Jeder dritte CIO weiß nicht, wie viele Patches im Betrieb installiert sind

Patch-Management: Sicherheit ohne System

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
45 Prozent der europäischen CIOs erklären, ihr Unternehmen sei nie wirklich vor Hackern geschützt. Gleichzeitig weiß jeder Dritte nicht, wie viele Patches in seinem Betrieb implementiert sind. Das geht aus einer Studie des Anbieters McAfee hervor. Die Analysten raten, wegen der Flut an Patches und den begrenzten IT-Ressourcen Prioritäten zu setzen und zuerst geschäftsprozessrelevante Bereiche zu schützen.

Das Cyber SecuritySecurity Bulletin meldet für das vergangene Jahr 5.198 Sicherheitslücken. Eine Tatsache, die europäischen CIOs bewusst ist: Mit 45 Prozent gibt fast jeder zweite Befragte an, die IT seines Unternehmens sei "nie" vollständig vor Angriffen geschützt. Im Schnitt wollen 54 Prozent künftig denn auch mehr IT-Ressourcen für Patches bereit stellen. Dabei liegen die Deutschen im Europäischen Vergleich vorn: Mehr als zwei Drittel (68 Prozent) wollen mehr Geld dafür ausgeben, unter ihren spanischen Kollegen sind es nur 42 Prozent. Alles zu Security auf CIO.de

54 Prozent der CIOs wollen künftig mehr Ressourcen für das Patch-Management bereit stellen.
54 Prozent der CIOs wollen künftig mehr Ressourcen für das Patch-Management bereit stellen.

Im Schnitt haben die Befragten in den ersten sechs Monaten des vergangenen Jahres 410 Patches implementiert, das entspricht 17 Patches pro Woche. Dabei zeigten sich viele CIOs schlecht informiert: 36 Prozent konnten die Anzahl für ihr Unternehmen nicht nennen.

Zwei "Zeitfenster der Verwundbarkeit"

McAfee spricht bei der Cyber Security von zwei "Zeitfenstern der Verwundbarkeit": Das eine bezieht sich auf die Spanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten Angriffen, das andere auf die Veröffentlichung eines Patches und den Zeitpunkt, an dem es vollständig implementiert ist. Wie die Analysten berichten, erfolgen die Angriffe immer schneller aufeinander, nicht selten schon an dem Tag, an dem die Lücke bekannt wird. Während also das erste Zeitfenster kleiner wird, dehnt sich das zweite aus. Denn es kann Tage dauern, einen Patch zu implementieren.

Ein Blick auf die Untersuchung zeigt: 27 Prozent der Befragten gelingt es, ihre IT-Infrastruktur nach zwei bis sieben Tagen ab Bekanntwerden der Patch-Veröffentlichung abzusichern (Deutschland: 22 Prozent). Mit 19 Prozent braucht fast jeder Fünfte länger als eine Woche (Deutschland: 13 Prozent).