#21 Updatemanagement und Patch-Management

Christine Munker: Die Systemlandschaft Ihrer Kanzlei besteht aus einer ganzen Menge Geräten, Tools und Softwarelösungen. Darüber haben wir uns auch in der letzten Podcast -Episode unterhalten. Heute schauen wir uns diese Komponenten nochmal genauer an und zwar mit dem Blick auf ihre Aktualisierung. Heißt, wir sprechen über Update -Management oder das sogenannte Patch -Management. Und damit herzlich willkommen zu einer neuen Folge von So geht's sicher, der Podcast für Datenschutz und IT -Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH und ich habe ein paar Fakten für Sie im Gepäck, mit denen ich Ihnen heute mal deutlich machen möchte, wie wichtig das Thema Update Management für die Sicherheit Ihrer Kanzlei im Alltag ist. Worum geht es dabei überhaupt? Das systematische Einspielen und auch installieren, das wäre schön, von Updates und Patches sorgt dafür, dass ihre Kanzlei deutlich besser vor Angriffen von außen geschützt ist. Die meisten Angreifer nutzen natürlich öffentlich bekannte und dokumentierte Schwachstellen, in Systeme einzudringen. Nun denken Sie wahrscheinlich, naja, wenn eine solche Schwachstelle schon bekannt und dokumentiert ist, dann ist das doch eigentlich ein alter Hut und bestimmt nicht mehr gefährlich für mich. Damit hätten Sie eigentlich auch recht, wenn tatsächlich alle Kanzleien und auch die Unternehmen, also ihre Mandanten, regelmäßig mit einem sinnvollen Konzept dafür sorgen würden, dass diese bekannten Schwachstellen ihnen nicht mehr schaden können. Und das funktioniert eben über das Update -Management. Server, Firewalls, VN -Scanner, Softwarelösungen, Rechnerbetriebssysteme, wenn sie eine haben, ihre IP -Telefonanlage, die Multifunktionsdrucker und Scanner, Tablets, Smartphones, ihre Kanstarisoftware, verschiedenste Cloud -Lösungen und so weiter. All diese Komponenten funktionieren immer mit Software. Auch wenn wir von Hardware -Komponenten wie einem Server sprechen, der funktioniert ja nur mit einem Betriebssystem. Ihr Multifunktionsdrucker funktioniert mit Firmware, also einem Betriebssystem. Da steckt immer Software drin. Und diese Software kann fehlerhaft sein. So ist das Leben nun mal.

Christine Munker: Diese Software kann aber auch einfach veraltet sein, sodass mit der Zeit eben Tricks und Lücken gefunden wurden, wie man Sicherheitsmechanismen in dieser Software ausschalten kann, weil die einfach nicht mehr dem Stand der Technik entsprechen. Und damit haben sie im Grunde auch schon die beiden großen Themen, weshalb sie ein Update -Management benötigen und durchführen sollten. Nur so stellen sie nämlich sicher, dass sie zum einen keine fehlerhafte Software nutzen. Das betrifft Funktionalität der Software, aber eben auch das Abstellen von Sicherheitslücken und dass sie zum anderen auch keine veraltete Software nutzen, die nicht mehr dem Stand der Technik entspricht. Solche veraltete Software findet man ganz oft auf Geräten, die nicht so häufig in der Kanzlei gebraucht werden oder einfach auch trotz alter Software immer noch das tun, was sie tun sollten. Das sind oft Drucker, Scanner, Router auch ganz gerne, zum Teil auch Tablets und Smartphones, die sind häufig davon betroffen. Diese Geräte haben aber Zugang zu ihrem Kanzlein -Netzwerk und sind daher genauso gut zu schützen wie ein Server oder ihre PCs und Notebooks, die sie jeden Tag im Alltag benötigen. Das Thema fehlerfreie Funktionalität interessiert uns im Übrigen auch aus der Datenschutzsicht ganz besonders, da sie mit ihrer Software und auf ihren Geräten personenbezogene Daten verarbeiten. Diesbezüglich ist es natürlich wichtig, dass sie sicherstellen, dass diese Daten und Informationen auch federfrei, also korrekt verarbeitet werden, sodass ihren Mananten daraus kein Schaden entstehen kann. Also wir haben hier nicht nur, wie bei allen Themen, die wir schon besprochen haben zur IT -Sicherheit auch, nicht nur ein IT -Sicherheitsthema, sondern eben auch ein Datenschutzthema, was da mit rein spielt. Fakt ist auf jeden Fall, zu spät oder nicht installierte Updates sind laut BSI Einer der häufigsten Gründe für erfolgreiche Cyber -Angriffe auf KMU. Das müssen Sie sich mal vorstellen. Nicht oder zu spät installierte Updates. Eigentlich eine Kleinigkeit, die man super in den Griff bekommen kann. Ja, und dazu gehören eben auch die Steuerkanzleien. Fragen Sie gerne auf der nächsten Messe oder auf dem nächsten Kongress mal unsere Berater. Jeder von Ihnen hat

