Patch-Management: Sicherheit ohne System

Das Cyber SecuritySecurity Bulletin meldet für das vergangene Jahr 5.198 Sicherheitslücken. Eine Tatsache, die europäischen CIOs bewusst ist: Mit 45 Prozent gibt fast jeder zweite Befragte an, die IT seines Unternehmens sei "nie" vollständig vor Angriffen geschützt. Im Schnitt wollen 54 Prozent künftig denn auch mehr IT-Ressourcen für Patches bereit stellen. Dabei liegen die Deutschen im Europäischen Vergleich vorn: Mehr als zwei Drittel (68 Prozent) wollen mehr Geld dafür ausgeben, unter ihren spanischen Kollegen sind es nur 42 Prozent. Alles zu Security auf CIO.de

Im Schnitt haben die Befragten in den ersten sechs Monaten des vergangenen Jahres 410 Patches implementiert, das entspricht 17 Patches pro Woche. Dabei zeigten sich viele CIOs schlecht informiert: 36 Prozent konnten die Anzahl für ihr Unternehmen nicht nennen.

Zwei "Zeitfenster der Verwundbarkeit"

McAfee spricht bei der Cyber Security von zwei "Zeitfenstern der Verwundbarkeit": Das eine bezieht sich auf die Spanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten Angriffen, das andere auf die Veröffentlichung eines Patches und den Zeitpunkt, an dem es vollständig implementiert ist. Wie die Analysten berichten, erfolgen die Angriffe immer schneller aufeinander, nicht selten schon an dem Tag, an dem die Lücke bekannt wird. Während also das erste Zeitfenster kleiner wird, dehnt sich das zweite aus. Denn es kann Tage dauern, einen Patch zu implementieren.

Ein Blick auf die Untersuchung zeigt: 27 Prozent der Befragten gelingt es, ihre IT-Infrastruktur nach zwei bis sieben Tagen ab Bekanntwerden der Patch-Veröffentlichung abzusichern (Deutschland: 22 Prozent). Mit 19 Prozent braucht fast jeder Fünfte länger als eine Woche (Deutschland: 13 Prozent).