![\"Updates](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1789619096-e1618564764543.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Ach ja, Updates ... Die ber\u00fchmten Updates, die mit dem Etikett \u201everpflichtend\u201c versehen sind. Eigentlich sind Updates gut gemeint. Auch wenn es oft schwierig ist, die richtige Entscheidung hinsichtlich Computersicherheit auf Kosten der Produktion zu treffen, kann das Thema Updates nicht mehr weiter ignoriert werden. Im Gegenteil, es muss zu einem zentralen Thema der Sicherheitspolitik von Unternehmen werden.<\/strong><\/p>\n <\/p>\n Warum sollte man Updates vornehmen? Sind Updates wirklich unbedingt notwendig?<\/strong> Kann das nicht noch etwas l\u00e4nger warten? Diese Fragen - und viele andere - stellen sich noch immer allzu oft in vielen Unternehmen, die digitale Hygiene, IT-Schutz und gute Sicherheitspraktiken nicht mit Updates in Verbindung bringen und diese auch nicht allzu wichtig nehmen. F\u00fcr sie stehen Gesch\u00e4ftskontinuit\u00e4t und Produktionskapazit\u00e4t nach wie vor im Vordergrund und die Behebung von IT-Schwachstellen wird oft nebens\u00e4chlich.<\/p>\n So wie die gesch\u00e4ftliche Produktion nicht unterbrochen werden darf, werden auch die Cyber-Angriffe nicht aufh\u00f6ren... Solange es Schlupfl\u00f6cher gibt, wird es Angriffe geben. Und genau daf\u00fcr sind Updates notwendig: um diese Schwachstellen zu beseitigen und die Angriffe abzuwehren! Obwohl es nicht mehr darum geht, ihre Wirksamkeit und Bedeutung nachzuweisen, so muss noch einiges an \u00dcberzeugungsarbeit geleistet werden. Die Unternehmen sehen sich vor zwei Herausforderungen, die sie gleichzeitig bew\u00e4ltigen m\u00fcssen: einerseits die betrieblichen Anforderungen und andererseits der Kampf gegen die Cyberrisiken, die ihre T\u00e4tigkeiten bedrohen.<\/p>\n <\/p>\n Die hier behandelten Fehler und Schwachstellen, die von den Akteuren f\u00fcr Cybersicherheit dokumentiert und ver\u00f6ffentlicht werden, k\u00f6nnen von kleinen Bugs bis hin zu kritischen Sicherheitsl\u00fccken reichen. Obwohl diese Informationen f\u00fcr Unternehmen bestimmt sind, profitieren Angreifer ebenfalls davon. Systeme, die nicht aktualisiert werden, sind daher besonders anf\u00e4llig f\u00fcr Cyber-Angriffe. \u201eAngreifer richten Fingerabdrucksysteme ein - Scans von Netzwerken und Umgebungen zur Identifizierung von Rechnern -, um schnell und einfach angreifbare Computer zu erkennen, in diesem Fall solche, die nicht aktualisiert werden<\/em>\u201c, sagt Guillaume Boisseau<\/strong> von der Abteilung Professional Services von Stormshield. Es ist unbestreitbar, dass nicht aktualisierte Systeme den Angreifern die Gelegenheit bieten, b\u00f6swillige Handlungen durchzuf\u00fchren<\/strong>. \u201eAngreifer werden ihren Angriff je nach Informationssystem vorantreiben, insbesondere wenn es sich um alte Systeme mit bekannten und bereits vom Netzwerk der Cyberangreifer genutzten Sicherheitsl\u00fccken handelt<\/em>\u201c, f\u00fcgt Maxime Nempont<\/strong>, Technischer Leiter Security bei Stormshield, hinzu.<\/p>\n Wenn es um nicht aktualisierte Arbeitspl\u00e4tze geht, ist Ransomware Wannacry ein perfektes Beispiel f\u00fcr die Anf\u00e4lligkeit von Arbeitspl\u00e4tzen. Im Mai 2017 hatte sich die Ransomware<\/a> dank einer Sicherheitsl\u00fccke in den Windows-Umgebungen in Systemen verbreitet, in denen die Sicherheitsl\u00fccke nicht geschlossen wurde. Microsoft hatte zwei Monate vor dem Angriff den Sicherheitspatch f\u00fcr diese Schwachstelle ver\u00f6ffentlicht und vor deren Kritikalit\u00e4t gewarnt. Das Resultat: 150 L\u00e4nder wurden durch den Wannacry-Cyberangriff lahmgelegt, und die finanziellen Verluste betragen heute Milliarden Dollar.