Vier Patch-Management-Lösungen im Test
In Unternehmen spielt das Patch-Management für die Sicherheit eine große Rolle. Schlecht oder gar nicht aktualisierte Software ist sofort ein Einfallstor für Angreifer und Schädlinge. AV-TEST hat von Mai bis Juli 2013 vier Lösungen für das Patch-Management getestet und ermittelt, wie gut diese die Sicherheit erhöhen.
Patch-Management-Lösungen für Enterprise-Umgebungen sorgen dafür, dass alle verwalteten Systeme analysiert, auf Schwachstellen hin überprüft und, was Updates angeht, auf dem neuesten Stand gehalten werden. Vorhandene Betriebssysteme und Software gleichen sie mit den Datenbanken des jeweiligen Anbieters der Patch-Management-Software ab und lösen die Updates aus. Soweit die Theorie. In der Praxis kommt es aber darauf an, wie schnell die Updates eingespielt werden, ob die laufenden Applikationen erkannt und die Updates fehlerfrei ausgeführt werden. Schließlich nutzen die meisten Schädlinge die Schwachstellen von Software, um in Systeme oder Netzwerke einzudringen.
Das Testfeld
Den Test der Patch-Management-Lösungen hat die Firma Kaspersky Lab bei AV-TEST in Auftrag gegeben. Dabei wurde nur der Testumfang von Kaspersky Lab vorgegeben, die finalen Testmethoden hingegen hat AV-TEST selbst festgelegt und den Test auch im eigenen Labor ausgeführt. Die Testergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec wurden ohne Einflussnahme von Kaspersky Lab nun veröffentlicht.
Im Test waren folgende Produkte:
• Kaspersky Security Center 10.1
• Lumension Endpoint Management & Security Suite 7.3
• Symantec Altiris Patch Management Solution 7.1
• VMware vCenter Protect 8.0
Den technischen Testbericht mit der Nennung aller einzelnen Testparameter und der Liste der geprüften Applikationen können Sie hier in englischer Sprache nachlesen avtest_2013-07_patch_management_english.pdf.
Die Hürden im Test
Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mit Hilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac-OS X, Red Hat oder SUSE Linux sind die Datenbanken der Lösungs-Anbieter gefragt.
Weiterhin ist die Menge der von Firmen eingesetzten Applikationen fast unbegrenzt. Die Patch-Management-Lösungen mussten im Test über 290 Programme und Betriebssysteme erkennen und unterstützen. Diese Summe ergab sich aus den Angaben aller unterstützten Applikationen der vier Lösungen.
An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 Prozent den besten Wert. Die Lösung von VMware folgte mit 65 Prozent, Symantec mit 48 und Lumension mit knapp 27 Prozent. Nur Kaspersky und Lumension erkannten alle Betriebssysteme zu 100 Prozent.
Kennen ist gut, erkennen ist besser
Im weiteren Test wurde geprüft, ob die Patch-Lösungen die 60 populärsten Applikationen erkennen und updaten. Mit vertreten: Browser wie Firefox, Chrome, Safari oder Opera, Mailclients wie Thunderbird oder Packer wie Winrar und 7-Zip.
Das Ergebnis ist durchwachsen: Die Lösungen von Lumension, VMware und Symantec kennen zwar die meisten Programme, lesen aber die Versionsnummer falsch oder gar nicht aus.
Lumension unterstützt nicht einmal Browser wie Chrome, Opera oder Safari, kennt Thunderbird nicht und kann auch mit Winrar nichts anfangen.
Die Lösung von Kaspersky kann auch hier wieder punkten, denn eine richtig erkannte Applikation samt Versionsnummer ermöglicht auch das korrekte Update.
Falsche Sprache wird passend gemacht
Ist eine Applikation nicht in der Systemsprache installiert, dann verweigern einige Lösungen die volle Unterstützung. Vor allem Lumension kennt nur zwei zusätzliche Sprachen. Von 14 getesteten Sprachen kennen Symantec und Kaspersky Lab 12, VMware sogar 13 Sprachen. Allerdings: VMware und Symantec bringen zwar sechs bzw. sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.
Wie schnell wird gepatcht?
Sobald eine Applikation eine Schwachstelle meldet, wird damit auch zeitnah ein Patch veröffentlicht. Im Test reagierten die Lösungen von Kaspersky Lab und VMware im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast 12 Tage.
Wer patcht zuverlässig – wer scheitert?
Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand erledigen.
Im Test mussten die Lösungen aus dem Testpool an Applikationen nur diejenigen updaten, die sie auch kennen. Diese Qualität wurde festgehalten. Die Patch-Lösung von Kaspersky Lab schaffte hier 100 Prozent bei 51 Programmen. Lumension erreichte fast 97 Prozent, aber mit nur 27 Applikationen. VMware und Symantec unterstützten jeweils sogar 63 Programme, patchten sie aber nur zu 97 bzw. 87 Prozent. Bei Symantec streikten acht Programme nach dem Update, bei VMware eines.
Stolpersteine bei Updates
Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internet-Verbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.
Bei den von den Patch-Management-Lösung unterstützten Applikationen konnten nur Kaspersky Lab und Lumension punkten. Letztere Lösung hatte nur drei Mal ein Problem, weil die zu patchende Software gerade lief.
VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.
Sicherheitslücken durch Add-ons
Viele Applikationen versuchen während einer Installation etwa weitere Toolbars oder Optimierungs-Tools in die Systeme zu bringen. Auch bei den Updates werden bei Unachtsamkeit diese potentiellen Sicherheitslücken mit eingespielt. Im Test schlüpften sowohl Symantec als auch VMware einzelne Add-Ons ins Update. Nur Lumension und Kaspersky Lab blieben fehlerfrei.
Auto-Updates können querschießen
Viele Applikationen wissen über ihre permanente Anfälligkeit für Sicherheitslücken Bescheid – ganz vorne ist da etwa der Adobe Reader. Daher bringt er auch ein Auto-Update mit. Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Kaspersky Lab, Lumension und VMware bringen dies von Haus aus als Option mit. Nutzer von Symantec müssen dies selbst per Scriptsteuerung lösen. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Script an.
Nutzerlizenzen sollten einsehbar sein
Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.
Update-Support von Microsoft
Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.
Fazit: Patch-Management sichert Systeme und entlastet Admins
Die meisten aktuellen Schädlinge nutzen die Schwachstellen von Software und Betriebssystemen gnadenlos aus. Beim Patch-Management belegt der Test die aktuelle Führungsrolle der Lösung von Kaspersky Lab. Im Vergleich unterstützte die Patch-Lösung die größte Anzahl an Applikationen und sammelte über alle Testpunkte hinweg hohe oder sogar die besten Werte ein.
Die Lösung von VMware schlug sich im Test gut, liegt aber mit allen Werten noch deutlich hinter der Lösung von Kaspersky. Knapp hinter VMware finden sich die Lösungen von Symatec und Lumension fast gleichauf. Lumension kennt auffällig wenig Applikationen und ist in der Update-Reaktion zu langsam. Symantec kann dies zwar besser, tauscht aber gerne die Sprachen beim Update aus und hat Probleme beim Updaten von aktiven Systemen.
Eine Übersicht zur Testmethodik und eine Liste der verwendeten Applikationen mit Schwachstellen finden Sie im technischen Testbericht hier avtest_2013-07_patch_management_english.pdf.