Patch Management Wiki

25_in_51.C2.A0applications">Der_Sieger erreicht 100 Prozent in 51 Anwendungen.

Patch-Management ist ein wichtiger Faktor für die Unternehmenssicherheit. Deshalb hat AV-TEST vier Patchmanagementlösungen geprüft. Patches für Unternehmensumgebungen analysiert alle gemanagten Unternehmenssysteme, scannt sie auf Sicherheitsrisiken und hält sie mit Aktualisierungen auf dem Laufenden. Sie vergleichen bestehende Betriebsysteme und Programme mit den Datenbeständen der entsprechenden Patch-Management-Softwareanbieter und stoßen die Aktualisierungen an.

Allerdings hängt es in der Realität davon ab, wie rasch die Aktualisierungen installiert werden, ob die Anwendung die ausgeführten Anwendungen kennt und ob sie die Aktualisierungen ohne Fehler durchführt. Mit dem Testen der Patches hat das Unternehmen KASPERSY LAB AV-TEST beauftragt. Bei den Testergebnissen der Programme Caspersky Lab, Lightension, VMwares und Symantecs treten die Ergebnisse nun ohne den Einfluss von Caspersky Lab auf.

Die folgenden Artikel wurden getestet: Sicherheitslücken im Betriebsystem von Microsoft-Systemen können mit der Microsoft WSUS-Datenbank verhältnismäßig rasch geschlossen werden, wenn die Patch-Lösung diese kennt und den Dienst ausnutzt. Andernfalls ist die Anzahl der von Unternehmen genutzten Anwendungen nahezu unbegrenzt. Dabei mussten die Patch-Management-Lösungen über 290 verschiedene Programm- und Betriebssystemfunktionen durchlaufen.

Dieser Betrag ergibt sich aus den Daten aller unterstützten Anwendungen der vier Branchen. Zu diesem Zeitpunkt wies die Kaspersky-Lösung mit über 78% den besten Gegenwert auf. Es folgten die VMware-Lösung mit 65 Prozent, mit 48 Prozent und mit fast 27 Prozent die Software Luminension. Lediglich Caspersky und die Firma Laurence haben 100% aller Betriebsysteme erkannt.

Im Rahmen des Labors wurde getestet, ob die Patchlösungen die 60 beliebtesten Anwendungen anerkennen und aktualisieren. Die Ergebnisse sind gemischt: Die Lumensions-, VMwares- und Symantec-Lösungen sind mit den meisten Programmen vertraut, haben aber die Release-Nummer nicht oder nur unzureichend gelesen. Die Software kann nicht einmal von Browsern wie Chrome, Opera oder Safari verwendet werden. Hier kann die Kaspersky-Lösung wieder punkten, denn eine korrekt erfasste Anwendung mit Angabe der Produktversionsnummer erlaubt auch das richtige Upgrade.

Wenn eine Anwendung nicht in der Systemsprache des Systems auf dem Computer läuft, verweigern einige Anwendungen den vollen Support. Insbesondere weiß sie nur zwei zusätzliche Sätze. Unter den 14 geprüften Sprachversionen wissen die Unternehmen zwölf, die Firma VMwares gar dreizehn, aber: VMwares und Symantecs aktualisieren sechs bzw. sieben Programmversionen, wechseln aber die vorher festgelegte Programmiersprache.

Wenn eine Anwendung eine Schwachstelle meldet, wird ein Patch umgehend veröffentlicht. Dabei haben die Systeme von Caspersky Lab und VMwares im Durchschnitt nach vier Tagen reagiert, Symantec nach fünf. Die Lumensierung dauerte beinahe zwölf Tage. Wichtigster Aspekt ist das Flicken selbst. Die Lösung musste im Testfall nur die Anwendungen aktualisieren, die sie kannte.

Mit der Patch-Lösung von Caspersky Lab wurde dies für 51 Anwendungen zu 100% erledigt. Die Lichtausbeute lag bei nahezu 97%, allerdings mit nur 27 Anwendungen. Sowohl VMwares als auch Symantecs unterstützen je 63 verschiedene Anwendungen, die jedoch nur zu 97% bzw. 87% gepatcht wurden. Im Hause Sunmantec sind nach dem Upgrade acht Projekte in den Streik getreten, bei der Firma VMwares ist das Patching in einem einzigen Mal fehlgeschlagen.

Kann eine Aktualisierung der Client-Programme nicht verschoben werden, können einige Lösungsansätze mit gewissen Systemzuständen zusammenstoßen, wie z.B. laufende Anlagen, geöffnete Webbrowser, eine fehlende Internetverbindung oder die Tatsache, dass die zu pflasternde Anwendung gerade ausgeführt wird. Dies wurde im Versuch simuliert. Die Unternehmen haben in allen Störungsszenarien ihre Schwierigkeiten. Insbesondere geöffnete Browserversionen und zu patchingfähige Programme, die gerade liefen, erschwerten die Lösung.

In vielen Anwendungen wird versucht, z.B. während einer Anlage weitere Symbolleisten oder Optimierungswerkzeuge in die Anlagen einzubringen. Während des Tests haben sowohl die beiden Unternehmen die einzelnen Add-ons in das Upgrade übernommen. Eine Patch-Management-Lösung sollte in der Lage sein, die Auto-Aktualisierungsfunktion der Anwendungen zu aktivieren. Lediglich Kaspersky Lab, die Firmen Kaspersky Lab, die Firma Capt. Cap. und die Firma Veware bieten diese Möglichkeit als Sonderausstattung an.

Dies muss von Symantec-Benutzern selbst mit Hilfe der Skriptsteuerung gelöst werden. Allerdings werden von den Lumensions- und VMware-Lösungen nur wenige Anwendungen unmittelbar unterstützt. Mindestens deshalb stellt VMwares Antwort auch per Skript zur Verfügung. Lediglich die Systeme von La Chair und Caspersky Lab ermöglichen diese Funktion für einen Administrator. Ohne sie kommen sowohl die Firma SiMantec als auch die Firma Veware aus.

Obwohl Caspersky Lab diesen Dienst in seine Softwarelösung integriert hat und ihn kontrolliert, tun dies alle anderen Softwarelösungen nicht. Im Patch-Management zeigt der Testfall, dass die Softwarelösung von Caspersky Lab derzeit die Führung ausübt. Die Patchlösung hingegen unterstützte die meisten Anwendungen und erzielte über alle Einzeltests hinweg Hoch- oder gar Höchstwerte.

Im Testbetrieb hat sich die VMware-Lösung gut bewährt, ist aber in jeder Hinsicht noch weit hinter Caspersky zurück. Direkt hinter VMwares, Symatec und Lightension sind die Lösungsansätze nahezu auf Augenhöhe. Die Firma ist mit bemerkenswert wenigen Anwendungen vertraut und reagiert zu zäh. Dies kann Symantec besser, wechselt aber bei Aktualisierungen gern die Sprache und hat Schwierigkeiten bei der Aktualisierung aktiver Systeme.