<\/p>\n Wannacry ist ein Abbild der Realit\u00e4t, die man heute noch kennt: Viele Unternehmen sind sich noch immer nicht bewusst, was es bedeutet, Updates zu machen und diese in k\u00fcrzester Zeit vorzunehmen, um die Angriffsfl\u00e4che zu verkleinern.<\/p>\n Updates sind ein wenig wie Zahnarztbesuche: Wenn man regelm\u00e4\u00dfig zur Kontrolle geht, gibt es jedes Mal nur kleine Dinge zu behandeln. Wenn man aber zu lange darauf wartet, sich einer Behandlung zu unterziehen, wird es immer schlimmer.<\/em><\/p>\n Im Mai 2019 ver\u00f6ffentlichte Microsoft eine Sicherheitsl\u00fccke, diesmal in einer seiner Systemkomponenten. Dieser als \u201eBlueKeep\u201c bezeichnete Bug h\u00e4tte die gleiche Gr\u00f6\u00dfenordnung wie Wannacry erreichen k\u00f6nnen, wenn er in gro\u00dfem Ma\u00dfstab ausgenutzt worden w\u00e4re. Obwohl die Forscher f\u00fcr Cybersicherheit noch nicht sagen k\u00f6nnen, dass BlueKeep in gro\u00dfem Ma\u00dfstab von Angreifern ausgenutzt wurde, so war das Risiko reell vorhanden. Denn einen Monat nach Aufdeckung des Fehlers und der Ver\u00f6ffentlichung des Patch von Microsoft waren immer noch fast eine Million Systeme ungesch\u00fctzt und anf\u00e4llig. Also ebenso viele M\u00f6glichkeiten f\u00fcr b\u00f6sartige \u00d6kosysteme, um dort einzudringen ...<\/p>\n \u201eEinige Unternehmen f\u00fchren ihre Updates nicht durch, weil es ihnen an Verfahren fehlt, die einen Rahmen daf\u00fcr bieten (wie z. B. fehlende Testumgebungen), und die Updates sammeln sich an, und das Risiko steigt. Das kann man mit einem Zahnarztbesuch vergleichen: Wenn man regelm\u00e4\u00dfig zur Kontrolle geht, gibt es jedes Mal nur kleine Dinge zu behandeln. Wenn man aber zu lange darauf wartet, sich einer Behandlung zu unterziehen, wird es immer schlimmer. Das Gleiche gilt f\u00fcr Updates!<\/em>\u201c sagt Guillaume Boisseau.<\/p>\n Die Bedrohung von Wannacry scheint sich regelm\u00e4\u00dfig zu wiederholen: Dieses Jahr wurde unter dem Namen SMBGhost ein weiterer wichtiger Bug im Zusammenhang mit dem Windows-Betriebssystem entdeckt. Eine Schwachstelle, die sich auf demselben Protokoll befand, wie jenes, auf das Wannacry abzielte. W\u00e4re diese L\u00fccke ausgenutzt worden, w\u00e4ren die Folgen katastrophal gewesen.<\/p>\n Angriffe, die auf nicht aktualisierte Systeme abzielen, nehmen zu, und dies wird nicht aufh\u00f6ren; sie sind einfach durchzuf\u00fchren und gut dokumentiert und stellen somit einen Anreiz f\u00fcr die Angreifer dar, auf den sie nicht verzichten. Mehr denn je muss daher die Implementierung von Updates von allen Unternehmen<\/strong> \u2013 unabh\u00e4ngig von der Branche \u2013 als Priorit\u00e4t betrachtet und zu einem integralen Bestandteil der Unternehmenskultur werden.<\/p>\n <\/p>\n Aktualisierungen von Software, Anwendungen oder Ger\u00e4ten waren schon immer problematisch: einerseits das Ziel, die Sicherheit zu gew\u00e4hrleisten und andererseits die operativen Anforderungen zu ber\u00fccksichtigen, die jede T\u00e4tigkeit mit sich bringt.<\/p>\n Auch wenn Updates dazu da sind, Bugs zu beheben und kritische Schwachstellen mit Patches zu schlie\u00dfen, tragen sie auch ihren Teil zu Einschr\u00e4nkungen in Unternehmen bei. In der Industrie und in der Betriebstechnologie (OT) sind Updates besonders gef\u00fcrchtet, da sie zu unerw\u00fcnschten Effekten wie einen l\u00e4ngeren Produktionsstillstand f\u00fchren k\u00f6nnen. Auch nach Abschluss der Updates muss die Systemwiederherstellung in der Industrie genau beobachtet werden. Aufgrund des Rebound-Effekts k\u00f6nnen unvorhergesehene Folgen zu einem Produktionsr\u00fcckgang f\u00fchren, was sich wiederum auf den Absatz auswirkt. \u201eDie Beurteilung der Notwendigkeit einer Aktualisierung durch eine Risikoanalyse und die Planung des Updates durch Messung der Auswirkungen auf die Produktion sind daher obligatorische Aspekte, die in der Industrie ber\u00fccksichtigt werden m\u00fcssen<\/em>\u201c, betont Florian Bonnet<\/strong>, Leiter des Produktmanagements bei Stormshield. \u201eDeshalb m\u00fcssen Wartungszyklen in der Industrie richtig vorbereitet und geplant werden.