Microsoft stellt die Security Bulletins ein

13.02.2017
G DATA Blog

Wenn es darum ging, Informationen über kritische Sicherheitsprobleme zu bekommen, haben sich viele Systemadministratoren letzten Jahre sich auf die Security Bulletins von Microsoft verlassen. Nach dem Patch-Dienstag im Februar wird Microsoft diese nicht weiterführen. Stattdessen werden die Bulletins durch eine Onlinedatenbank ersetzt. Dies sorgt für Verunsicherung bei Administratoren.

Für Privatanwender war das Herunterladen und Installieren von Patches für Microsoft-Produkte nie einfacher: mit der Einführung von Windows 10 ist der Vorgang zum großen Teil vollständig automatisiert. Auch andere Hersteller wie Google setzen auf die automatisierte Auslieferung von Updates. Diese Art der Verteilung ist nicht für jeden Windows-Benutzer ideal. Was zunächst wie eine sehr bequeme Art anmutet, immer auf dem neuesten Stand zu sein, kann schnell zu einem Albtraum für Systemadministratoren werden. Werden die Entscheidungen über die Installation von Patches automatisiert getroffen, besteht die Möglichkeit, dass dies innerhalb eines Netzwerkes zu inkonsistenten Versionsständen führt. Dies ist vor allem dann der Fall, wenn die Entscheidungen für jeden Client individuell getroffen werden. Inkonsistente Versionsstände erschweren eine zeitnahe Reaktion auf Berichte über kritische Sicherheitslücken. Wird zum Beispiel ein Patch für eine solche Sicherheitslücke veröffentlicht, muss der Administrator genau darüber informiert sein, welche Programme betroffen sind und welche Clients das Update benötigen.

Das Ende eines Standards

Innerhalb des Entscheidungsprozesses ist es wichtig, genaue Informationen über die Sicherheitslücken zu erhalten, die von einem Patch behoben werden, sowie über mögliche "Nebenwirkungen". Ohne diese Informationen ist es nicht möglich, das Zeitfenster einzuschätzen, das zum Testen und für die netzwerkweite Installation erforderlich ist. Ebenso ist es unmöglich zu entscheiden, ob ein Patch überhaupt verteilt werden sollte oder nicht. Aus diesem Grunde waren die Informationen aus den Security Bulletin von großer Wichtigkeit. Sie enthalten ausführliche Informationen und sind nach ihrer Einführung im  Juni 1998. zu einem de facto-Standard geworden. Über die Jahre hinweg haben sich Administratoren an das Format gewöhnt, was auch die überraschten Reaktionen auf Microsofts Ankündigung vom November 2016 , die Bulletins nicht mehr weiterführen zu wollen, erklärt.

Security Updates Guide - ein geeigneter Nachfolger?

Nach dem Patch-Dienstag am 14. Februar wird Microsoft Informationen über ihre Sicherheits-Patches ausschließlich in einer Datenbank namens Security Updates Guide veröffentlichen.  Auf der Microsoft-Webseite gibt es eine Vorschau-Version, in der sowohl Release-Notes als auch Informationen über die jeweiligen Patches enthalten sind. Der Guide verfügt über eine Such- und Filterfunktion. Diese macht die Informationssuche zwar einfacher als bei den bisherigen Security Bulletins, aber entscheidend ist noch immer der Inhalt. Nach Plänen von Microsoft soll der Guide dieselben Informationen wie die Bulletins enthalten. Während des Januar-Patchtages jedoch, bei dem Bulletins und Updates Guide parallel veröffentlicht wurde,  waren nicht alle Informationen aus den Bulletins auch im Updates Guide verfügbar.
So gibt es zum Veröffentlichungszeitpunkt dieses Artikels nur zwei Release-Notes, die kaum Informationen enthalten.

Zuverlässige und konsistente Patch-Informationen sind eine wichtige Voraussetzung in allen Stufen eines Patchmanagement-Zyklus. Es ist von großer Wichtigkeit, bereits sehr früh in diesem Prozess, schon während der Informationsbeschaffungs- und der Planungsphase Details zu einem Patch und seinen Auswirkungen zu haben. Daher sind Administratoren auf eine zuverlässige Informationsquelle dringend angewiesen, um das Konzept ganzheitlich umzusetzen. Ob der Security Updates Guide diese Erwartungen erfüllt, bleibt abzuwarten. In jedem Falle kann der Prozess jedoch in allen Teilbereichen durch den Einsatz von Patchmanagement-Lösungen vereinfacht werden, diese enthalten detailliertere Patch-Informationen mehrerer Hersteller und Produkte beinhalten.

 

Update

Einer Ankündigung im Microsoft TechNet zufolge wurde die Verteilung der Februar-Updates aufgrund eines nicht näher beschriebenen Problems vorerst verschoben. Ein neuer Termin wurde bisher nicht genannt.

Dagegen hat Adobe den Patchday planmäßig genutzt und einige Sicherheitslücken geschlossen.

 

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein