Ohne Frage ist das regelmäßige Einspielen von Updates eines der wichtigsten Mittel um Ihren Rechner vor Infektionen mit Schadprogrammen zu schützen. Viele Anwendungen bieten inzwischen die Möglichkeit Updates automatisch herunterzuladen und zu installieren. Damit Sie sich aber nicht blind auf diese Automatismen verlassen müssen, möchten wir mit unserem heutigen Beitrag etwas mehr Licht ins Dunkel rund um das Thema Patches und Updates bringen und einige weit verbreitete Mythen aufdecken.
Update, Upgrade, Patch, Aktualisierung, Exploit – ein Begriffswirrwarr?
Updates (zu deutsch: Aktualisierungen) bezeichnen im Softwareumfeld kleinere Verbesserungen. Durch ein Update können kleinere neue Funktionen zu der Software hinzugefügt oder Schwachstellen beseitigt werden. Das Softwarepaket, das dabei installiert wird, wird als Patch (zu deutsch: Flicken) bezeichnet. Patches werden vom Hersteller sehr häufig (die Zeitspanne reicht hier von mehrmals täglich bis hin zu monatlich) bereitgestellt und sind in der Regel in der erworbenen Lizenz kostenlos enthalten. In den letzten Jahren haben viele Hersteller ihre Produkte so erweitert, dass es die Möglichkeit gibt Updates automatisch zu installieren.
Schwachstellen in Programmen können durch Exploits ausgenutzt werden. Exploits sind dabei kleine Programme, mit denen Angriffe auf Rechner durchgeführt werden. Manchmal wird auch schon die Beschreibung, wie eine Sicherheitslücke in einem Programm ausgenutzt werden kann, als Exploit bezeichnet. Manche Exploits sind öffentliche bekannt. Es gibt jedoch auch einen Schwarzmarkt, auf dem “Exploits für alle Gelegenheiten und in allen Preisklassen” vertrieben werden.
Upgrades hingegen erweitern die Software deutlich um Funktionalität und werden daher auch als neue Version bezeichnet. Der Wechsel von Windows Vista auf Windows7 ist beispielsweise ein Upgrade. Sie erscheinen deutlich seltener als Updates – hier können mehrere Monate bis hin zu Jahren zwischen einzelnen Versionen vergehen. Für das Einspielen eines Upgrades ist häufig der Erwerb einer neuen Lizenz notwendig.
Wieso gibt es überhaupt Schwachstellen?
Ausschnitt aus Programmcode (Quelle:Wikipedia)
Wie können Schwachstellen ausgenutzt werden?
Natürlich führt nicht jeder Fehler automatisch zu einer Schwachstelle und nicht jede Schwachstelle kann ausgenutzt werden, um einen Rechner mit einem Schadprogramm zu infizieren. Jährlich werden allerdings mehrere tausend Schwachstellen veröffentlicht. Schwachstellen werden entweder vom Hersteller selbst oder von unabhängigen Experten entdeckt. Um eine Schwachstelle auszunutzen muss ein sogenannter Exploit – ebenfalls ein kleines Programm – verfügbar sein.
Schauen wir uns zunächst einmal den zeitlichen Ablauf von der entstehenden Schwachstelle bis hin zum fertigen Patch an, um zu verstehen, welcher Zeitrahmen gefährlich ist und wie Sie diesen verkürzen können. Grundsätzlich laufen folgende Schritte nacheinander bzw. parallel ab:
- Schwachstelle ist vorhanden
- Schwachstelle wird entdeckt
- Schwachstelle ist dem Hersteller bekannt
- Exploit ist verfügbar
- Patch ist verfügbar
- Patch ist installiert
Der Zeitraum zwischen den einzelnen Schritten ist dabei flexibel. Auch die Reihenfolge einiger Schritte kann variieren. Gefährlich ist grundsätzlich der Zeitraum zwischen dem Verfügbarwerden eines Exploits und dem Installieren des Patches.
Werfen wir nun einen Blick auf die einzelnen Schritte und schauen welchen Einfluss sie auf die Sicherheit Ihres Rechners haben.
