US-Rechnungshof mahnt Patch-Sorgfalt bei Behörden an

Das General Accounting Office (GAO) der USA hat die IT-Sicherheitspraktiken in 24 Behörden untersucht. Dabei haben die Prüfer des Rechnungshofs festgestellt, dass zwar alle Patch-Management in Form von Inventarisierung und Sicherheitstraining betreiben, aber nicht alle anderen allgemein übliche Praktiken anwenden. Zum Beispiel würde nicht in allen Behörden ein Patch getestet, bevor er systemweit installiert wird. In dem GAO-Bericht ist ausschließlich von Microsoft-Betriebssystemen die Rede.

Die GAO warnt vor ernsthaften wirtschaftlichen Schäden, die durch Viren und Würmer entstehen. Das CERT Coordination Center habe zwischen 1995 und 2003 13.000 Sicherheitslücken in Software gezählt, den größten Teil davon in den vergangenen drei Jahren. Zudem werde die Zeitspanne, auf eine Sicherheitslücke zu reagieren, immer kürzer, bevor ein schädlicher Code diese Lücke ausnutzt.

Gleichzeitig nehme die Zahl der Patches bei immer kürzeren Veröffentlichungsabständen zu. Eine weitere Schwierigkeit sei, dass oft heterogene Systeme gesichert werden müssten. Auch müssten mobile Geräte wie Notebooks ebenfalls auf dem neuesten Stand gehalten werden. Es gebe kommerzielle Werkzeuge und Dienste, die Behörden beim zeitaufwendigen Patch-Management durch automatisierte Verfahren beim Abscannen von Netzwerken und der Prüfung nach neuen Patches helfen könnten. (anw)