Patch-Management

Abstürze vermeiden

02. Dezember 2004
Ein fehlender Patch kann eine Airline lahm legen, wie es der Lufthansa im September passierte. Patch- und Update-Management- Software schließt Lücken und aktualisiert Programme. Doch trotz automatisierter Tools müssen CIOs immer noch selbst bestimmen, welche Patches sie einspielen, sonst droht der Absturz.

SCHON UM 4:30 UHR in der Frühe beendete das Check-in-System der Lufthansa seinen Arbeitstag: Totalausfall. Die Bildschirme an den Terminals der Flughallen waren schwarz, Bodenpersonal füllte weltweit für hunderttausend Fluggäste die Bordkarten mit der Hand aus. 60 Flüge im innereuropäischen Linienverkehr strich die Lufthansa, alle anderen Fluggäste mussten mehrere Stunden warten. Erst um 12:30 lief das System wieder.

Was war geschehen? Ein fehlender Patch hatte den Flugbetrieb lahm gelegt. In der Nacht hatte die Lufthansa damit begonnen, die Plattentechnologie auf Glasfaser umzustellen. Beim letzten Change, an dem auch das Check-in-System beteiligt war, summierte sich eine Reihe von Problemen zum Totalausfall. Beim Übertragen der Dateien von der alten auf die neue Plattentechnologie führten Konfigurationsprobleme zu fehlerhaften Parametern für die Audit-Datei. Die Fehler sollten per Online-Zugriff korrigiert werden, doch der Versuch schlug fehl, das System blieb stehen.

Bernd Voigt, Leiter Infrastructure Services, Lufthansa Systems
Bernd Voigt, Leiter Infrastructure Services, Lufthansa Systems

Üblicherweise wird in solchen Fällen das System wieder in den Ursprungszustand zurückgesetzt. Doch dieser Schritt scheiterte, weil ein Patch für die fehlerhafte Software-Routine fehlte. „Der Patch war uns im Vorfeld nicht angeboten worden. Diese Verkettung von Umständen konnte allerdings auch nicht vorausgesehen werden“, erklärt Bernd Voigt, Leiter des Geschäftssegments Infrastructure Services bei Lufthansa Systems. Erst als der Patch eingespielt war, konnten das System zurückgesetzt und die Probleme gelöst werden.

Patch-Management-Tools spielen unternehmensweit Software-Updates und Patches ein, um Sicherheitslücken zu schließen und Software auf dem neuesten Stand zu halten. Um das System zu prüfen, setzt zum Beispiel der Anbieter Shavlik Technologies die für den MicrosoftMicrosoft Baseline SecuritySecurity Analyzer (MBSA) entwickelte Scanning Engine ein. Sie ermittelt den Status der einzelnen Hosts. Um festzustellen, welche Service-Packs oder Patches auf den einzelnen Systemkomponenten fehlen, vergleicht das Tool die im Scan ermittelten Daten tagesaktuell mit den von Microsoft bereitgestellten digital signierten Dateien. Das Programm identifiziert bereits installierte Patches, indem es File-Version, Checksummen und Registry-Keys heranzieht. Fehlende Patches lassen sich dann per Drag and Drop im gesamten System, auf bestimmte Gruppen oder einzelne Geräte aufspielen. Treten Probleme auf, lässt sich das System mittels Roll-back wieder in den Ausgangszustand zurücksetzen. Alles zu Microsoft auf CIO.de Alles zu Security auf CIO.de

Mit dem Systems Management Server (SMS) hat Microsoft im Herbst 2003 ein deutlich verbessertes Tool herausgebracht und damit den Markt kräftig durcheinander gewirbelt. SMS eignet sich für Desktops, Server und Laptops und beinhaltet umfangreiche Features zur Hardware- und Softwareanalyse. Mit der Systeminventur und der Softwareverteilung ermittelt SMS, welches System wichtige Aktualisierungen benötigt und spielt die Patches zentral ein.