Shavlik-Studie: Sicherheits- und Patchmanagement ist nach wie vor Hauptanliegen für Unternehmen
Shavlik, weltweit führender Anbieter für IT-Management und innovative Sicherheitssysteme, hat die Ergebnisse seiner jährlichen Studie zum Thema Endpunktsicherheit und Patching für IT-Experten vorgestellt. Die VMWorld Barcelona bot im vergangenen Jahr die Gelegenheit, sich mit diesen Experten auszutauschen und Best Practices zu teilen. Die beiden Unternehmen Shavlik und AppSense nutzten die Veranstaltung, um Informationen zu sammeln und Zahlen zum Patchmanagement sowie Sicherheitsbedenken in Unternehmen zu erheben.
Eckdaten der Studie:
- 80% der IT-Profis haben eine Patch-Richtlinie implementiert, um die Sicherheit für ihr Unternehmen zu verbessern.
- Knapp 77% gaben an, dass Microsoft OS die größte Herausforderung in Bezug auf das Patching von Betriebssystemen darstellt. 59% sagten, dass Oracle die in diesem Punkt anspruchsvollste Anwendung eines Drittanbieters ist.
- 55% glauben, dass die Sichtbarkeit in die IT-Sicherheitssituation ihres Unternehmens nicht ausreicht.
- 55% der befragten Unternehmen geben den Mitarbeitern Administratorrechte, was das Sicherheitsrisiko erheblich erhöht.
- Zwei Drittel der befragten Unternehmen wenden für das Patch-Management mehr als 8 Stunden pro Monat auf.
Insgesamt nahmen an der Umfrage 178 IT-Experten teil. Für 76,5% von ihnen stellt Microsoft OS im Bereich Patching die größten Herausforderungen für ihr Unternehmen dar. Diese Zahl liegt unter dem Wert aus dem letzten Jahr, der bei 86% lag - Microsoft scheint sich hier verbessert zu haben. Auch Linux (19,1%) und Mac (4,2%) wurden erwähnt, jedoch nur am Rande, was zumindest teilweise durch die geringere Anzahl von Geräten mit diesen Betriebssystemen erklärt werden kann, sowie durch die Tatsache, dass weniger Patches pro Monat veröffentlicht werden.
Das Patchen des Betriebssystems stellt nur einen Teil der Herausforderungen dar, wenn es um eine effektive Patch-Management-Strategie geht. Auf die Frage nach den größten Schwierigkeiten beim Patchen von Anwendungen wurde Java von 59% der Befragten genannt, gefolgt von Adobe Reader/Flash Player (38%), Google Chrome (21%), Firefox (18%) und Apple iTunes mit 10%.
Erfreulich erscheint, dass 79,7% der IT-Manager eine Strategie zur Verwaltung von Patches implementiert haben. Obwohl 37,2% angaben, weniger als 8 Stunden pro Monat auf das Patchen zu verwenden, verbringen 29,6% mehr als 16 Stunden im Monat und 14% mehr als 48 Stunden darauf! Das macht bis zu anderthalb Tage für ein Unternehmen aus und ist damit wenig effizient.
Ebenfalls besorgniserregend: Mehr als die Hälfte der Unternehmen (54,7%) gewähren ihren Mitarbeitern volle administrative Rechte, wodurch ihre Systeme anfälliger für Malware werden. Diese Vorgehensweise stellt ein hohes Risiko dar, weil im Falle eines Angriffs keine Möglichkeit besteht, das Ausmaß der Infizierung durch eine Beschränkung der Benutzerrechte zu minimieren.
Andy Baldin, Vizepräsident EMEA Shavlik, bewertet die Ergebnisse: "Die Umfrage zeigt, dass die Notwendigkeit einer Patch-Management-Strategie von einer zunehmenden Zahl von IT-Abteilungen erkannt wird. Nichtsdestotrotz verbringen viele Unternehmen zu viel Zeit mit Fragen rund um das Patch-Management. Auch verwalten sie die Rechte ihrer Mitarbeiter unwissentlich in einer risikofördernden Weise. Dies bestätigt die Bedeutung unserer Arbeit, Unternehmen bei der Verwaltung ihrer Patches zu unterstützen, um sie in die Lage zu versetzen, Kosten zu senken, Zeit zu sparen und Sicherheitsrisiken ihrer IT-Assets zu minimieren.“
Baldin betont die Notwendigkeit, Unternehmen bei ihrer Arbeit, der Sicherung und Verwaltung von Patches zu unterstützen:
"Die Ergebnisse unserer Studie zeigen, dass 7% der Befragten nicht über IT-Sicherheitssysteme verfügen oder nicht wissen, ob welche vorhanden sind. 3% nutzen ausschließlich ein Backup-System, 13% nur ein Antivirus-System, 7% eine Firewall und immerhin noch 10% das Doppel aus Antivirus-System und Firewall. Das bedeutet, dass 40% der Befragten die Sicherheit ihrer Endgeräte in ihrem Unternehmen problemlos verbessern könnten. Um Unternehmen dabei zu unterstützen, veröffentlicht Shavlik jeden Patch-Tuesday einen Bericht zur Sicherheitslage: Wir beobachten und bieten unsere Analyse der neuesten Patches an, um Unternehmen bei der Priorisierung ihrer IT-Sicherheitsressourcen zu helfen."