Software-Updates können bei IT-Experten eine ganze Bandbreite an Emotionen auslösen, von Kopfschmerzen durch die ungewissen Folgen, über Stress durch akuten Handlungsdruck, bis hin zu Erleichterung, wenn kritische Lücken endlich geschlossen sind. Der IT-Dienstleister Avision hat sich genauer angeschaut, warum Updates eigentlich so eine paradoxe Wirkung haben und wie mögliche Best Practices aussehen könnten.
Das Einspielen von Software-Updates ist essenziell für die IT-Sicherheit und gilt zu Recht als universeller Königsweg. Gleichzeitig stellt es aber auch einen nicht zu unterschätzenden Risikofaktor dar, der zu neuen Schwachstellen führen kann. Was also tun? Weil die meisten Updates alternativlos sind, sollten sich Unternehmen genau über die Vor- und Nachteile im Klaren sein, um mit dem bestmöglichsten Risikomanagement ein wehrhaftes Schutzniveau zu erreichen. Bei dem Balanceakt zwischen Risiko und Sicherheit gibt es bei genauerem Hinsehen naturgemäß einige Widersprüche:
1. Updates schließen Sicherheitslücken – und öffnen neue
Jedes Update reduziert ein bekanntes Risiko und führt im gleichen Zuge eventuell ein neues, unbekanntes ein. Denn jede Änderung an bestehender Software, sei es durch neue Funktionen, Anpassungen oder Fehlerkorrekturen, kann unerwartete Nebenwirkungen und neue Angriffsflächen erzeugen. Sicherheit wird nicht einmalig durch einen neuen Patch hergestellt, sie muss mit jedem Update neu austariert werden.
2. Je bekannter die Schwachstelle, desto größer das Risiko
Wird eine Schwachstelle entdeckt und ein entsprechender Patch geliefert, ist das erstmal eine gute Nachricht. Gleichzeitig beginnt jedoch ein Wettlauf gegen die Zeit. Angreifer analysieren Updates gezielt, um daraus Exploits abzuleiten. Fälle wie CrackArmor zeigen, wie klein das Zeitfenster zwischen Veröffentlichung und Angriffen dabei sein kann.
3. Die sichersten Tools sind oft die riskantesten
Sicherheitssoftware benötigt weitreichende Systemrechte, um ihre Aufgabe erfüllen zu können. Leider macht genau dieser Umstand ihre Updates besonders kritisch, wie das Beispiel von Trivy deutlich gezeigt hat. Jeder Patch verändert nicht nur eine Anwendung, sondern potenziell einen hochsensiblen Zugriffspunkt im System. Wird ein Update fehlerhaft oder sogar manipuliert eingespielt, kann sich der Effekt sofort systemweit ausbreiten.
4. Fehlerhafte Updates können mehr Schaden anrichten als Angriffe
Während Cyberattacken oft gezielt einzelne Systeme ins Visier nehmen, können fehlerhafte Updates ganze Infrastrukturen gleichzeitig in die Knie zwingen. Der CrowdStrike-Vorfall im Jahr 2024 hat eindrucksvoll vor Augen geführt, welche Auswirkungen ein einzelner fehlerhafter Rollout auf globale IT-Systeme haben kann. Der Unterschied: Ein Angriff nutzt bestehende Schwächen aus, während ein fehlerhaftes Update verschiedene Systeme gleichzeitig destabilisieren kann. Dadurch entsteht ein systemisches Risiko, das schwer vorhersehbar und kaum isolierbar ist.
So weit, so widersprüchlich. Nadine Riederer, CEO von Avision, ordnet diese Fakten ein:
„Auch wenn es keine ultimative Lösung für das allgemeine Update-Paradoxon gibt, so können Unternehmen dennoch einige Best Practices aus vergangenen Vorfällen ableiten. Dazu gehört etwa die Absicherung größerer Updates durch Backups sowie die Möglichkeit, im Fehlerfall schnell auf eine vorherige Version zurückzukehren. Ebenso sinnvoll ist es, Release Notes und Rückmeldungen aus der Community zu prüfen, um bekannte Probleme frühzeitig zu erkennen, sowie Updates zunächst in sicheren Testumgebungen zu validieren. Aber auch eine risikobasierte Bewertung ist entscheidend: Kritische Systeme sollten in der Regel schnell aktualisiert werden, während weniger exponierte Systeme gegebenenfalls zunächst beobachtet und zeitlich gestaffelt aktualisiert werden können. Im Nachhinein lassen sich solche Entscheidungen meist einfach bewerten, in der Praxis bleibt es jedoch auch weiterhin eine kontinuierliche Abwägung zwischen Sicherheit, Stabilität und Verfügbarkeit.“
Diese Presseinformation kann auch unter www.pr-com.de/de/avision abgerufen werden.
Pressekontakt
Avision GmbH
Christina Karl
Marketing
Bajuwarenring 14
D-82041 Oberhaching
Tel. +49-89-623037-967
christina.karl@avision-it.de
PR-COM GmbH
Melissa Gemmrich
Sendlinger-Tor-Platz 6
D-80336 München
Tel. +49-89-59997-759
melissa.gemmrich@pr-com.de
