auch bei der Installation fehlender Software-Updates bietet ein solches "Software-Updating as a Service" fortschrittliche Lösungen. Bei der Installation ist die Auswahl von Pilotgruppen zum Test im Netzwerk möglich. Dies hilft, um den Installationsaufwand abschätzen und eventuelle Probleme früh erkennen zu können. Ein einzelnes Unternehmen kann das gewissenhafte Updaten seiner Software häufig nicht leisten. Für einen externen Dienstleister sieht die Kosten-/Nutzen-Rechnung aber ganz anders aus. Der Dienstleister kann mit dem Andocken an eine Datenbank, die alle Updates zentral gesammelt und klassifiziert vorhält, die Netzwerke seiner Kunden warten und die entstehenden Kosten für die Aktualisierung der Update-Datenbank verteilen. Security as a Service Nicht nur wegen des Software-Updatings ist Security as a Service für kleine und mittelständische Unternehmen (KMU) eine attraktive Möglichkeit, die Verwaltung der Sicherheit in dritte Hände zu geben. Dabei müssen Unternehmen ihre Sicherheitskompetenzen auch bei einer externen Dienstleistung nicht aus der Hand geben. Ein Kunde sollte darauf achten, dass er sich den Zugriff auf sein System vorbehält oder zumindest Leserechte erhält. Doch nicht nur Service-Provider oder Distributoren können Sicherheit für Kunden verwalten: Auch Unternehmensadministratoren können eines solche SaaS-Lösung mit einem eigenen Profil verwenden und Filialen ihres Unternehmens zentral schützen. Eine Browser-unabhängige Cloud-basierte Lösung ermöglicht dabei eine Bedienung aller Funktionen von einem Smartphone und einem Tablet aus. Ein SaaS-Dienst weist den Geräten Sicherheitsprofile zu. Vordefinierte Profile lassen sich individuell editieren. Diese Profile bieten hinreichenden Schutz für verschiedene Nutzungssituationen und sehen unterschiedlich strenge Sicherheitsregeln vor. So kann zum Beispiel ein Notebook im Außeneinsatz, das eine Verbindung mit Netzwerken außerhalb des Büros aufnehmen muss, dem Anwender in jedem Fall die Änderung von Sicherheitseinstellungen verbieten. Für erfahrene Benutzer oder bei Bedarf lässt sich ein anderes Profil wählen, das solche Änderungen erlaubt. Auch mobile Geräte sind auf diese Weise verwaltbar. Schon eine Diebstahlsicherung bietet durch die Sperrung als gestohlen gemeldeter Geräte einen wichtigen Schutz. Eine Überwachung der mobilen Geräte ist zwar technisch möglich, aber gute Lösungen unterlassen eine solche datenschutzrechtlich verbotene Vorgehensweise. Zudem bietet eine solche SaaS-Lösung den Überblick über die Konfigurationen sowie ein Lizenz-Management. Denn für nicht mehr lizenzierte Anwendungen erfolgen auch keine Updates mehr, sie öffnen damit eine Sicherheitslücke. Nach einer einmaligen Einrichtung des SaaS-Dienstes ist die Verwaltung mit diesen Mitteln einfach und kostet wenig Zeit. Durch die verschiedenen Ansichten lässt sich schnell sehen, wo Handlungsbedarf zum Beispiel in Sachen Virusdefinition besteht. Die Performance des Netzes schmälern die kleinen Eingriffe im Alltag kaum. Neighbourcast-Technik zum Beispiel erlaubt die Verteilung eines Updates durch einen Client auf benachbarte Clients und spart Bandbreite. Verschlüsselte Kommunikation zwischen geschützten Geräten, Servern und dem Portal sorgen für Sicherheit. SaaS or Do-it-yourself-Sicherheit Für kleine und mittlere Unternehmen bis hin zu 150 Clients liefert eine Security-as-a-Service-Lösung hinreichende Sicherheit. Gerade für kleine Unternehmen bietet der Eigenbetrieb keinen Mehrwert, sondern nur ein Mehr an Installations- und Verwaltungsaufwand. Der einzige Vorteil einer Inhouse-Lösung im Gegensatz zu einem Cloud-Angebot ist - überspitzt gesagt - die Unabhängigkeit vom Internet - wobei ein Ausfall des Internets in einem Unternehmen meist ein generelles Problem ist, das vor Ort grundlegende Eingriffe verlangt. So bleibt in Zeiten von Prism letztlich weniger die Frage nach der Verfügbarkeit von Sicherheitsfunktionen, als nach der Oberhoheit über die eigenen Daten: Wo lagert ein Cloud-Service die Daten, wie verhindert er den Zugriff unberechtigter Dritter und die unerlaubte Weitergabe? Wer auf Nummer sicher gehen will, bezieht die Dienstleistungen aus der Wolke, behält die Daten aber bei sich.
Lesen Sie mehr zum Thema
