Patch-Management-Lösungen 12/2013: Welches Patch-Management zuverlässig funktioniert

Schwachstellen in Server- und Anwendungssoftware können ein Unternehmen schnell in Not bringen. Genau das soll ein ordentliches Patch-Management verhindern – automatisiert versteht sich. AV-TEST hat geprüft, ob die Lösungen verlässlich arbeiten oder Sicherheit nur vorgaukeln oder gar Unfug anrichten.

Der Testsieger schafft 100 % bei 51 Anwendungen

Von Markus Selinger

In Unternehmen spielt das Patch-Management für die Sicherheit eine große Rolle. Schlecht oder gar nicht aktualisierte Software ist sofort ein Einfallstor für Angreifer und Schädlinge. AV-TEST hat daher vier Lösungen für das Patch-Management getestet.

Patch-Management-Lösungen für Enterprise-Umgebungen analysieren alle verwalteten Systeme, prüfen sie auf Schwachstellen und halten sie, was Updates angeht, auf dem neuesten Stand. Vorhandene Betriebssysteme und Software gleichen sie mit den Datenbanken des jeweiligen Anbieters der Patch-Management-Software ab und lösen die Updates aus. Soweit die Theorie.

In der Praxis kommt es aber darauf an, wie schnell die Updates eingespielt werden, ob die Lösung die laufenden Applikationen erkennt und ob sie die Updates fehlerfrei ausführt. Schließlich nutzen die meisten Schädlinge die Schwachstellen von Software, um in Systeme oder Netzwerke einzudringen.

Kandidaten am Start

Den Test der Patch-Management-Lösungen hatte Kaspersky Lab bei AV-TEST in Auftrag gegeben. Vorgegeben war lediglich der Umfang; die finalen Methoden hingegen bestimmte AV-TEST selbst und auch die Untersuchungen wurden im eigenen Labor ausgeführt. Die Testergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec erscheinen nun ohne Einflussnahme von Kaspersky Lab. Im Test waren folgende Produkte:

  • Kaspersky Security Center 10.1
  • Lumension Endpoint Management and Security Suite 7.3
  • Symantec Altiris Patch Management Solution 7.1
  • VMware vCenter Protect 8.0

(Den technischen Testbericht in englischer Sprache mit der Nennung aller einzelnen Parameter und der Liste der geprüften Applikationen gibt es als PDF bei AV-TEST.)

Test im Mehrkampf

Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mithilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac OS X, Red Hat oder SUSE Linux sind die Datenbanken der Lösungsanbieter gefragt.

AV-TEST 2013 patch-test applikationen.jpg
Mit knapp 230 Applikationen ist das Programm­portfolio der Kaspersky-Lab-Lösung am größten. Lumension kennt nicht einmal 90 Programme. (Bild: AV-TEST)

Ansonsten ist die Menge der von Firmen ein­gesetzten Applikationen fast un­begrenzt. Die Patch-Management-Lösungen mussten im Test über 290 Programme und Betriebs­systeme erkennen und unter­stützen. Diese Summe ergab sich aus den Angaben aller unter­stützten Applikationen der vier Lösungen.

An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 % den besten Wert. Die Lösung von VMware folgte mit 65 %, Symantec mit 48 % und Lumension mit knapp 27 %. Nur Kaspersky und Lumension erkannten alle Betriebssysteme zu 100 %.

Kennen ist gut, erkennen ist besser

Das Labor prüfte, ob die Patch-Lösungen die 60 populärsten Applikationen erkennen und updaten. Vertreten waren Browser wie Firefox, Chrome, Safari und Opera, Mail Clients wie Thunderbird oder Packer wie Winrar und 7-Zip.

Das Ergebnis ist durchwachsen: Die Lösungen von Lumension, VMware und Symantec kennen zwar die meisten Programme, lesen aber die Versionsnummer falsch oder gar nicht aus. Lumension unterstützt nicht einmal Browser wie Chrome, Opera oder Safari.

Die Lösung von Kaspersky kann auch hier wieder punkten, denn eine richtig erkannte Applikation samt Versionsnummer ermöglicht auch das korrekte Update.

