18/09/2019

Patch Management im Industrie-Umfeld

Das Fehlen von Sicherheitsupdates bietet nach wie vor eine breite Basis für erfolgreich durchführbare Cyberattacken. Immer wieder werden Sicherheitsvorfälle in Unternehmen bekannt, bei denen Softwareschwachstellen ausgenützt wurden, für die es zum Zeitpunkt des Angriffs bereits Patches gab. Grundsätzlich mag die Lösung dieses Problems trivial erscheinen – „man muss ja nur die ohnehin verfügbare Sicherheitsupdates auf den jeweiligen Systemen installieren“. In der Praxis zeigen sich aber einige offene Fragen, die es zu klären und Stolpersteine, die es zu überwinden gilt, bevor man ein System mit einem bereits vorhandenen Sicherheitsupdate patchen kann. Im Industrie-Umfeld ist das Thema so umfangreich, dass sich im Rahmen der IEC-62443-Reihe ein eigener Technical Report dem Thema widmet: IEC TR 62443-2-3 „Patch Management in the IACS Environment.“

Unter dem Begriff „Patch Management“ versteht man alle Tätigkeiten rund um das Identifizieren, Evaluieren und Ausbringen von eben diesen Sicherheitsupdates in einem Unternehmen. Von der Entwicklung der Standards und Kennzahlen über das Testen und Validieren der Updates bis hin zur Planung der Update-Zeitpunkte und der eigentlichen Ausbringung der Updates ist das Themengebiet Patch-Management umfangreicher und komplizierter als man auf den ersten Blick vermuten würde.

Folgende Fragen gilt es in diesem Zusammenhang zu beantworten:

• Welche maximale Dauer zwischen Veröffentlichung eines Sicherheitsupdates bis zur Ausbringung in unsere produktiven Systeme streben wir an?
• Nach welchen Kriterien werden Systeme und Sicherheitsupdates priorisiert?
• Betreffen die zur Verfügung gestellten Updates überhaupt Software, die wir im Einsatz haben?
• Verursachen die ausgelieferten Updates Störungen auf unseren Test-Systemen?
• Wann können geeignete Wartungsfenster gefunden werden? Muss das Update manuell durchgeführt werden oder ist eine Automatisierung möglich?

Nicht zu vergessen: Es braucht auch ein Mechanismus, um den Systemzustand vor dem Patchen wiederherzustellen, sollte der Patch trotz Testversuche doch den Betrieb stören.

Erfolgreiches Patch Management beginnt bereits bei der Auswahl bzw. in der Zusammenarbeit mit Lieferanten

Fangen Sie daher an, das Vorgehen Ihres Lieferanten bezüglich Sicherheitsupdates in Ihren Verhandlungen und Verträgen zu behandeln. Wie oft und in welcher Form werden Updates zur Verfügung gestellt? Sind zumindest sicherheitsrelevante Produktupdates im Wartungsvertrag inbegriffen oder entstehen dafür zusätzliche Kosten? Was ist die geplante Lebensdauer der Anschaffung und werden Teilkomponenten überhaupt so lange mit Security-Updates versorgt?

Und selbst wenn die Verfügbarkeit der Updates geklärt ist, ist man oft mit Herausforderungen in der Ausbringung konfrontiert. Denn während man in klassischen IT-Systemen noch von der goldenen Regel „Patch Early, Patch Often“ ausgehen kann, ist die Situation für Industriesysteme wesentlich komplizierter, weil man diese selten „mal eben“ für die Installation eines Sicherheitsupdates neu starten kann. Sehr oft ist es einfach keine Option, Sicherheitsupdates zeitnah (oder überhaupt) auszurollen. Gerade in der Industrie ist daher eine gute grundlegende „Sicherheits-Hygiene“ umso wichtiger:

  1. Systeme, die nicht regelmäßig und in kurzen Abständen mit Sicherheitsupdates versorgt werden können, sollten keinesfalls vom gesamten Unternehmensnetzwerk oder gar dem Internet erreichbar sein. Robuste Netzwerksegmentierung [siehe #Beitrag Netzwerksegmentierung] ist das Mittel der Wahl, um seine Systeme Angriffen aus dem Internet oder dem Office-LAN gar nicht erst auszusetzen.
  2. Der Zugriff auf Industriekomponenten sollte immer über sogenannte „Jump-Hosts“ in eigenen „demilitarisierten Zonen“ (DMZ) erfolgen. Folglich kann man in einer Patch-Management-Strategie diese Jump-Hosts besonders genau unter die Lupe nehmen. Sehr oft handelt es sich bei diesen Systemen außerdem um klassische IT-Systeme, die erheblich einfacher mit Sicherheitsupdates versorgt werden können. Gleiches gilt für die Netzwerkkomponenten wie Router, Switches und Firewalls.
  3. Sowohl für die Netzwerksegmentierung als auch für erfolgreiches Patch Management gilt: Man kann nur schützen, was man kennt. Daher ist auch für erfolgreiches und vollständiges Patch Management wichtig, über ein möglichst korrektes und vollständiges Inventar der vorhandene IT- und OT-Systeme mit den jeweils dort installierten Firmware- und Softwareversionen zu verfügen. [siehe #Beitrag Asset Inventory]

Limes Security empfiehlt

Wenn Sie die Herausforderung Patch Management in Angriff nehmen, stellen Sie sicher, dass Sie Ihr Asset Management und Ihre Netzwerksegmentierung bereits umgesetzt haben, um einen effektiven Sicherheitsgewinn durch Patch Management erreichen zu können. Eine Härtung von Systemen, insbesondere das Deinstallieren bzw. Deaktivieren nicht benötigter Dienste, senkt den Bedarf für Patching, denn: Was nicht aktiv ist, kann nicht angegriffen werden!

Limes Security unterstützt Sie in Ihrem Vorhaben Systeme auf dem aktuellen Stand zu halten: von der Erhebung der Komponenten bis zur Erstellung eines Patch Management Prozesses. Nehmen Sie noch heute unverbindlich mit uns Kontakt für ein erstes Gespräch auf.