<\/em>\u201c<\/p>\n Aber die Einschr\u00e4nkungen betreffen nicht nur die OT-Netzwerke. Updates k\u00f6nnen ganz allgemein R\u00fcckschritte verursachen und dazu f\u00fchren, dass eine Website nicht mehr verf\u00fcgbar ist oder den Benutzer Zeit kostet, weil er gezwungen ist, seine Ger\u00e4te neu zu starten und deshalb B\u00fcrot\u00e4tigkeiten f\u00fcr eine Weile einzustellen muss. Dieselben Updates k\u00f6nnen auch wegen der darin eingebetteten Komponenten restriktiv sein und sich direkt auf die in Entwicklung befindliche Software oder Anwendungen auswirken - sehr zum Leidwesen der Entwickler! \u2013 Oder auch auf die bereits implementierten Anwendungen eines Arbeitsplatzes.<\/p>\n Unabh\u00e4ngig davon, ob Sie Leiter eines Textilproduktionsbetriebs, Webentwickler oder eine ganz normale Person an ihrem Schreibtisch sind, werden Updates h\u00e4ufig nur widerwillig durchgef\u00fchrt und l\u00f6sen Bedenken und Ablehnung hinsichtlich ihrer Durchf\u00fchrung aus. Die Frage der Updates ist also ebenso komplex wie paradox.<\/p>\n <\/p>\n Sollte man also Updates vornehmen oder nicht?<\/strong> Aktualisieren oder nicht aktualisieren? Das ist die Frage! Und last but not least: Je nach betrieblichen Zw\u00e4ngen und Arbeitsumgebungen (Produktionsumgebungen, verwendete Anwendungen usw.) k\u00f6nnen Updates sehr komplex, wenn nicht gar unm\u00f6glich sein. \u201eVor einer Aktualisierung ist viel Arbeit zu leisten, um in der Lage zu sein festzulegen, ob sie sich auf den Arbeitsplatz oder die Arbeitsumgebung auswirken kann. Bei sensiblen Umgebungen und kritischen Systemen ist es zum Beispiel notwendig, eine Vorproduktion in Betracht zu ziehen, f\u00fcr den Fall, dass die Aktualisierung zu einer Fehlfunktion des Systems - oder einer \u00c4nderung seiner Funktionsweise \u2013 f\u00fchrt<\/em>\u201c, erkl\u00e4rt Guillaume Boisseau.<\/p>\n Man muss also von der Annahme ausgehen, dass in der wunderbaren Welt der Updates Kontrollverfahren und vorausschauendes Handeln die Schl\u00fcsselw\u00f6rter sind. Dasselbe gilt auch bei automatisierten Updates (PC, Tablets usw.), bei denen es ebenfalls notwendig ist, die Zuverl\u00e4ssigkeit zu \u00fcberpr\u00fcfen, um die Risiken eingrenzen zu k\u00f6nnen. \u201eIn der IT k\u00f6nnen automatische Updates f\u00fcr Arbeitspl\u00e4tze oder die B\u00fcrotechnik aktiviert werden, da es m\u00f6glich ist, sie zu verz\u00f6gern und auf einen passenden Zeitpunkt zu verlegen<\/em>\u201c, erkl\u00e4rt Florian Bonnet. Er meint abschlie\u00dfend, dass \u201ees auf Ebene der IT-Server oder in den OT andererseits nicht m\u00f6glich ist, Updates zu automatisieren, da wir uns in kritischeren Systemen befinden, bei denen die Folgen von Updates perfekt unter Kontrolle gehalten werden m\u00fcssen.<\/em>\u201c<\/p>\n In einigen F\u00e4llen sind Updates tats\u00e4chlich nicht ohne weiteres durchf\u00fchrbar und erfordern den Einsatz von hochverf\u00fcgbaren Architekturen \u2013 oder sogar von digitalen Zwillingen oder anderen Virtualisierungsplattformen \u2013, um sie zu testen. In Betriebsnetzwerken ist diese Testumgebung daher unerl\u00e4sslich, um die Risiken einer Aktualisierung zu bewerten und eine Unterbrechung des Betriebssystems zu vermeiden.