Patches sind wichtig und müssen zwingend installiert werden, damit bekannte oder mögliche Lücken nicht durch Schadcode ausgenutzt werden können. Nur was Microsoft in den letzten Monaten hier abgeliefert hat, ist nicht mal mehr ungenügend. Hier muss sich Microsoft die Frage nach der Ernsthaftigkeit und Professionalität ihrer Arbeit stellen und ob das ihr Anspruch sein soll? Einer Firma deren Betriebssystem auf den meisten Computer läuft, zeigt ein Bild – man muss schon sagen – von Inkompetenz! Es war ja nicht nur ein mal ein Fehler bei einem Patch, es reiht sich Debakel an Debakel. Beim aktuellen Stand muss man sich auch Fragen was schlimmer ist, ein Patch von Hersteller oder Schadcode vom Angreifer.
So gesehen ist es schon fast unglaublich, dass sich ein Blog-Artikel mit dem Thema der Qualität von Microsoft Patches und vor allem deren Tests befassen muss. Als Kunde von Microsoft ist man in einer denkbar schlechten Situation. Ohne die Patches ist man gefährdet und mit ihnen läuft man Gefahr, dass man mehr Schaden als Nutzen hat. Egal was die IT Abteilung tut, sie hat den schwarzen Peter. Wird nicht gepatcht und die Systeme von Schadcode befallen liegt es an der IT, wird gepatcht und die Systeme funktionieren nachher nicht mehr, ist es auch das Problem der IT. Kurz um, ein Traum!
Vielleicht sollte sich Microsoft doch mal ein Beispiel an Linux und den Firmen hinter den Distributionen nehmen, denn hier hat es einen solchen unhaltbaren Zustand noch nicht gegeben. Dass Software nicht frei von Fehlern sein kann, liegt in der Natur der Sache, vielmehr geht es um die Frage, wie man mit solchen Fehlern umgeht. Hier muss man der freien Software bescheinigen, dass sie sich hier um einiges professioneller anstellt als der Konzern Microsoft. Bei all den Ressourcen die Microsoft zur Verfügung stehen sollte es wohl möglich sein eine besser Qualität von Patches bereitzustellen. Also kann es daran nicht liegen, es muss andere Gründe haben. Welche das sind, lässt sich von außen nicht sagen und sich an Spekulationen zu beteiligen macht keinen Sinn. Das sind seinerseits verschwendete Ressourcen und es bringt auch nichts.
Die Kunden von Microsoft stehen zwar in der Pflicht mehr Druck auszuüben, was auch nicht mehr als ein kleines Zeichen ist. Denn eine wirkliche Alternative bei der Wahl des Client Betriebssystem und in fast allen Fällen bei ihrer Business Software existiert ja nicht. Im Segment der Servers Betriebssysteme gibt es für das eine oder andere System zwar eine Alternative, nur an Microsoft kommt hier auch keiner vorbei. Ein gutes Beispiel ist das Mailsystem bzw. die Groupware Lösung. Was läuft denn noch außer MS Exchange? Vieles andere sind keine ernstzunehmenden Lösungen oder nur Nischenprodukte. Im Bereich Datenbanken sind nicht zuletzt durch Dynamics viele MS SQL Server fest im Rechenzentrum etabliert. Microsoft ist de facto der Standard in unseren Rechenzentren. Angefangen beim Kleinstbetrieb über den Mittelstand bis hin zu großen Konzernen. Selbst wann man mit aller Konsequenz es durchsetzen wollte voll umfänglich auf Microsoft zu verzichten, so würde es nicht funktionieren.
Nun ist man bei der traurigen Feststellung angelangt, dass man zum einen keine Wahl hat und zum anderen an der Situation (vorerst) nichts ändern kann. Was also tun? Augen zu und durch, darauf hoffen, dass die Patches funktionieren oder das der Schadcode einem Bogen macht und man nicht betroffen ist? Keiner der beiden Optionen hört sich wirklich verlockend an. Einen kleinen Vorteil hat man als Betreiber einer virtuellen Infrastruktur auf Basis von VMware vSphere. Zumindest kann man für die virtuellen Systeme und Trendmicros Deep Security mit der virtual Patching Option was tun. Auf den physikalischen Systemen sieht es hingegen ziemlich düster aus. Die letzte Hoffnung ist dann nur die auf den Systemen installiert Schutzsoftware. Einen kleinen Trumpf haben noch all diejenigen im Ärmel die eine UTM / NG Firewall mit guten IPS Systemen im Einsatz haben. Dies ist auf jeden Fall schon mal kein Nachteil. Aber die mobilen Geräte wie Notebooks, die sich nicht immer im Firmen Netzwerk befinden kann diese Instanz auch nicht schützen. Zumindest ist man nicht in allen Bereichen von Microsoft abhängig ohne auf Microsoft Software zu verzichten. Es ist zwar nur ein schwacher Trost, aber die einzige Option die man derzeit hat.
Unabhängig davon muss sich umgehend an der Patch-Situation von Microsoft was ändern. Hier steht Microsoft ganz klar in der Pflicht diesen unhaltbaren Zustand abzustellen. Aktuell bleibt nur zu hoffen, dass es sich bald bessert und dieser Zustand anhält und ausgebaut wird. Dies zeigt aber auch, dass der Einsatz alternativer Systeme wo es möglich ist, diese auch eingesetzt werden sollte. Auch dann, wenn es auf den ersten Blick gegenüber einem Microsoft System unbequemer aussieht. Das Patch Debakel hat zumindest aufgezeigt immer mal wieder alternative Szenarien, wenn auch nur Gedanklich, in Betracht zu ziehen und über alternative Schutzmechanismen nachzudenken.