Der Slammer-Wurm hat es allen überdeutlich vor Augen geführt: Ungepatchte Systeme sind ein Riesenproblem innerhalb von IT-Infrastrukturen. Ein genau so grosses Problem stellt jedoch auch das regelmässige Aufdatieren der Systeme dar. Von einem "Patch-Wahnsinn" zu sprechen ist mit Sicherheit keine Untertreibung.
InfoWeek hat mit drei Schweizer Banken über das Patch-Problem gesprochen und dabei festgestellt, dass vor allem die Schuld- und Verantwortungsfrage für Emotionen sorgt. Muss sich ein Administrator nicht jeden morgen als erstes über verfügbare Patches informieren? Oder muss ein Softwarehersteller seine Kunden zum Update auffordern, nachdem schon eine Lösung mit Lecks programmiert wurde. Für den IT-Verantwortlichen einer bekannten Zürcher Bank, die nicht namentlich erwähnt werden will, eine Grundsatzfrage: "Ist die Info über einen Patch eine Bring- oder eine Holschuld", fragt der Spezialist, um danach zu ergänzen, dass es in der heutigen Situation eine Administratorenpflicht ist.
Wie die Patch-Info-Problematik im täglichen IT-Leben tatsächlich aussieht, schildert Ernst Gfeller, Leiter IT bei der Hyposwiss Privatbank. Er ist grundsätzlich der Meinung, dass es tatsächlich die Pflicht des Administrators sein muss, sich über Patches zu informieren. "Er beziehungsweise ein ganzes Team ist verantwortlich für die Verfügbarkeit der IT-Plattform. Es scheint mir Ausdruck des Pflichtbewusstseins der Administratoren, sich entsprechend zu informieren." Gfeller spricht aber eine Problematik der Hyposwiss an, die für das Gros der Schweizer Unternehmen gelten dürfte. Bei rund 140 Usern und 5 IT-Mitarbeitern liegt eine 100-Prozent-Stelle für das Patching und Updating schlicht nicht drin. "Aus diesem Grund entsteht hier oftmals die Situation, einen Spagat zu vollbringen, möglichst wenig Kosten zu verursachen und trotzdem die Sicherheit und Verfügbarkeit der Plattform zu gewährleisten."
Die grundsätzliche Strategie bei der Hyposwiss, Software auf dem neuesten Stand zu halten, sieht folgendermassen aus: Einmal pro Woche wird die Virenschutzsoftware aufdatiert - dieser Zyklus kann bei Bedarf aber auch verkürzt werden. "Betreffend Software-Patches oder -Updates wird selektiv entschieden, ob das Risiko für das Auslassen eines Updates getragen werden kann", informiert Gfeller weiter.
Bei besagter anonymer Zürcher Bank werden Patches zuerst getestet und dann raschmöglichst eingespielt, vornehmlich nachts mittels SMS (Systems Management Server).
Bei der WIR Bank sieht die Situation laut Thomas Wenk, Leiter Ressort IT-Services, folgendermassen aus: "Relevante Security Patches werden spätestens innerhalb einer Woche eingespielt. Bei anderen Patches wird erst einmal abgewartet, was diese für Probleme mit sich ziehen." Zudem komme manchmal auch der Grundsatz "never change a running system" zur Anwendung, dies jedoch selten und nur bei Fällen, die nicht sicherheitsrelevant sind. Im Schnitt wird ein Manntag pro Monat auf Systempatches verwendet, informiert Wenk weiter.
Die Wege, wie sich die drei Banken über neue Lecks beziehungsweise die Verfügbarkeit von Patches informieren, unterscheiden sich nur unwesentlich voneinander. Bei der WIR Bank geschieht dies über Security Mailinglists, zum Beispiel Bugtraq, über Quellen im Internet sowie direkt von den diversen Softwareherstellern. Bei der anonymen Zürcher Bank informiert man sich ebenfalls via Internet, über direkte Mailbenachrichtigungen sowie auch via Informationsaustausch innerhalb der Gruppe. Bei der Hyposwiss Privatbank schliesslich hat man sich bei diversen Verteilerlisten von Microsoft, insbesondere beim Security-Bulletin eingetragen. Über High-Risk-Viren wird die IT-Abteilung per SMS vom Software-Partner informiert.
Ein enorm wichtiger Aspekt für eine sichere Firmen-IT ist auch die Sensibilisierung der Mitarbeiter auf die Gefahren aus dem Internet. Beim Finanzinstitut, das nicht genannt werden will, finden aus diesem Grund Security Awarness Trainings durch den Security Officer statt.
Bei der Hyposwiss kommt ein Dreistufensystem zum Einsatz. Ernst Gfeller erklärt: "Es besteht via Weisungswesen die Pflicht für den Mitarbeiter, sich bewusst mit den Gefahren des Internets auseinander zu setzen und sich dieser in der ersten Stufe auch bewusst zu sein. In der zweiten Stufe werden durch die IT via Intranet periodisch Artikel zu diesem Thema veröffentlicht. In einer dritten Stufe wird im Moment angedacht, via Security-Officer die entsprechende Sensibilität der MitarbeiterInnen zu wecken und auch zu prüfen." Zu guter Letzt die WIR Bank, wo nebst der Sensibilisierung laut Thomas Wenk auch die "nötigen und verantwortbaren technischen Sicherheitsmassnahmen", - sprich Virenscanner, Attachmentfilter und Sperren - angewendet werden.
Sollte es trotz all der Sicherheitsmassnahmen zu einem ernstzunehmenden Angriff kommen, besteht bei den Banken ein Notfallplan. In der Regel sieht dieser vor, dass als erste Massnahme die Verbindungen nach aussen gekappt werden.
Die Angst davor, dass es soweit kommt, ist aber sehr gering: "Bedingt durch den Aufbau unseres Netzwerkes, welches die Anbindung ans Internet via einen grossen schweizerischen Service-Partner sicherstellt, welcher sich seinerseits auch mit den entsprechenden Sicherheitsvorkehrungen schützen muss - was ein vorgegebener Auftrag ist -, kann man das Risiko eines Angriffes auf unser Netzwerk als sehr klein einzustufen", so Ernst Gfeller unbekümmert. Und Thomas Wenk zu diesem Thema: "Die meisten 'Angriffe' werden durch spielende Schulkinder verübt und führen bei einem wirklich gesicherten Netzwerk nicht einmal zu einem Mundwinkelzucken des Administrators. Aber auch wirklichen Angriffen sind die Systeme, welche mehrstufig aufgebaut sind, gewachsen."
Wenk hat überdies abschliessend noch einen interessanten Zusatz zum Thema IT-Sicherheit zu liefern: "Zunehmendes Problem der Informatik in der heutigen Zeit ist auch, dass mit ein paar Mausklicks und Schiebebewegungen ein System im Internet als Server betrieben werden kann, ohne irgendwelche Ahnung, was dabei überhaupt im Hinter- und Vordergrund abläuft. Die Software ist so eingerichtet, dass in den Grundeinstellungen das Scheunentor offen steht - Sicherheit muss nachträglich
'eingeklickt' werden." Und der Leiter IT Services fügt kritisch an:
"Zudem sind die Grundlagen bei den meisten Informatikern nicht mehr vorhanden, vielmehr konzentriert man sich aufs Schwatzen und Präsentieren."
