Contact
QR code for the current URL

Story Box-ID: 61301

IBM Deutschland GmbH Miramstraße 87 34123 Kassel, Germany http://www.iss.net
Contact Ms Tina Billo 0611.5802.417
Company logo of IBM Deutschland GmbH
IBM Deutschland GmbH

ISS warnt vor dem Aufspielen von Drittanbieter-Patches

Verwendung inoffizieller Updates verletzt Lizenzabkommen

(PresseBox) (KASSEL/ATLANTA, )
Internet Security Systems (ISS) warnt ausdrücklich davor, nach Bekanntwerden einer Schwachstelle einen nicht von dem betroffenen Softwarehersteller entwickelten Patch auf unternehmenskritische Systeme aufzuspielen. Nach Aussage der Sicherheitsexperten riskieren Unternehmen damit, die mit dem jeweiligen Lösungsanbieter abgeschlossene Lizenzvereinbarung zu verletzen. Dies ist insofern kritisch, da sie damit ihren Anspruch auf Supportleistungen aufs Spiel setzen. Sollte es trotz des vermeintlichen Schutzes ihrer Systeme durch die Installation eines inoffiziellen Updates zu einem erfolgreichen Angriff kommen, können Unternehmen wahrscheinlich mit keinerlei Hilfestellung rechnen. Vielmehr müssen sie die Konsequenzen selber tragen und für möglicherweise entstandene Schäden in vollem Umfang einstehen.

Furcht vor Angriffen leistet inoffiziellen Patches Vorschub

Ein gutes Beispiel für die schnelle Veröffentlichung inoffizieller Patches von Seiten Dritter, stellt das mit dem Java-Script-Befehl "CreateTextRange" des Internet Explorers im Zusammenhang stehende Sicherheitsleck dar. Die seit Mitte Februar bekannte Schwachstelle rief in kürzester Zeit Hacker auf den Plan. Bereits kurz nachdem Informationen hierzu kursierten, fanden sich mehr als 200 präparierte Webseiten im Netz, deren Aufruf es Angreifern ermöglichte, Schadcodes auf den Systemen der Besucher ausführen und auf diese Weise die Kontrolle über ihre Rechner zu erlangen. Microsoft kündigte die Bereitstellung eines entsprechenden Updates für den 11. April an. Die Angst der Unternehmen ihre bislang ungeschützten kritischen Systeme bis zu diesem Zeitpunkt möglichen Angriffen auszusetzen, kam den Entwicklern inoffizieller Updates in diesem Fall gut zupasse: Schon nach wenigen Tagen fanden sich zwei Lösungen zum kostenfreien Download im Internet.

Das Aufspielen solcher Updates ist nach Aussage von ISS jedoch keine empfehlenswerte Strategie. Dabei führt der Hersteller von Sicherheitslösungen für den präventiven Schutz von Infrastrukturen jeder Größenordnung nicht nur das Thema Lizenzabkommen ins Feld. Vielmehr bezweifelt das Unternehmen, dass bei der Entwicklung solch inoffizieller Patches der wirksame Schutz von Systemen im Vordergrund steht und sieht deren schnelle Bereitstellung vorrangig als Maßnahme zur Steigerung des Bekanntheitsgrades an. Denn die Entwicklung qualitativ hochwertiger Updates, welche die notwendige Systemintegrität garantieren, kostet Zeit. Gerade große Hersteller wie Microsoft müssen prüfen, dass der jeweilige Patch genau auf die Anforderungen der von ihnen bereitgestellten Softwareversionen in allen denkbaren Kombinationen abgestimmt ist. Um dies zu gewährleisten, sind umfassende Tests notwendig. Nur so lässt sich garantieren, dass das Update die Lauffähigkeit der Anwendung im Zusammenspiel mit Service Packs und unter verschiedenen Betriebssystemen auf Rechner unterschiedlichster Couleur nicht beeinträchtigt.

Alternative "Virtual Patch"

Der Einsatz von ISS-Produkten stellt sicher, dass unternehmenskritische Systeme zu jedem erdenklichen Zeitpunkt sowohl vor bekannten als auch bislang weniger beachteten Angriffsformen geschützt sind. Dies gilt selbst dann, wenn nach der Ermittlung einer Schwachstelle noch kein offizielles Update von dem betroffenen Hersteller bereitsteht. Hierfür setzt ISS auf ein eigenentwickeltes, patentiertes Verfahren, das unter dem Namen „Virtual Patch bekannt ist. Das Prinzip ist einfach und folgt dem übergreifenden Konzept des Anbieters: Dieses besteht darin, die Schwachstelle an sich in den Mittelpunkt der Überlegungen zu stellen und diese umgehend zu schließen, anstelle sich darauf zu konzentrieren, wie Angriffe geführt werden und diese lediglich abzublocken. Unternehmen die mit ISS-Lösungen arbeiten, können somit den Zeitraum sicher überbrücken, der zwischen dem Bekanntwerden einer Schwachstelle und der Verfügbarkeit, dem Test und dem Aufspielen eines offiziellen Patches liegt. Mit der Installation inoffizieller Updates einhergehende Risiken wie die Verletzung von Lizenzabkommen oder eine Modifikation der Systemsoftware lassen sich auf diese Weise vermeiden.

Ca. 4.266 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.