Patchen leicht gemacht: Wie man seine Software richtig auf dem Laufenden hält

Schwachstellen in Skype, Acrobat, Java, Firefox - die Liste lässt sich beliebig fortsetzen, und die Meldungen dazu reißen nicht ab. Auch bei der Firma Prinzing Elektrotechnik wird Drittanbieter-Software eingesetzt. Das Unternehmen konzipiert und realisiert komplexe Vorhaben der Elektroinstallation, beispielsweise in Krankenhäusern, Industriebauten, Verwaltungsgebäuden oder Einkaufszentren. „In unserem Unternehmensnetz spielt Java eine besondere Rolle", sagt Martin Stegmaier, Leiter der Planungsabteilung und IT-Entscheider von Prinzing. „Da wir unsere Projekte über eine Vielzahl von Online-Plattformen abwickeln, die auf Java basieren, sind wir in ganz hohem Maß auf aktuelles und sicheres Java angewiesen."

Drittanbieter-Software patchen
Ursprünglich wurden Updates bei Prinzing über die Windows Server Update Services (WSUS) ausgebracht. Da WSUS aber nur für Microsoft-Patches geeignet ist, wurden die Patches und Sicherheitsupdates anderer Hersteller manuell eingespielt. Dieser Umstand und die zunehmende Verbreitung von Zero-Day-Exploits bei Drittanbieter-Software veranlasste die Pusch-Data GmbH als Betreiber der Prinzing-IT, ein Projekt zur Einführung einer Patch-Management Lösung anzustoßen.

Auf Empfehlung der CSG Systemhaus GmbH, die im Auftrag der Pusch-Data den IT-Betrieb bei Prinzing unterstützt und mit den Gegebenheiten dort bestens vertraut ist, fiel die Wahl auf die Lösung von Norman. Da sie herstellerneutral ist und über eine hervorragende Abdeckung bei den Patches von Drittanbieter-Anwendungen verfügt, erfüllte sie vom Start weg die wichtigste Anforderung.

Die CSG, die auf IT-Services für mittelständische Unternehmen in Industrie, Handwerk, Handel und im Dienstleistungssektor spezialisiert ist und neben den klassischen IT-Services wie Netzwerkverwaltung, Komponenten-Pflege und Security die Komplettbetreuung von Netzwerken übernimmt, war zum Zeitpunkt der Produktevaluation bereits seit mehreren Jahren Vertriebspartner von Norman. „Wir kannten die Produkte als funktionale und einfach zu administrierende Lösungen", sagt Simone Reichelt, Geschäftsführerin und Vertriebsleiterin der CSG. „Für Norman Patch & Remediation sprach darüber hinaus, dass wir in bisherigen Projekten sehr gute Erfahrungen mit dem Norman-Support gemacht hatten." Ganz intuitiv funktionieren komplexe Produkte wie Patch-Lösungen meistens nicht, und die Systemadministration kann durchaus auf Unterstützung angewiesen sein, bis sie weiß, welches Feature wie angezeigt und wo welche Funktion eingestellt wird.

Je schneller, desto sicherer
Der bewährte Support gab den Ausschlag für die Entscheidung zugunsten von Norman Patch & Remediation. Die Installation verlief unauffällig; der Aufwand dabei hielt sich in Grenzen. „Zunächst haben wir den Server aufgesetzt und die Software aufgespielt, das dauerte insgesamt etwa fünf Stunden", sagt Reichelt. „Danach haben wir sukzessive die Agents auf die Clients ausgerollt, zuerst auf die Rechner in den weniger geschäftskritischen Abteilungen." Die Agents inventarisieren die Hard- und Softwarekomponenten auf den Clients, ermitteln deren Bedarf an Patches und überwachen deren Verteilung und den Status der Rechner. „Im Rückblick hätte es die Vorsichtsmaßnahme nicht gebraucht, der Rollout verlief absolut störungsfrei."

Seither tut die Lösung das, was sie soll, mit einer sehr geringen Fehlerquote. „Wenn Patches nicht korrekt installiert werden, liegt das in der Regel nicht am Produkt, sondern daran, dass ein Mitarbeiter abends den Rechner nicht heruntergefahren hat", so Reichelt. „Wir haben festgelegt, dass die Arbeit nicht durch automatische Neustarts unterbrochen werden soll. Die Installation der Patches wird jedoch erst mit dem abendlichen Herunterfahren und dem Neustart am nächsten Morgen beendet." Bleibt dieser Schritt aus, meldet der Agent die Installation am nächsten Tag als misslungen an den Server. Ein zweiter Anlauf mit dem korrekten Abschluss durch einen Neustart behebt das Problem.

Grundsätzlich unterscheidet Reichelt beim Verteilen zwischen Clients und Servern: „Auf die Clients kommen alle Patches. Sie stehen gewissermaßen an vorderster Front und sind durch E-Mail und Internet den Angriffen stark ausgesetzt. Die Schnelligkeit, die uns das automatische Verteilen ermöglicht, ist der wesentliche Faktor für den Schutz des Unternehmensnetzes." Bei den Servern wären die Folgen fatal, wenn Patches schädigende Auswirkungen haben, sie werden deshalb zuerst getestet. Eine weitere Differenzierung mit detailliert angelegten Gruppen und Regeln ist im Unternehmensnetz nicht erforderlich.

Wenig Administration
Das Prinzing-Netzwerk hat inzwischen knapp 200 IT-Arbeitsplätze und Server. Vom zeitlichen Kontingent, das im Monat für Vor-Ort-Services und Fernwartung veranschlagt ist, nimmt Reichelt zufolge die Administration der Norman-Lösung nur einen kleinen Teil in Anspruch: „Patch & Remediation macht, einmal eingerichtet, nicht viel Arbeit; wir kommen mit etwa einer Stunde monatlich gut hin." Das schafft zeitlichen Spielraum an anderer Stelle. Kommen neue Rechner ins Netzwerk, installiert CSG die Agents manuell. „Der Vorgang lässt sich zwar über das Active Directory automatisieren, wir müssten die Rechner im Grund nicht anfassen", sagt Reichelt. „Aber uns ist wichtig, dass jeder Mitarbeiter uns kennt. Wenn sich beispielsweise der Rechner infolge eines Virus merkwürdig verhält, fällt es ihm leichter, uns anzusprechen. Und je früher wir eingreifen können, desto eher lassen sich Schäden begrenzen."

Seit dem Einsatz von Norman Patch & Remediation sind alle Anwendungen auf den Rechnern zuverlässig und nachvollziehbar aktuell. „Wir sind rundherum zufrieden mit der Norman-Lösung, die uns Pusch-Data und CSG empfohlen haben", fasst Stegmaier zusammen. Reichelt ergänzt: „Funktionalität, Administrierbarkeit und Support machen die Qualität von IT-Lösungen aus. Normans Patch-Management schneidet unserer Erfahrung nach, wie die anderen Norman-Produkte, bei allen Kriterien mit Bestnote ab."