Remote Patching: So schützen Sie ihr Home Office vor Cyberangriffen

Viele IT-Abteilungen mussten im Zuge der Corona-Krise feststellen, dass ihre Lösungen der neuen Zeit der Remote-Arbeit nicht mehr gewachsen sind. Dies betrifft besonders das Patch-Management. Laptops befinden sich aktuell vorwiegend außerhalb des Firmennetzes und die Verteilung aktueller Patches kann nicht gewährleistet werden. Konkret bedeutet das, dass bereits die erste Verteidigungslinie einer Defense-in-Depth-Strategie, also das regelmäßige Aufspielen von Sicherheitsupdates, entscheidende Lücken hat. So entstehen Schwierigkeiten im Bereich überlasteter VPN-Bandbreiten, die Sicherheits-Updates erschweren. Außerdem wird das Management von Drittanbieter-Updates erschwert und der plötzliche Wechsel zur BYOD-Policy (Bring your own Device) sorgt für Komplikationen. IT-Abteilungen griffen in der aktuellen Krise zu kurzfristigen und teils provisorischen Lösungen. Dabei spricht vieles dafür, dass Remote-Arbeit keine vorübergehende Erscheinung ist und deshalb langfristige Lösungen gefragt sind. Denn die Mehrzahl Arbeitnehmer möchte weiter ortsunabhängig arbeiten.

VPN muss Sicherheits-Updates ermöglichen
Wenn es um zentral gesteuerte Aktualisierungen geht, sind Lösungen wie Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) und andere darauf angewiesen, mit der Infrastruktur vor Ort zu kommunizieren. Deshalb muss man den VPN-Datenverkehr so konfigurieren, dass die Updates die laufenden Prozesse nicht stören. Ist die VPN Bandbreite durch den Update-Verkehr gesättigt, sollte man die Systeme so einrichten, dass sie ihre Updates direkt von Windows Update beziehen. Allerdings riskiert man hier, dass die IT die Kontrolle und den allgemeine Überblick über das Patching verliert.

Drittanbieter-Updates bleiben eine Herausforderung
Für die Teilnehmer an einer Microsoft ELA müsste sich die Umstellung der Remote-Nutzer auf InTune beschleunigen. InTune gehört zur Microsoft Enterprise Mobility Suite (EMS) und ermöglicht die Verwaltung von Endgeräten mit Windows Betriebssystemen über einen Webbrowser. So lassen sich Viren-Scans durchführen oder Updates aufspielen. Zwar ist die Abdeckung mit Microsoft-Updates so gelöst, dafür stellen Programme von Drittanbietern eine weitere Herausforderung dar. Grund dafür ist die eingeschränkte MSI-Option zur Aktualisierung von InTune, die die den Großteil der externen Installationsprogramme ebenfalls erheblich eingeschränkt. Microsoft ist dabei eine API zu entwickeln, die die notwendige Erweiterung bereithält. Drittanbieter wie Adobe, Google und Mozilla sollten diese allerdings zurzeit nur für Testzwecke nutzen, weil sie sich noch in der Beta-Phase befindet.

Bring your own Device-Policy ist riskant
Viele Unternehmen verfolgen seit Jahren eine BYOD (Bring your own Device) Strategie. Für all jene, die sich bisher nicht dazu entschließen konnten, entstanden plötzliche einschneidende Herausforderungen, da der der Zugriff auf Unternehmensdaten von Geräten, die sich der eigenen Kontrolle entziehen, starke Sicherheitsrisiken mit sich bringen. Denn neben den regulären Sicherheitsmaßnahmen muss auch sichergestellt werden, dass das Patch Management diese weiteren Geräte integriert.

Ohne Zugriff auf Server: Cloud-basiertes Patch Management
Viele der Schwierigkeiten lassen sich durch Hybrid- und Cloud-basierte Patch-Management-Lösungen aus dem Weg räumen. So werden mittlerweile Hybrid-Optionen angeboten, die sich in wenigen Stunden implementieren lassen. Sie gewährleisten, dass Agenten auch außerhalb des existierenden Netzwerks von einer Verwaltungsoberfläche aus gelenkt werden können. Der Vorteil hiervon liegt darin, dass der Zugriff auf den Server aus dem Internet wegfällt.Stattdessen verständigen sich die Agenten – zum Beispiel auf den Laptops im Home Office – über einen sicheren Cloud-Dienst mit dem Patchmanagement. Dieses übermittelt die Richtlinien, die festlegen, welche Patches zu welchem Zeitpunkt installiert werden sollen. Der Download der Patches selbst findet dann direkt über das Download-Center des Herstellers statt. Am Schluss übermitteln die Agenten Berichte an die Verwaltungsoberfläche zurück, die die durchgeführten Updates protokollieren. Das entlastet die VPN-Bandbreite entlastet und gewährleistet gleichzeitig, dass konsistente Berichte über den Patch-Status der Geräte einsehbar sind. Die können damit weiterhin ordnungsgemäß aus der Ferne verwaltet werden und das VPN wird nicht überlastet.

Hybrid- und Cloud-Unterstützung wird zum Standard
Es ist absehbar, dass sich die Hybrid- und Cloud-Unterstützung für alle Systemverwaltungs-Toolsets wie Remote Control, Fehlerbehebungs-Tools und Sicherheitslösungen zu einer Standardlösung entwickeln wird. Denn die Unternehmen wollen sicherstellen, dass der Support ihrer Systeme in jedem Umfeld gewährleistet ist. Solche Toolsets, die ein nahtloses Patch-Management ohne die Notwendigkeit von VPN-Verbindungen nicht ermöglichen, werden für den immer populäreren Remote-Arbeitsplatz mittelfristig nicht mehr geeignet sein.