1. Was bedeutet Patch Management Compliance?

2. Warum ist die Einhaltung des Patch-Managements wichtig?

3. Einhaltung von Patch-Management-Zielen mit Software-Tools

4. Blogs

5. Zusätzliche Ressourcen

Was bedeutet Patch Management Compliance?

Das Patch-Management besteht darin, Computer, mobile Geräte oder andere Maschinen in einem Netzwerk auf fehlende Software-Updates, so genannte "Patches", zu überprüfen und das Problem zu beheben, indem diese Patches installiert werden, sobald sie verfügbar sind. Patches sind eine Art von Code, der in den Code eines bestehenden Softwareprogramms eingefügt (oder gepatcht) wird.

Da die Nichtinstallation von Patches zu schwerwiegenden Sicherheitslücken führen kann, haben viele Regierungsbehörden und Branchenverbände die Einhaltung des Patch-Managements vorgeschrieben.

Staatliche Einrichtungen, das Gesundheitswesen und der Finanzsektor haben in der Regel die strengsten Anforderungen an die Einhaltung von Vorschriften. Aber auch Unternehmen in anderen Bereichen müssen sich an staatliche Vorschriften, Service Level Agreements (SLAs), die Vorgaben von Branchenverbänden und Unternehmensrichtlinien halten.

Einige der bekanntesten Aufsichtsbehörden und Gesetze, die eine Art von Patch-Management-Sicherheitsvorgaben verlangen, sind:

• Payment Card Industry Data Security Standard (PCI DSS)

• Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA)

• Nationales Institut für Standards und Technologie (NIST)

• Allgemeine Datenschutzverordnung der Europäischen Union (GDPR)

• Bundesrat für die Prüfung von Finanzinstituten (FFIEC)

• Gramm-Leach-Bliley (GLBA)

• Sarbanes-Oxley (SOX)

• Family Educational Rights und Datenschutz (FERPA)

Viele dieser Behörden verlangen die Implementierung eines regelmäßigen, vollständig dokumentierten Patch-Management-Prozesses, in dem die einzelnen Schritte beschrieben sind. Unternehmen müssen in der Lage sein, den Nachweis der kontinuierlichen Einhaltung von Vorschriften zu erbringen und regelmäßige Audits zu bestehen. Die Nichtimplementierung von Maßnahmen zur Einhaltung von Patch-Management kann für ein Unternehmen zu rechtlichen Konsequenzen führen. Die Datenschutzgrundverordnung der Europäischen Union (GDPR) kann beispielsweise Geldstrafen von bis zu 20 Millionen Euro (ca. 22 Millionen US-Dollar) oder vier Prozent des weltweiten Jahresumsatzes für Unternehmen verhängen, die die Vorschriften nicht einhalten.

Immer mehr Staaten, Nationen und internationale Gremien verabschieden Gesetze, die Unternehmen in ihrem Zuständigkeitsbereich den Schutz der Privatsphäre und andere Anforderungen auferlegen. Innerhalb der USA können sich diese Gesetze sogar von Staat zu Staat unterscheiden, was die Anwendbarkeit und Einhaltung verwirrend macht.

Diese Komplexität ist für kleine und mittelständische Unternehmen (SMB) mit begrenzten IT-Abteilungen eine noch größere Herausforderung. Diese neuen Anforderungen bringen immer mehr dieser Unternehmen in den Bereich der Regulierung, wo sie sich in einem Labyrinth von Vorschriften zurechtfinden müssen, die in einem verwirrenden und manchmal vagen juristischen Fachjargon formuliert sind. KMUs haben möglicherweise Schwierigkeiten zu verstehen, was die Anforderungen an die Patch-Verwaltung sind, ob sie anwendbar sind - und wenn ja, wie man sie richtig erfüllt.

Warum ist die Einhaltung des Patch-Managements wichtig?

Eine ordnungsgemäßes Patch-Management kann die Sicherheitsabwehr eines Unternehmens erheblich verbessern, indem sie die Schwachstellen in der Software und den Betriebssystemen beseitigt. Hier finden Sie einige Gründe, warum die Einhaltung des Patch-Managements so wichtig ist:

• Sicherheit
  Cyber-Bedrohungen sind alltäglich geworden, sodass die Aufsichtsbehörden Unternehmen dazu verpflichten, die neuesten Patches zum Schutz vor diesen Bedrohungen zu installieren. Verstöße gegen die Netzwerksicherheit werden am häufigsten durch fehlende Patches in Betriebssystemen und anderen Anwendungen verursacht. Die Nichteinhaltung der Vorschriften gefährdet wertvolle Informationswerte wie geistiges Eigentum und hochsensible Kundendaten (Gesundheitsdaten, Kreditkartennummern usw.).

• Ordnungsrechtliche Geldbußen
  Bußgelder für die Nichteinhaltung US-amerikanischer und internationaler Vorschriften wie dem Health Insurance Portability and Accountability Act (HIPAA) und der General Data Protection Regulation (GDPR) können Unternehmen Tausende oder sogar Millionen von Dollar kosten. Eine Geldstrafe von 100.000 Dollar kann einen erheblichen Teil der Gewinnspanne eines kleinen Unternehmens ausmachen.