Schwachstelle ist vorhanden
Dies ist stets der erste Schritt, der bereits bei der Softwareerstellung entsteht. Eine kleine Unaufmerksamkeit des Programmierers oder des Softwaretesters und schon ist es passiert.
Schwachstelle wird entdeckt/ Schwachstelle ist dem Hersteller bekannt
Schwachstellen werden entweder vom Hersteller selbst oder von Dritten entdeckt. Der Hersteller versucht die meisten Fehler schon im Rahmen von Tests vor der Veröffentlichung zu finden und zu beseitigen. Einige Hersteller setzen sogar ein eigenes Team von Mitarbeitern ein, die gezielt nach Schwachstellen in den eigenen Produkten suchen. Auf diese Weise ist es dem Hersteller möglich so schnell wie möglich auf Sicherheitslücken zu reagieren und einen eigenen Patch zu entwickeln.
Wird die Schwachstelle hingegen von einem Dritten entdeckt, so kann dieser sich an den Hersteller der Software wenden. In der Regel wird dann Stillschweigen über die Schwachstelle vereinbart, bis ein Patch zu Verfügung steht. Es kann für den Finder der Schwachstelle aber auch attraktiver sein, die Schwachstelle im Untergrund weiterzuverkaufen oder selbst zu veröffentlichen. Manchmal werden auch Exploits veröffentlicht, die nur die Schwachstelle aufzeigen, ohne Schaden anzurichten. Dies passiert häufig, wenn der Finder der Schwachstelle der Meinung ist, dass der Hersteller nicht oder nicht schnell genug reagiert. Hier besteht allerdings die Gefahr, dass der Exploit von Kriminellen modifiziert wird.
Exploit ist verfügbar
Ab diesem Zeitpunkt können die Angriffe beginnen. Mit Hilfe des Exploits wird die bestehende Schwachstelle ausgenutzt. Der Exploit – also ein kleines Programm – wird über E-Mails oder Webseiten verteilt, um damit z.B. Schadprogramme zu installieren. Taucht der Exploit vor oder zeitgleich mit der Veröffentlichung der Schwachstelle auf, so spricht man von einem Zero-Day-Exploit. Dieser ist besonders gefährlich, da ein Update als Schutzmechanismus noch nicht zur Verfügung steht. Exploits können genau wie Schwachstellen öffentlich verfügbar sein oder auf Untergrundmärkten verkauft werden.
Manchmal entstehen Exploits auch erst nach der Veröffentlichung eines Patches. In diesem Fall analysiert der Angreifer das Update und versucht daraus Schlussfolgerungen zu ziehen, welche Schwachstelle in der Anwendung vorhanden ist. Alle Rechner, die das Update noch nicht installiert haben, können darüber noch angegriffen werden.
Patch ist verfügbar
Spätestens nach dem Auftauchen eines Exploits hat der Hersteller Kenntnis von der Schwachstelle und beginnt mit der Entwicklung eines Patches. Dies kann allerdings einige Zeit in Anspruch nehmen. Neben der Entwicklung und der Tests des Update kommt verzögernd hinzu, dass einige Hersteller wie Microsoft oder Adobe so genannte Patch-Days haben. Im Regelfall erscheinen dann Updates nur an diesen Tagen, zwischen denen beispielsweise bei Microsoft jeweils ein Monat liegt. Dies ist ein Zugeständnis an den Einsatz der Software in professionellen Umgebungen. Dort werden Patches häufig erst nach eigenen Test und im Zuge eines definierten Prozesses eingespielt. Feste Termine für Patches erleichtern dort die Arbeit. Der Hersteller kann sich jedoch auch entschließen besonders wichtige Updates vorzuziehen und nicht bis zum nächsten Patch-Day zu warten.
