Patchmanagement mit Kaspersky Systemsmanagement

Vier Patch-Management-Lösungen im Test In Unternehmen spielt das Patch-Management für die Sicherheit eine große Rolle. Schlecht oder gar nicht aktualisierte Software ist sofort ein Einfallstor für Angreifer und Schädlinge. AV-TEST hat von Mai bis Juli 2013 vier Lösungen für das Patch-Management getestet und ermittelt, wie gut diese die Sicherheit erhöhen.

 

Patch-Management-Lösungen im Test:

Nicht nur in der Anzahl der unterstützten Applikationen schlägt die Lösung von Kaspersky Lab die anderen Testteilnehmer. Auch im Gesamtergebnis über alle Testabschnitte hinweg sammelt das Kaspersky-Produkt die besten Werte:

Anzahl der unterstützten Applikationen im Patch-Management:

Mit knapp 230 Applikationen ist das Programm-Portfolio der Kaspersky-Lab-Lösung am größten. Lumension kennt nicht einmal 90 Programme. Lumension kennt nicht einmal 90 Programme.

Durchschnittlich gemessene Dauer für Updates in Tagen:

Während die Lösungen von Kaspersky Lab und VMware vier Tage für das Update benötigen, braucht Symantec fünf und Lumension fast 12.

Live-Update der Clients unter Störeinflüssen:

Sobald dringende Updates bei Clients im Arbeitsbetrieb erfolgen müssen, haben viele Lösungen Probleme. Laufende Installationen, offene Browser, keine Internet-Verbindung oder zu patchende Applikationen, die gerade laufen, verhindern bei Lumension, VMware und Symantec erfolgreiche Patch-Installationen.

Update von Software mit eingestellten Fremdsprachen:

Für ein Update muss die Patch-Lösung auch die in der Applikation eingestellte Sprache erkennen. Die Lösung von Lumension kennt fast keine Fremdsprachen. Symantec und VMware spielten zwar Patches ein, aber viele Programme hatten danach eine geänderte Spracheinstellung.

Fazit: Patch-Management sichert Systeme und entlastet Administratoren

Die meisten aktuellen Schädlinge nutzen die Schwachstellen von Software und Betriebssystemen gnadenlos aus. Beim Patch-Management belegt der Test die aktuelle Führungsrolle der Lösung von Kaspersky Lab. Im Vergleich unterstützte die Patch-Lösung die größte Anzahl an Applikationen und sammelte über alle Testpunkte hinweg hohe oder sogar die besten Werte ein.

Die Lösung von VMware schlug sich im Test gut, liegt aber mit allen Werten noch deutlich hinter der Lösung von Kaspersky. Knapp hinter VMware finden sich die Lösungen von Symatec und Lumension fast gleichauf. Lumension kennt auffällig wenig Applikationen und ist in der Update-Reaktion zu langsam. Symantec kann dies zwar besser, tauscht aber gerne die Sprachen beim Update aus und hat Probleme beim Updaten von aktiven Systemen.

Eine Übersicht zur Testmethodik und eine Liste der verwendeten Applikationen mit Schwachstellen finden Sie im technischen Testbericht hier avtest_2013-07_patch_management_english.pdf.

Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand erledigen.

Im Test mussten die Lösungen aus dem Testpool an Applikationen nur diejenigen updaten, die sie auch kennen. Diese Qualität wurde festgehalten.

Die Patch-Lösung von Kaspersky Lab schaffte hier 100 Prozent bei 51 Programmen. Lumension erreichte fast 97 Prozent, aber mit nur 27 Applikationen.

VMware und Symantec unterstützten jeweils sogar 63 Programme, patchten sie aber nur zu 97 bzw. 87 Prozent. Bei Symantec streikten acht Programme nach dem Update, bei VMware eines.

Den Test der Patch-Management-Lösungen hat die Firma Kaspersky Lab bei AV-TEST in Auftrag gegeben. Dabei wurde nur der Testumfang von Kaspersky Lab vorgegeben, die finalen Testmethoden hingegen hat AV-TEST selbst festgelegt und den Test auch im eigenen Labor ausgeführt. Die Testergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec wurden ohne Einflussnahme von Kaspersky Lab nun veröffentlicht.


