IT Security
Monatliche Patches suggerieren Ordnung im Sicherheits-Chaos
IT Security
Wenn Sie zu denjenigen gehören, die sich gegen Microsofts Entscheidung, Patches monatlich herauszubringen, wehren, haben Sie vielleicht jetzt noch mehr Grund, sauer zu sein: Oracle hat Microsofts etwas zweifelhaftes Vorgehen kopiert und bringt nun ebenfalls einmal im Monat ein Bündel neuer Patches heraus. Das schürt die allgemeine Debatte darüber, ob die Fehlerkorrektur nach der Big-Bang-Methode oder eher in einer Art Tröpfcheninfusion erfolgen sollte.
Einige Unternehmen machen sich darüber Sorgen, dass ihre sowieso schon überlasteten Administratoren durch derlei Extravaganzen noch mehr unter Druck geraten. Das erste Oracle-Bundle enthielt Fixes für mehr als 60 Schwachstellen, von denen einige bereits im Januar entdeckt wurden.
Extrembelastung in ein paar Tagen des Monats
Kritiker bemängeln, dass der monatliche Anstieg des Arbeitsvolumens das Sicherheitspersonal an ein paar Tagen im Monat unter Extrembelastung stellt, während der Rest des Monats relativ ruhig bleibt. Wenn man davon ausgeht, dass jeder Patch vor der Installation getestet werden muss, wird eine solche punktuelle Belastung bei weitem zu hoch. Ein anderer Einwand betrifft die Tatsache, dass sich die Attacken leider nicht einem Monatszyklus unterwerfen. Auch wenn die Anbieter behaupten, sofort nach Bekanntwerden einer ernsten Sicherheitslücke Patches zu veröffentlichen, steht es immer noch im Ermessen des Anbieters, was unter “ernst” zu verstehen ist.
Die Praxis der Softwarefirmen, Fixes gegen die ständige Bedrohung durch Angriffe in einem regelmäßigen Intervall zu verteilen, soll den Eindruck vermitteln, dass man nun Ordnung ins Chaos bringt. Das “monatliche Allheilmittel” will uns lehren, dass Macken in geschäftskritischer Software durchaus akzeptabel sind, wenn man sie nur einer kontrollierten, regelmäßigen klinischen Behandlung unterzieht.
Das ungeplante, plötzliche Erscheinen eines Patches könnte auf eine Krise hindeuten und die Medien aufmerksam machen. Es könnte auch der Eindruck entstehen, der Anbieter liefere unsichere Produkte aus. Interessant war, dass Oracles letzter Patch Probleme adressierte, die schon seit geraumer Zeit bekannt waren. Auch Microsoft muss sich den Vorwurf gefallen lassen, Fixes häufig mit viel zu langen Verzögerungen verteilt zu haben.
Da vor allem die Software-Riesen erhöhten Druck vom Aktienmarkt zu spüren bekommen, ist es nur allzu verständlich, dass sie alles dransetzen, um beim Kunden Vertrauen in ihre Produkte zu erwecken. Doch das darf nicht so sehr zum Selbstzweck werden, dass das Wesentliche aus den Augen verloren wird.
IT-Verantwortliche sind daran interessiert, sofort nach Bekanntwerden von Softwarefehlern davon etwas zu erfahren, vor allem wenn sie durch die neuen Corporate Governance-Regeln verpflichtet sind, Betriebsrisiken regelmäßig zu beurteilen und darüber zu berichten – und es ist unbestritten, dass in vielen Firmen vor allem die IT für einen Großteil solcher Risiken verantwortlich ist.
Die Diskussion über einen verantwortlichen Umgang mit der Bekanntgabe von Bugs wird weiterhin erhitzt geführt werden. Fest steht aber, dass es keine Entschuldigung für Software-Anbieter geben kann, die sich zu spät um Fixes kümmern, nur um ihnen einen monatlichen Rhythmus aufzuzwingen, der den Eindruck von Kontrolle erwecken soll.
Ob wir ihn nun wollen oder nicht, der monatliche Sicherheits-Patch wird wahrscheinlich schnell zum Standard werden. IT-Chefs werden dafür sorgen müssen, dass ihren Administratoren die entsprechenden Ressourcen zur Verfügung gestellt werden, um mit einer monatlichen Stressphase mit anschließender Flaute umzugehen. Das könnte auch dazu führen, dass während der Patch-Phase selbstständige Sicherheitsexperten hinzugezogen werden müssen.
Bis es so weit ist, sollten sich IT-Manager für eine bessere Qualität der Software einsetzen, und zwar möglichst lautstark, wenn sie das Gefühl haben, mit deutlich verspäteten Fixes versorgt zu werden. Oder gibt es einen Grund, warum der Kunde die Fehler des Herstellers ausbaden sollte?