Warnung vor inoffiziellen Patches

Warnung vor inoffiziellen Patches


Internet Security Systems (ISS) warnt ausdrücklich davor, nach Bekanntwerden einer oder mehrerer Schwachstellen einen nicht von dem betroffenen Softwarehersteller entwickelten Patch auf das System aufzuspielen. Schon zwei Mal nicht, wenn dadurch die Sicherheit von Unternehmen gefährdet sein könnte.

Weltunternehmen und Regierungsbehörden vertrauen übrigens Internet Security Systems bei der Abwehr der Gefahren des WWW sowie Bedrohungen firmeneigener Netzwerke. Die Hersteller liefern dazu Produkte und Services und ISS bietet dann seinen Kunden kosteneffiziente Lösungen zur Minimierung der Risiken. Aufgezeigte Lösungen basieren dabei auf der Expertise und dem Know-how einer "Spezialeinheit", der ISS X-Force. So nennt sich das Forschungs- und Entwicklungsteam von ISS.

Nach Aussage dieser Sicherheitsexperten verstoßen z. B. Unternehmen mit dem einspielen voreiliger Drittanbieter-Patches, die mit dem jeweiligen Lösungsanbieter abgeschlossene Lizenzvereinbarung. Der Anspruch auf Supportleistungen erlischt damit sofort. Führt die Installation eines inoffiziellen Updates zu einem erfolgreichen Angriff, so gibt es keine vertraglich zugesicherte Hilfe mehr. Entstandene Schäden müssen also in vollem Umfang von der betroffenen Firma oder eben dem selbstständigen Alleinverdiener getragen werden.

Inoffizielle Patches aber boomen, da mit der Angst der Leute schon immer gerne Geld verdient oder weiterer Schaden angerichtet wurde.

Beispiel: Der Java-Script-Befehl "CreateTextRange", DAS Internet Explorers Leck. Mitte Februar wurde diese Schwachstelle bekannt und in kürzester Zeit kamen sie, die Schmeißfliegen (Hacker).

Informationen waren noch spärlich, aber schon fanden sich mehr als 200 präparierte Webseiten im Netz, nach deren Aufruf es Angreifern möglich war, Schadcodes auf den Systemen der Besucher auszuführen. Microsoft kündigte zwar die Bereitstellung eines entsprechenden Updates für den 11. April an, aber die Angst der Unternehmen und Privatleute kam den inoffizellen Patchern gerade recht. Nach wenigen Tagen gab es schon zwei Lösungen zum logischerweise kostenlosen Download.

Gerade das Aufspielen solcher Updates ist nach Aussage von ISS jedoch nicht empfehlenswert! Viele Anbieter setzen zwar auf den Bekanntheitsgrad im Internet, aber nicht jeder ist vertrauenswürdig und meint es auch wirklich gut! Die Entwicklung qualitativ hochwertiger Updates, da machen wir uns mal nichts vor, die dann auch die notwendige Systemintegrität garantieren, kosten eine Menge Zeit und viele viele Tests sind nötig. Vor allem Microsoft selbst muss prüfen, ob ein Patch auch die Anforderungen der Software in allen nur denkbaren Varianten erfüllt und nichts, aber auch gar nichts auf dem PC beeinträchtigt.

Die Alternative zu den inoffiziellen Patches wäre ein "Virtual Patch".

ISS-Produkte stellen sicher, dass unternehmenskritische Systeme zu jedem erdenklichen Zeitpunkt geschützt sind, selbst nach Bekanntwerden einer Schwachstelle ohne Patch. Hierfür hat ISS auf ein selbst entwickeltes, patentiertes Verfahren, das unter dem Namen „Virtual Patch bekannt ist.

Man konzentriert sich nicht darauf, wie man in das System eindringen und Schaden zufügen kann sondern nur auf das Schließen der Lücke, das abblocken. Der Zeitraum zwischen Lücke und offiziellem Patch kann damit überbrückt werden, und zwar nur mit dem Risiko, dass mal das ein oder andere nicht rund läuft, jedoch mit dem positiven Gedanken im Hinterkopf, dass es kein Angriff ist oder war.

Nun, was kann der Privatanwender tun? Jeder ist sein eigener Chef. Immer schön darauf achten sicher zu surfen und ggf. Funktionen, die das Eindringen von Schadcode ermöglichen, abschalten und etwas weniger Komfort, aber Sicherheit haben. Wir berichten ja immer zeitnah und schlagen euch dann auch diverse Dinge vor. Und immer schön aktuell sein in Sachen Virenschutz, Zusatztools und Firewall!

Mehr bei ISS