AV-TEST 2013 patch eingestellte fremdsprachen.jpg
Die Lösung von Lumension kennt fast keine Fremd­sprachen. Symantec und VMware spielten zwar Patches ein, aber viele Pro­gramme hatten danach eine ge­änderte Sprach­einstellung. (Bild: AV-TEST)

Ohne Rücksicht auf die Systemsprache

Ist eine Applikation nicht in der System­sprache installiert, dann ver­weigern einige Lösungen die volle Unter­stützung. Vor allem Lumension kennt nur zwei zu­sätzliche Sprachen. Von 14 getesteten Sprachen kennen Symantec und Kaspersky Lab zwölf, VMware sogar 13. Aller­dings: VMware und Symantec bringen zwar sechs bzw. sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.

AV-TEST 2013 patch-update delay.jpg
Durchschnittlich gemessene Dauer für Updates (in Tagen): Während die Lösungen von Kaspersky Lab und VMware vier Tage für das Update benötigen, braucht Symantec fünf und Lumension fast zwölf. (Bild: AV-TEST)

Gut patchen heißt schnell patchen

Sobald eine Applikation eine Schwach­stelle meldet, wird damit auch zeitnah ein Patch ver­öffentlicht. Im Test reagierten die Lösungen von Kaspersky Lab und VMware im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast zwölf Tage.

Update-Installationen ins Leere

Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand klären.

Im Test mussten die Lösungen nur diejenigen Applikationen updaten, die sie auch kennen. Diese Qualität wurde festgehalten. Die Patch-Lösung von Kaspersky Lab schaffte hier 100 % bei 51 Programmen. Lumension erreichte fast 97 %, aber mit nur 27 Applikationen. VMware und Symantec unterstützten jeweils sogar 63 Programme, patchten sie aber nur zu 97 bzw. 87 %. Bei Symantec streikten nach dem Update acht Programme, bei VMware schlug das Patchen in einem Fall fehl.

AV-TEST 2013 patch client liveupdate.jpg
Sobald dringende Updates bei Clients im Arbeitsbetrieb erfolgen müssen, haben viele Lösungen Probleme. Laufende Installationen, offene Browser, keine Internet-Verbindung oder zu patchende Applikationen, die gerade laufen, verhindern bei Lumension, VMware und Symantec erfolgreiche Patch-Installationen. (Bild: AV-TEST)

Stolpersteine und Störszenarien

Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internet-Verbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.

VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.

Sicherheitslücken durch Add-ons

Viele Applikationen versuchen während einer Installation z.B., weitere Toolbars oder Optimierungstools in die Systeme zu bringen. Im Test schlüpften sowohl Symantec als auch VMware einzelne Add-ons ins Update.

Auto-Updates können querschießen

Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Kaspersky Lab, Lumension und VMware bringen diese Fähigkeit von Haus aus als Option mit. Nutzer von Symantec müssen das selbst per Script-Steuerung lösen. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Script an.

Mit Einblick in die Nutzerlizenzen

Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.

Update-Support von Microsoft
Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.

AV-TEST 2013 patch-testergebnis.jpg
Nicht nur in der Anzahl der unter­stützten Applika­tionen schlägt die Lösung von Kaspersky Lab die anderen Test­teil­nehmer. Auch im Gesamt­ergebnis über alle Test­abschnitte hin­weg sammelt das Kaspersky-Produkt die besten Werte. (Bild: AV-TEST)

Fazit: Sichere Systeme, entlastete Admins

Aktuelle Schädlinge nutzen die Schwach­stellen von Soft­ware und Betriebs­systemen gnaden­los aus. Beim Patch-Management belegt der Test, dass die Lösung von Kaspersky Lab momen­tan die Führungs­rolle übernimmt. Im Vergleich unter­stützte die Patch-Lösung die größte Anzahl an Applikationen und sammelte über alle Einzel­tests hinweg hohe oder sogar die besten Werte.

Die Lösung von VMware schlug sich im Test gut, liegt aber mit allen Werten noch deutlich hinter Kaspersky. Knapp hinter VMware finden sich die Lösungen von Symatec und Lumension fast gleichauf. Lumension kennt auffällig wenig Applikationen und ist in der Update-Reaktion zu langsam. Symantec kann dies zwar besser, tauscht aber gerne die Sprachen beim Update aus und hat Probleme beim Updaten von aktiven Systemen.

Nützliche Links

Das Magdeburger Institut AV-TEST stellt regelmäßig Sicherheitslösungen für private Anwender und Unternehmen auf den Prüfstand. Die jeweils aktuellen Ergebnisse lassen sich auf www.av-test.de jederzeit kostenfrei nachlesen.