Patch-Management

Abstürze vermeiden

02.12.2004
Ein fehlender Patch kann eine Airline lahm legen, wie es der Lufthansa im September passierte. Patch- und Update-Management- Software schließt Lücken und aktualisiert Programme. Doch trotz automatisierter Tools müssen CIOs immer noch selbst bestimmen, welche Patches sie einspielen, sonst droht der Absturz.

SCHON UM 4:30 UHR in der Frühe beendete das Check-in-System der Lufthansa seinen Arbeitstag: Totalausfall. Die Bildschirme an den Terminals der Flughallen waren schwarz, Bodenpersonal füllte weltweit für hunderttausend Fluggäste die Bordkarten mit der Hand aus. 60 Flüge im innereuropäischen Linienverkehr strich die Lufthansa, alle anderen Fluggäste mussten mehrere Stunden warten. Erst um 12:30 lief das System wieder.

Was war geschehen? Ein fehlender Patch hatte den Flugbetrieb lahm gelegt. In der Nacht hatte die Lufthansa damit begonnen, die Plattentechnologie auf Glasfaser umzustellen. Beim letzten Change, an dem auch das Check-in-System beteiligt war, summierte sich eine Reihe von Problemen zum Totalausfall. Beim Übertragen der Dateien von der alten auf die neue Plattentechnologie führten Konfigurationsprobleme zu fehlerhaften Parametern für die Audit-Datei. Die Fehler sollten per Online-Zugriff korrigiert werden, doch der Versuch schlug fehl, das System blieb stehen.

Üblicherweise wird in solchen Fällen das System wieder in den Ursprungszustand zurückgesetzt. Doch dieser Schritt scheiterte, weil ein Patch für die fehlerhafte Software-Routine fehlte. „Der Patch war uns im Vorfeld nicht angeboten worden. Diese Verkettung von Umständen konnte allerdings auch nicht vorausgesehen werden“, erklärt Bernd Voigt, Leiter des Geschäftssegments Infrastructure Services bei Lufthansa Systems. Erst als der Patch eingespielt war, konnten das System zurückgesetzt und die Probleme gelöst werden.

Patch-Management-Tools spielen unternehmensweit Software-Updates und Patches ein, um Sicherheitslücken zu schließen und Software auf dem neuesten Stand zu halten. Um das System zu prüfen, setzt zum Beispiel der Anbieter Shavlik Technologies die für den Microsoft Baseline Security Analyzer (MBSA) entwickelte Scanning Engine ein. Sie ermittelt den Status der einzelnen Hosts. Um festzustellen, welche Service-Packs oder Patches auf den einzelnen Systemkomponenten fehlen, vergleicht das Tool die im Scan ermittelten Daten tagesaktuell mit den von Microsoft bereitgestellten digital signierten Dateien. Das Programm identifiziert bereits installierte Patches, indem es File-Version, Checksummen und Registry-Keys heranzieht. Fehlende Patches lassen sich dann per Drag and Drop im gesamten System, auf bestimmte Gruppen oder einzelne Geräte aufspielen. Treten Probleme auf, lässt sich das System mittels Roll-back wieder in den Ausgangszustand zurücksetzen.

Mit dem Systems Management Server (SMS) hat Microsoft im Herbst 2003 ein deutlich verbessertes Tool herausgebracht und damit den Markt kräftig durcheinander gewirbelt. SMS eignet sich für Desktops, Server und Laptops und beinhaltet umfangreiche Features zur Hardware- und Softwareanalyse. Mit der Systeminventur und der Softwareverteilung ermittelt SMS, welches System wichtige Aktualisierungen benötigt und spielt die Patches zentral ein.

Microsoft informiert nur unzureichend

Mittlerweile veröffentlicht Microsoft die Patches nicht mehr ad hoc, sondern nur noch einmal im Monat. „Durch die Bündelung der Patches seitens Microsoft reduziert sich für uns der Aufwand an erforderlichen Tests und bei der anschließenden Verteilung der Patches. Außerdem sind die Ereignisse so planbarer geworden“, erklärt Ralf Stankat, zuständig für die IT im Vorstand der VR Kreditwerk Hamburg-Schwäbisch Hall AG.

Bei der zentralen IT-Verwaltung der Bausparkasse wird SMS 2.0 derzeit nur zum Patch-Management auf der Client-Seite eingesetzt. Ob SMS auch auf der Serverebene läuft, prüft Stankat noch. Er sieht allerdings auch verbesserungswürdige Aspekte beim Einsatz des Tools. „Leider liefert Microsoft nur unzureichende und nie verbindliche Informationen zu den Auswirkungen auf andere Softwareprodukte“, klagt er.

Über die automatisierte Softwareverteilung hinaus bietet Netinstall von Enteo Software (vormals Netsupport) die Möglichkeit, organisatorische Strukturen und Rollenmodelle zu berücksichtigen und zu warten. So lässt sich die Anwendungssoftware von der Installation bis zum Fein-Tuning an die individuellen Gegebenheiten anpassen. „Gerade im Hinblick auf die unterschiedlichen Berechtigungskonzepte und Zugriffsvarianten der einzelnen Mitarbeiter passt diese Lösung gut zu uns“, beschreibt Daniela Ehlers, Projektleiterin Finanzen und Reporting im Bahlsen-Informationsmanagement, ihre Erfahrungen mit dem Tool. Allerdings stimmt sich der Hannoveraner Kekshersteller Bahlsen immer mit dem Dienstleister ab, bevor er Patches ins System einspielt. Die ausgewählten Patches werden vor dem Roll-out in einer Testgruppe auf Verträglichkeit mit dem Gesamtsystem geprüft.

Bei Lufthansa Systems beschäftigt sich sogar einmal pro Woche ein spezielles Team in einem Change-Meeting damit, Patches nach Priorität, Kontext und Risiken zu klassifizieren sowie deren Auswirkungen auf Netzwerkkomponenten und auf das Gesamtsystem zu bestimmen. Aber nicht alle Patches sind für die Systeme relevant. „Bei 60 bis 80 angebotenen Patches pro Woche lässt sich die Entscheidung, ob ein Patch eingespielt werden muss, nicht voll automatisieren“, resümiert Bernd Voigt.

Um Patches auf dem Desktop-Betriebssystem zu verteilen, setzt Lufthansa Systems Zenworks for Desktops von Novell ein. Zenworks unterstützt sowohl Windowsals auch Linux- und Netware-Umgebungen. Das Werkzeug verteilt Software, konfiguriert, aktualisiert, behebt Fehler. Für die Softwareverteilung bei Applikationen setzt Lufthansa Systems die Eigenentwicklung „in2Life“ ein. Auf Servern kommt der Softwareverteiler in2life für HP-UX-Software (SD-UX) von Hewlett- Packard zum Einsatz. Der Custom-Patch-Manager und der Security-Patch-Check bestimmen dabei die relevanten Patches und laden sie herunter. Auch stellt die Software Informationen zu Abhängigkeiten der Patches zu bereits installierter Software bereit.

Wie Bernd Voigt von Lufthansa Systems versteht auch Rolf Hauff, Produktmanager Bürokommunikationssysteme bei Deutsche Bahn Systems, Patch-Management als teilautomatisierten Prozess: „Bei einem Unternehmen unserer Größe geht es beim Einsatz von Patch-Management-Tools nicht mehr nur darum, Zeit und Kosten zu sparen. Vielmehr sind Patch-Management- Tools die einzige Möglichkeit, Patches schnell für eine Vielzahl von Clients bereitzustellen.“