Gelegentlich werden auch Patches von Drittanbietern bereitgestellt. Updates des Herstellers sind jedoch in jedem Fall vorzuziehen. Wenn diese allerdings noch nicht bereitstellen, muss der mögliche zusätzliche Schutz durch den Fremd-Patch gegen das mögliche Risiko einer Infektion mit einem Schadprogramm abgewogen werden. Solche Patches sollten in jedem Fall nur von vertrauenswürdigen Anbietern bezogen werden.
Patch ist installiert
Egal ob automatisch oder per Hand – erst zu diesem Zeitpunkt wird die Schwachstelle geschlossen und der Rechner ist auf diese Weise nicht mehr angreifbar.
Die Abfolge dieser Schritte kann nun variieren. Im besten Fall entdeckt der Hersteller die Schwachstelle selbst und veröffentlicht den Patch bevor ein Exploit verfügbar ist. In diesem Fall führt das schnelle Einspielen des Patches dazu, dass der Rechner über diese Schwachstelle praktisch nicht angreifbar ist.
Im schlechtesten Fall wird die Sicherheitslücke nicht an den Hersteller gemeldet – dieser erfährt erst mit dem Auftauchen eines Exploits davon. Erst in diesem Moment kann er mit der Entwicklung eines Patches beginnen. Gleichzeitig wird die Schwachstelle aber schon ausgenutzt – der Rechner ist gefährdet, solange bis der Patch installiert ist.
5 Mythen rund um Patches
- Schwachstellen, für die es einen Patch gibt, werden nicht mehr ausgenutzt.
Falsch! Kriminelle setzen darauf, dass die Anwender nachlässig mit Updates umgehen und sie nicht umgehend installieren. Weitreichende Schadprogrammausbrüche in der Vergangenheit nutzen oft Schwachstellen aus, die bereits seit mehreren Monaten geschlossen waren.
- Es reicht aus das automatische Update von Windows zu aktivieren.
Falsch! Damit werden lediglich das Betriebssystem und einige betriebssystemnahe Anwendungen aktualisiert. Allerdings betreffen heute rund zwei Drittel aller Schwachstellen Programme von Drittherstellern, wie beispielsweise den Flash-Player. Zusätzlich müssen auch Programme, die zum Schutz Ihres Rechners eingesetzt werden wie z.B. das Anti-Viren-Programm, regelmäßig aktualisiert werden, um bestmöglichen Schutz zu gewährleisten. Im Falle des Anti-Viren-Programms werden dabei nicht nur Schwachstellen beseitigt oder Funktionen ergänzt, sondern vor allem die Signaturen anhand derer das Anti-Viren-Programm Schadprogramme erkennt, aktualisiert – und dies ist häufig täglich notwendig.
- Updates werden immer automatisch eingespielt.
Falsch! Auch wenn viele Anwendungen bereits solche Automatismen mitbringen, können auch hier Fehler auftreten. Um solches Fehlverhalten der Programme, die keine Auto-Update-Funktion mitbringen, zu erkennen, sollten Sie Ihren Computer regelmäßig überprüfen.
- Wenn ich alle Updates eingespielt habe, kann mir nichts mehr passieren.
Falsch! Zwischen der Verbreitung eines Exploits und dem Installieren eines Patches vergeht einige Zeit – dies können einige Stunden sein, aber auch mehrere Monate. In dieser Zeit ist auch ein Rechner mit den aktuellsten Softwareupdates verwundbar. Aufgrund der Geschwindigkeit im IT-Umfeld gibt es laufend ungepatchte Schwachstellen, die unterschiedlich stark ausgenutzt werden. Daher ist zusätzlicher Schutz in Form von Anti-Viren-Programmen oder z.B. Browser-Erweiterungen notwendig.
- Schnelles Patchen bringt den bestmöglichen Schutz.
Richtig! Durch das zügige Einspielen von Updates verkürzen Sie die Zeit, in der Ihr Rechner angegriffen werden kann. Im Bereich der Aktualisierungen haben Sie damit Ihr Bestmöglichstes getan, um Ihrem Rechner zu schützen und sich sicher im Internet zu bewegen. Kombinieren Sie dies mit weiteren Maßnahmen und Sie bleiben botfrei!