Christine Munker: diese Fälle schon bei Kunden erlebt, die das Update -Management eben nicht für so wichtig erachtet haben und das nicht so umgesetzt haben, wie wir es gerne gehabt hätten. Worauf sollten Sie also nun konkret in Ihrer Kanzlei achten? Erstens verwenden Sie immer aktuelle Hard - Softwarelösungen. Das hört sich so einfach an, aber wir treffen in der Praxis immer wieder auf veraltete Geräte, die nicht mehr abgedatet werden können. Wenn sie Geräte nicht mehr mit aktuellsten Updates versorgen können, weil der Hersteller sie aus der Pflege genommen hat, müssen die weg. Das betrifft ganz oft diese typischen Geräte, die ja eben noch super funktionieren, auch wenn sie schon älter sind, aber eben keine Updates vom Hersteller mehr erhalten. Ein super Beispiel ist der Multifunktionsdrucker und Multifunktionsscanner, der ja immer noch so funktioniert, oder eben so ein Notfall -Smartphone, das braucht ja die neuesten Apps nicht mehr unbedingt da drauf, funktionieren, die Apps, die sie brauchen, funktionieren mit dem alten Betriebssystem. Ja, auch noch. Das betrifft aber auch Softwarelösungen, die nicht weiter gepflegt werden oder bei denen vielleicht für den Einsatzzweck, den sie benötigen, die Funktionalität aus einer alten Version aus 2022 nur als Beispiel ausreicht. Neue Versionen werden dann nicht nachgekauft. Veraltete Geräte, die nicht mehr mit Updates versehen werden können, müssen also ausgetauscht werden und veraltete Software durch aktuelle Lösungen ersetzt werden oder mit aktuellen Updateversionen versehen werden. Also immer dann, wenn Sie eine Software nutzen, für die es keine Updates mehr gibt oder wo Sie ein neues Update zukaufen müssten. Finger weg von der Software, suchen Sie sich eine Alternative oder daten Sie ab, wenn das noch möglich ist. Stellen Sie sich mal vor, eine bekannte Sicherheitslücke betrifft eben dieses eine alte Notebook, auf dem ja nur die Versandetiketten im Sekretariat ausgedruckt werden. Das braucht ja gar keine Updates im Moment. Genau das sind eben die im Internet schon bestens bekannten und dokumentierten Lücken, von denen wir vorher gesprochen haben, die jeder Informatikstudent mit ein bisschen Grips ausnutzen kann. Oder noch einfacher.

Christine Munker: Er gibt das Ganze in Auftrag und legt sich in der Zeit an den See. Denn Angriffe auf diese alten Sicherheitslücken gibt es günstig online zu kaufen, wenn man weiß, wo man hingucken muss. Sie verzeihen mir bestimmt, wenn ich an dieser Stelle so bisschen polemisch werde, aber ich denke, Sie haben verstanden, worauf ich hinaus will. Geld sparen hilft hier nichts. Das wird später irgendwann mal teuer. Sie benötigen Systemkomponenten, die überhaupt updatable sind. Sonst macht das Ganze keinen Sinn und dann sollten Sie sie auch updaten. Der zweite Punkt, auf den Sie achten sollten, wenn wir über Update -Management sprechen, sind automatische Aktualisierungen. Wo auch immer Sie die Möglichkeit haben, und hier müssen Sie wahrscheinlich auch mal mit Ihrem Softwarepartner oder Ihrem Systemhaus sprechen, sollten Sie automatische Updates in Ihrer Systemlandschaft aktivieren. Ganz wichtig ist die Vorgehensweise, vor allem bei den Geräten, die mit dem Internet verbunden sind, denn gerade die öffnen im schlechtesten Fall Tür und Tor für Cyberkriminelle. Achten Sie außerdem auch darauf, dass auch außerplanmäßige Updates, die gegebenenfalls nicht über die Aktualisierungsroutinen ausgespielt werden, möglichst zeitnah installiert werden. Denn genau dabei handelt es sich nämlich meistens Sicherheitsupdates. Achten Sie in dem Zusammenhang aber bitte auch auf die Vertragsgestaltung mit Ihren Dienstleistern, insbesondere wenn es Rechenzentrums Cloud -Lösungen geht, denn hier können Sie ja nicht selbst updaten, da muss immer ein Administrator Ihres Dienstes das ran. Und deswegen müssen Sie hier dafür sorgen, dass entsprechende Regelungen getroffen werden. Was ist in den Verträgen beispielsweise zum Thema Update -Management festgelegt? Gibt es Sonderupdates in Notfällen oder gibt es nur die standardmäßigen Installationsroutinen? Sprechen Sie das Thema am besten mal mit Ihren Ansprechpartnern durch und dokumentieren Sie, wenn das nicht sowieso schon enthalten ist, die vereinbarte Vorgehensweise im Vertrag mit Ihren Dienstleistern. Last but not least, der dritte Punkt, den Sie unbedingt achten sollten, Sie brauchen mal wieder jemanden, der für dieses Thema den Hut auf hat. Sie brauchen einen Verantwortlichen für das Update -Management.