• Reputationsverlust und rechtliche Haftung
  Unternehmen können das Vertrauen ihrer Kunden verlieren, wenn diese feststellen, dass ein Unternehmen sich nicht an die Vorschriften gehalten hat. Laut einer Studie des Ponemon Institute mit dem Titel The True Cost of Compliance with Data Protection Regulations (Die wahren Kosten der Einhaltung von Datenschutzbestimmungen) sind die Folgen der Nichteinhaltung von Compliance-Risiken ein Vertrauensverlust, der die Kundentreue gefährdet, und die Unfähigkeit, Dienstleistungen und Produkte zu liefern, was zu Umsatzeinbußen führt." Darüber hinaus können Kunden sogar rechtliche Schritte gegen ein Unternehmen wegen einer schwerwiegenden Verletzung des Datenschutzes einleiten, wenn Hacker auf Daten zugreifen konnten, die zu Geld- oder Identitätsdiebstahl führen könnten.

• Produktivität
  Computerabstürze aufgrund von fehlerhafter Software können zu einer geringeren Produktivität führen. Die Installation eines Patches hingegen verringert die Wahrscheinlichkeit von Abstürzen und Ausfallzeiten, sodass die Mitarbeiter ihre Aufgaben ohne Unterbrechungen erledigen können. Bei Patches geht es nicht immer um die Behebung von Fehlern. Sie können auch neue Features und Funktionen enthalten, die die neuesten Innovationen der Software nutzen können. Softwareanbieter arbeiten ständig an neuen Funktionen und stellen neue Funktionen in Form von Patches zur Verfügung. Wenn die IT-Abteilung diese Patches herunterlädt und installiert, können die Mitarbeiter besser und intelligenter arbeiten.

• BYOD
  Das Aufkommen von "Bring Your Own Device" (BYOD) hat Cyberangreifern ganz neue Möglichkeiten eröffnet. Mitarbeiter nutzen zunehmend ihre privaten und dienstlichen Geräte, um ihre Arbeit zu verrichten - daher müssen auch die persönlichen Geräte geschützt werden. Eine gute Patch-Management-Compliance sollte Patches für alle Geräte installieren, unabhängig von ihrem physischen Standort. Die Einhaltung der Vorschriften dient als Schutz vor vielen der Herausforderungen, die mit der Nutzung privater Geräte einhergehen.

Einhaltung von Patch-Management-Zielen mit Software-Tools

In den letzten zehn Jahren ist eine Vielzahl von Softwarelösungen für das Patch-Management auf den Markt gekommen, mit denen Unternehmen die Einhaltung gesetzlicher Vorschriften leichter erfüllen können. Dazu gehören Lösungen für Auditing und Sicherheitsscans, Bedrohungsmanagement, Zugriffskontrolle, Netzwerküberwachung und Patch-Management-Software, die dabei helfen, spezifische Compliance-Anforderungen zu erfüllen.

Cloud-Dienste bieten integrierte Tools wie Verschlüsselungsoptionen, Identitäts- und Zugriffsmanagementsysteme (IAM), virtuelle Netzwerkisolierung und andere Sicherheitstools, die zum Schutz persönlicher Daten beitragen, wie es die Datenschutzbestimmungen verlangen. In Kombination mit lokalen Tools für das Patch-Management wird das Erreichen der Ziele für die Einhaltung gesetzlicher Vorschriften leichter möglich.

Wie wählen Sie angesichts der großen Anzahl der heute verfügbaren Patch-Management-Tools die richtige Lösung aus? Hier finden Sie einige Funktionen, die in einer Patch-Management-Software vorhanden sein sollten, um die Einhaltung gesetzlicher Vorschriften zu unterstützen:

• Enthält spezifische Berichte für wichtige Compliance-Regelungen sowie Berichte zur Kontonutzung und -verwaltung, zu Richtlinienänderungen und anderen Themen.

• Sorgt für eine vollständige Abdeckung der Schwachstellenbewertung und konsolidiert die Ergebnisse in aussagekräftigen Berichten - unabhängig von der Plattform - wie von Aufsichtsbehörden wie PCI und HIPAA gefordert.

• Ermöglicht die Sammlung, Normalisierung und mehrschichtige Konsolidierung von Protokolldaten, um die Anforderungen an die Aufbewahrung von Protokolldaten zu erfüllen und das Patch-Management zu überprüfen, die von den gängigen Behörden und Gesetzen gefordert werden.

• Erzeugt Berichte über den Status der einzelnen Updates und relevante Statistiken über Patch-Installationen und Updates zu Prüfzwecken

• Funktioniert auf verschiedenen Plattformen und Betriebssystemen - einschließlich Microsoft®-, MAC OS X®- und Linux®-Betriebssystemen, Amazon Web Services (AWS), anderen Cloud-Plattformen sowie Anwendungen von Drittanbietern

• Scannt das gesamte Netzwerk, um fehlende Patches für verschiedene Software zu identifizieren

• Lädt Patches direkt von den Websites der Hersteller herunter

• Umfasst effiziente Patch-Tests und Verteilungsverfahren

• Lässt sich problemlos auf allen Geräten wie Desktops, Laptops und Servern installieren.

Blogs

Zusätzliche Ressourcen