Im Test waren folgende Produkte:

  • Kaspersky Security Center 10.1
  • Lumension Endpoint Management & Security Suite 7.3
  • Symantec Altiris Patch Management Solution 7.1
  • VMware vCenter Protect 8.0 

Den technischen Testbericht mit der Nennung aller einzelnen Testparameter und der Liste der geprüften Applikationen können Sie hier in englischer Sprache nachlesen avtest_2013-07_patch_management_english.pdf.



Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mit Hilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac-OS X, Red Hat oder SUSE Linux sind die Datenbanken der Lösungs-Anbieter gefragt.

Weiterhin ist die Menge der von Firmen eingesetzten Applikationen fast unbegrenzt. Die Patch-Management-Lösungen mussten im Test über 290 Programme und Betriebssysteme erkennen und unterstützen. Diese Summe ergab sich aus den Angaben aller unterstützten Applikationen der vier Lösungen.

An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 Prozent den besten Wert. Die Lösung von VMware folgte mit 65 Prozent, Symantec mit 48 und Lumension mit knapp 27 Prozent. Nur Kaspersky und Lumension erkannten alle Betriebssysteme zu 100 Prozent.

Kennen ist gut, erkennen ist besser

Im weiteren Test wurde geprüft, ob die Patch-Lösungen die 60 populärsten Applikationen erkennen und updaten. Mit vertreten: Browser wie Firefox, Chrome, Safari oder Opera, Mailclients wie Thunderbird oder Packer wie Winrar und 7-Zip.

Das Ergebnis ist durchwachsen: Die Lösungen von Lumension, VMware und Symantec kennen zwar die meisten Programme, lesen  aber die Versionsnummer falsch oder gar nicht aus.

Lumension unterstützt nicht einmal Browser wie Chrome, Opera oder Safari, kennt Thunderbird nicht und kann auch mit Winrar nichts anfangen.

Die Lösung von Kaspersky kann auch hier wieder punkten, denn eine richtig erkannte Applikation samt Versionsnummer ermöglicht auch das korrekte Update.

Ist eine Applikation nicht in der Systemsprache installiert, dann verweigern einige Lösungen die volle Unterstützung. Vor allem Lumension kennt nur zwei zusätzliche Sprachen.

Von 14 getesteten Sprachen kennen  Symantec und Kaspersky Lab 12, VMware sogar 13 Sprachen. Allerdings: VMware und Symantec bringen zwar sechs bzw. sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.

Sobald eine Applikation eine Schwachstelle meldet, wird damit auch zeitnah ein Patch veröffentlicht. Im Test reagierten die Lösungen von Kaspersky Lab und VMware im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast 12 Tage.

Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internet-Verbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.

Bei den von den Patch-Management-Lösung unterstützten Applikationen konnten nur Kaspersky Lab und Lumension punkten. Letztere Lösung hatte nur drei Mal ein Problem, weil die zu patchende Software gerade lief.

VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.
Sicherheitslücken durch Add-ons

Viele Applikationen versuchen während einer Installation etwa weitere Toolbars oder Optimierungs-Tools in die Systeme zu bringen. Auch bei den Updates werden bei Unachtsamkeit diese potentiellen Sicherheitslücken mit eingespielt. Im Test schlüpften sowohl  Symantec als auch VMware einzelne Add-Ons ins Update. Nur Lumension und Kaspersky Lab blieben fehlerfrei.

Viele Applikationen wissen über ihre permanente Anfälligkeit für Sicherheitslücken Bescheid – ganz vorne ist da etwa der Adobe Reader. Daher bringt er auch ein Auto-Update mit. Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Kaspersky Lab, Lumension und VMware bringen dies von Haus aus als Option mit. Nutzer von Symantec müssen dies selbst per Scriptsteuerung lösen. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Script an.

Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.

Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.