Christine Munker: Da bietet sich natürlich die Person am besten an, die sie mittlerweile bestimmt schon als verantwortlich für das Thema IT -Sicherheit definiert haben. In der Podcast -Episode zum Thema Inventarisierung, die verlinke ich Ihnen hier nochmal in den Show Notes zu dieser Folge, haben wir ja erklärt, wie Sie eine Übersicht über alle Komponenten in Ihrer Systemlandschaft bekommen. Also wie Sie rausfinden, was eigentlich alles zu Ihrem System gehört. Diese Übersicht können Sie jetzt ganz wunderbar nutzen, das Update -Management auf neue Beine zu stellen. Optimalerweise haben Sie dort nämlich schon festgehalten, wer die jeweilige Komponente, Software, was auch immer, geliefert hat und für die Wartung zuständig ist. Falls nicht, dann ergänzen Sie das am besten jetzt in Ihrer Übersicht und holen das einmal nach, damit Sie es später immer zur Verfügung haben. Damit wissen Sie nämlich auch schon, wen Sie möglichst bald ansprechen müssen, sich die aktuelle Vorgehensweise zum Thema Updates erklären zu lassen, also einfach einmal durchzusprechen, wie das Thema Updates im Moment angegangen wird. Egal, ob das in Ihrem System im Haus ist oder bei einem Cloud -Dienstleister beispielsweise, lassen Sie sich einmal erklären, wie es im Moment funktioniert und vereinbaren Sie eben gegen den Fall Änderungen daran, die dann Ihr Softwarehersteller oder Ihr Systemhaus an Ihrem System implementieren muss oder die eben der Dienstleister dann eigenständig auf seinen Systemen durchführen muss. Und noch mal zur Erinnerung, nutzen Sie wirklich das Thema Automatisierungen, wo immer es geht. Das ist eine super praktische Erleichterung, wenn wir über Update -Management und Installation sprechen. Zu guter Letzt habe ich noch ein weiteres Argument, tatsächlich für regelmäßige Updates in Ihren Systemen. Rücksicherung Ihrer Backups. Da denkt man oft gar nicht so dran. Wenn Sie einmal in die Situation kommen, dass Sie auf die Rücksicherung von Datensicherungen angewiesen sind, dann müssen Sie in den Sicherungen enthaltene Daten auch mit den aktuellsten Updates der entsprechenden Software erstellt haben. Warum sollten Sie Ihre Systeme neu installieren müssen? Weil beispielsweise Server zerstört worden sind durch Wasserschaden, was auch immer.

Christine Munker: dann haben Sie ja nur Zugriff auf die aktuellste Version der Software, die Sie dann wieder auf diesem Server installieren können, nicht auf Vorgängerversionen. Kommt aus dem Backup dann ein Datenbestand, der noch auf einer Vorgängerversion beruht, dann kann es sein, dass die Daten nicht mehr rückspielbar sind, weil diese Datenbestände eben nicht mehr zu dem passen, was die aktuelle Software erwartet. Und dann hilft Ihnen auch die schönste Datensicherung nichts. Sie sehen, IT -Sicherheit funktioniert am besten dann, wenn Sie das Thema als ganzheitliches System ansehen. Die einzelnen Bestandteile greifen ineinander, der eine funktioniert nicht ohne den anderen. Daher werden wir uns auch in den nächsten Episoden unseres Podcasts noch weiterhin mit einigen ganz wichtigen Themen aus der IT -Sicherheit beschäftigen, damit wir dieses Bild einmal für Sie rund kriegen. Und damit sind wir wieder einmal am Ende einer Episode angelangt. Wenn Sie jetzt neugierig geworden sind und herausfinden wollen, wie es aktuell den Zustand der IT aus Sicherheitsaspekten in Ihrer Kanzlei bestellt ist, dann sollten wir über einen IT -Sicherheitstech sprechen. Melden Sie sich gern bei uns. Wir finden dann heraus, wie wir den gegebenenfalls vorhandenen Schwachstellen in Ihrer Kanzleisystemlandschaft auf die Schliche kommen. Unsere Kontaktdaten finden Sie ja wie immer auf www .munka .info. oder hier in den Show Notes zu dieser Episode. Ich bedanke mich dafür, dass Sie sich auch heute wieder die Zeit genommen haben, zuzuhören und würde mich riesig über eine Bewertung unseres Podcasts freuen. Dazu können Sie einfach direkt in Ihrer Podcasting App Sterne vergeben. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie so geht's sicher jetzt gleich abonnieren. Danke und bis bald.