<\/p>\n Andere Gegebenheiten machen Updates unm\u00f6glich, z. B. \u201ewenn ein Update dazu f\u00fchrt, dass die Anwendung mit einem \u00e4lteren Betriebssystem nicht kompatibel ist, oder wenn es sich um ein End-of-Life-System handelt, bei dem die Aktualisierung und Migration auf ein neues System zu kostspielig wird<\/em>\u201c, f\u00fchrt Maxime Nempont weiter aus. Vor diesem Hintergrund ist es nicht schwer sich vorzustellen, dass Unternehmen trotz der Herausforderungen im Bereich der IT-Sicherheit zuerst z\u00f6gern werden, ein Update durchzuf\u00fchren, als sich sofort daf\u00fcr zu entscheiden. Die Verleger spielen daher eine Schl\u00fcsselrolle, sowohl als Berater als auch als Vermittler, um die Unternehmen bei der Durchf\u00fchrung ihrer Updates zu unterst\u00fctzen und Alternativen vorzuschlagen, wenn diese undurchf\u00fchrbar sind. Ihr Ziel? Die Entwicklung m\u00f6glichst einfacher Systeme f\u00fcr Updates und sicherstellen<\/strong>, dass die Unternehmen davon profitieren k\u00f6nnen.<\/p>\n Es sind jedoch in erster Linie die Unternehmen selbst, die Bedeutung der Updates und ihre Anwendbarkeit bewerten m\u00fcssen. Denn wer diese Updates nicht durchf\u00fchrt, setzt sich Cyber-Angriffen aus<\/strong>, f\u00fcr die verwundbare Systeme ein begehrtes Einfallstor sind.<\/p>\n <\/p>\n Obwohl Unternehmen im Allgemeinen immer sensibler auf die Frage von Updates reagieren, k\u00f6nnen sie dennoch Schwierigkeiten haben, die Risiken einzusch\u00e4tzen oder zu verstehen, die sie eingehen, wenn sie ein Update nicht durchf\u00fchren. Dar\u00fcber hinaus sind sich nicht alle Unternehmen bewusst, dass sie das Ziel eines Cyberangriffs sein k\u00f6nnten. Das ist im Betriebsnetzwerk der Fall, wo die Cyberkultur noch nicht stark genug entwickelt ist<\/a>. Doch, wie Florian Bonnet daran erinnert \u201eist die Frage nicht mehr, ob man angegriffen wird, sondern wann<\/em>\u201c und f\u00fcgt hinzu: \u201eDie Annahme der Kultur f\u00fcr Updates erfolgt auch \u00fcber eine Akzeptanz des Cyber-\u00d6kosystems im Allgemeinen, indem man die Nachrichten verfolgt, die Dinge im Auge beh\u00e4lt...\u201c<\/em>. Es gibt also ein Bewusstsein, das entwickelt werden muss, und die Herausgeber sind da, um das zu f\u00f6rdern.<\/p>\n Beweise durch Auff\u00fchren von Beispielen ist eine Methode, die laut Maxime Nempont recht gut funktioniert, f\u00fcr die \u201ees notwendig ist, konkrete F\u00e4lle herzunehmen, \u00fcber reale Ausnutzung kritischer Sicherheitsl\u00fccken zu sprechen und verst\u00e4ndlich zu machen, dass all dies nicht nur theoretisch ist<\/em>\u201c. Neben der Sensibilisierung m\u00fcssen die Herausgeber den Updatevorgang auch begleiten und pr\u00e4zise sein, wenn sie dem Kunden eine neue korrigierte Version bereitstellen: Es muss klar erkennbar sein, ob es sich um die Behebung eines Bugs oder einen Patch f\u00fcr eine Sicherheitsl\u00fccke handelt. \u201eDer Herausgeber muss eine Art Rechtfertigung f\u00fcr die von ihm angebotenen Updates geben und eine gute Darstellung der damit verbundenen Risiken pr\u00e4sentieren, um ein Unternehmen zu beruhigen. Denn auf die eine oder andere Weise werden die Kunden immer versucht sein, der Produktion den Vorrang vor allem anderen zu geben<\/em>\u201c, ist sich Guillaume Boisseau bewusst.<\/p>\nVernachl\u00e4ssigte Updates und anf\u00e4llige Systeme<\/h2>\n
Guillaume Boisseau,<\/strong> Abteilung Professional Services von Stormshield<\/pre>\n<\/blockquote>\n
Cybersicherheit und betriebliche Anforderungen in Einklang bringen: seit jeher angestrebt, aber nie erreicht<\/h2>\n
Die Frage der Auswirkung von Updates<\/h2>\n
Sich die \u201eKultur f\u00fcr Updates\u201c aneignen<\/h2>\n