{"id":2659,"date":"2015-10-20T07:01:28","date_gmt":"2015-10-20T05:01:28","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2659"},"modified":"2023-11-09T11:09:13","modified_gmt":"2023-11-09T10:09:13","slug":"basisschutz-fuer-online-shops-das-patch-management","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/basisschutz-fuer-online-shops-das-patch-management\/","title":{"rendered":"Basisschutz f\u00fcr Online-Shops: Das Patch-Management"},"content":{"rendered":"

Veraltete Software ist h\u00e4ufig das Einfallstor f\u00fcr Cyberkriminelle. Leider werden Updates h\u00e4ufig auf die leichte Schulter genommen; besonders eindrucksvoll zeigte das die Heartbleed-L\u00fccke<\/a>, die insbesondere deshalb gro\u00dfe Angriffschancen hatte, weil Update-M\u00fcdigkeit vorherrschte. Wir kl\u00e4ren heute die Vor- und Nachteile automatischer sowie manueller Updates, werfen einen Blick auf Angriffsszenarien bei veralteter Software und \u00fcberlegen, wie Sie bei einem Angriff vorgehen k\u00f6nnen.<\/p>\n

<\/p>\n

Patch-Management f\u00fcr Online-Shops: Wozu sind Updates gut?<\/h2>\n

Updates, oft auch als „Hotfix“, „Patch“ oder „Service Release“ bezeichnet, halten Programme auf dem neuesten Entwicklungsstand. Oftmals erkennen Sie ein Update an der laufenden Versionsnummer, wobei man zwischen kleinen und gro\u00dfen Updates („Major Release“: die Hauptversionsnummer wird hochgesetzt, z. B. Version 2.3.1 auf Version 3.0.1) unterscheidet. M\u00f6chten Sie die Version Ihrer Software pr\u00fcfen, finden Sie im Men\u00fc h\u00e4ufig unter „Hilfe“ den Punkt „Info“.<\/p>\n

In Zeiten, in denen Software noch auf CD gekauft wurde, sah das Update-Management deutlich einfacher aus: nach der Installation hat man Software solange genutzt, bis die n\u00e4chste Version verf\u00fcgbar war, ohne das installierte Programm irgendwie zu \u00e4ndern. Unsere heutige digitale Welt ist jedoch dauerhaft und stetig in Bewegung; statische Programme geh\u00f6ren der Vergangenheit an. Neueste Entwicklungen werden zeitnah bereitgestellt, was bedingt, dass auch die Ursprungssoftware wesentlich flexibler sein muss. In aller Regel kann Software Updates heute direkt aus dem Internet laden, neue im Update verteilte Technologien finden nahtlose Integration in die originale Software.<\/p>\n

Updates erweitern in aller Regel die Funktionalit\u00e4t einer Software, optimieren die Sicherheit und die Performance. Sicherheitsupdates dienen dazu, vorhandene Sicherheitsl\u00fccken zu schlie\u00dfen. Sowohl in Betriebssystemen als auch in Browsern oder sonstiger Software k\u00f6nnen Sicherheitsl\u00fccken entstehen, die „gepatcht“ werden sollten, bevor Hacker mithilfe von Exploits, also kleinen Schadprogrammen, anfangen, diese Sicherheitsl\u00fccken auszunutzen.<\/p>\n

Neben diesen sicherheitsrelevanten Aspekten existiert noch ein weiterer Pluspunkt f\u00fcr ein gelungenes Update-Management: aus Updates geht oftmals ein Performancegewinn hervor. Technologie ist nicht mehr statisch, sondern dynamisch, und Entwickler sind st\u00e4ndig dabei, aktuelle Produkte weiter zu optimieren. Neue Ger\u00e4tetreiber sowie Firmware-Updates sind die Folge; hier werden die optimierten Entwicklungen in die vorhandene Software integriert.<\/p>\n

Bedrohungen wandeln sich schnell<\/h3>\n

Installieren Sie eine beliebige Software auf einem System, beinhaltet sie den Stand der Entwicklung zu der Zeit, als Programmierer die Software geschrieben haben. Technologie \u2013 und damit auch Bedrohungen \u2013 wandelt sich jedoch enorm schnell. W\u00e4hrend Sie eine Software von gestern gerade noch installieren, haben Virenprogrammierer, Hacker oder andere Cyberkriminelle l\u00e4ngst Sicherheitsl\u00fccken gefunden, durch die Ihr System angreifbar wird. Besonders pikant ist dieser Fakt bei Sicherheitssoftware wie Ihrer Antivirensuite: selbst wenn Sie diese erst vor wenigen Monaten installiert haben, existieren bereits zahlreiche neue Angriffsszenarien und Viren, die Ihr System sch\u00e4digen, schlimmstenfalls sogar unbrauchbar machen k\u00f6nnen.<\/p>\n

Lassen Sie sich jedoch nicht von der Annahme verleiten, nur Ihre Sicherheitssoftware aktuell halten zu m\u00fcssen. Bei s\u00e4mtlicher Software k\u00f6nnen Sicherheitsl\u00fccken zum Einfallstor f\u00fcr Cyberkriminelle werden. Nutzer der Shopsoftware modified eCommerce, die wir erst vor wenigen Wochen getestet haben<\/a>, m\u00fcssen nun beispielsweise ein Sicherheitspatch einspielen: „Wir haben eine Sicherheitsl\u00fccke gefunden, die alle ver\u00f6ffentlichten Shopversionen von modified eCommerce betrifft. Es ist jedem zu raten diese mittels angeh\u00e4ngtem Patch zu schlie\u00dfen“, warnt das modified-Team im hauseigenen Forum<\/a>.<\/p>\n

Angreifer k\u00f6nnen Ihre Daten manipulieren\/ infizieren, Ihre Festplatte komplett neu formatieren oder Ihre Systemressourcen blockieren. Jedem Online-H\u00e4ndler ist angeraten, die sich st\u00e4ndig im Wandel befindlichen Bedrohungen sehr ernst zu nehmen. Dies betrifft nicht nur Software, die im Unternehmen direkt Einsatz findet, sondern auch Software, die etwa im Home-Office, Au\u00dfendienstb\u00fcros oder auf privaten Endger\u00e4ten, die auch zur Arbeit verwendet werden (Stichwort „BYOD<\/a>„).<\/p>\n

Vor- und Nachteile automatischer und manueller Updates<\/h3>\n

Es existieren immer zwei Wege, um Updates zu installieren: automatisch sowie manuell eingespielte Updates. Beim automatischen Einspielen k\u00f6nnen Sie oftmals beliebte Zeitpunkte zum Installieren angeben. Hierbei macht es Sinn, Zeiten zu w\u00e4hlen, in denen der Betrieb eher gering ist. Bei manuellen Updates erhalten Sie f\u00fcr gew\u00f6hnlich eine Benachrichtigung. Zum Installieren m\u00fcssen Sie selbst zwei, drei Handgriffe ausf\u00fchren, k\u00f6nnen jedoch den Zeitpunkt sehr individuell bestimmen. Kritiker automatischer Updates bem\u00e4ngeln vorrangig die folgenden Minuspunkte:<\/p>\n