- Anzeigen -


Test von Patch-Management-Paketen


Mehr Sicherheit im Unternehmen durch Patch-Management
Unter dem Strich arbeitet die Lösung von Kaspersky Lab im Vergleich zu den Paketen von Lumension, Symantec und VMware am verlässlichsten

Von Markus Selinger, AV-Test

(10.03.14) - Der Test von vier Patch-Management-Lösungen durch das Labor AV-Test belegt, dass deren Einsatz sich für das Unternehmen in Sachen Sicherheit lohnt und zusätzlich der Administrator entlastet wird. Ein gutes Patch-Management erhöht die Sicherheit auf Clients und Servern, da Patches Schwachstellen bei der im Unternehmen eingesetzten Software schließen. Die Patch-Management-Pakete sollen dabei vorhandene Betriebssysteme und Softwareinstallationen automatisch updaten. In der Praxis kommt es aber darauf an, wie schnell Updates eingespielt werden, ob alle laufenden Applikationen erkannt und die Updates fehlerfrei ausgeführt werden. Denn jeder hängende Client oder Server ist für Admins mehr Belastung als Hilfe.

Vier Lösungen im Test
Den Test der Patch-Management-Pakete hat die Firma Kaspersky Lab bei dem unabhängigen Magdeburger Antivirentestlabor AV-Test in Auftrag gegeben. Dabei wurde nur der Testumfang von Kaspersky Lab vorgegeben, die finalen Testmethoden hingegen hat AV-Test selbst festgelegt und den Test auch im eigenen Labor durchgeführt. Die Ergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec wurden ohne Einflussnahme von Kaspersky Lab veröffentlicht.
Getestet wurden folgende Produkte:
>> Kaspersky Security Center 10.1
>> Lumension Endpoint Management and Security Suite 7.3
>> Symantec Altiris Patch Management Solution 7.1
>> VMware vCenter Protect 8.0

Die bewerteten Funktionen
Die Tester haben sich die elf wichtigsten Funktionen der Softwarelösungen herausgegriffen und miteinander verglichen:
1. Die Zahl der unterstützten Applikationen
2. Die Erkennung der installierten Programme
3. Die Reaktionsrate zum Einspielen neuer Patches
4. Den Sprach-Support der installierten Anwendungen
5. Die Qualität und den Ablauf der Patch-Installation
6. Das Verhalten bei Installationsproblemen
7. Das Deaktivieren von unerwünschten Add-ons
8. Kontrolle der Auto-Update-Konfiguration von Software
9. Den Einsatz des Microsoft-Update-Supports (WSUS)
10. Die Steuerung des Server- oder Client-Neustarts
11. Den Umgang mit Nutzerlizenzen bei Updates

Die Hürden im Test
Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mit Hilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac-OS X, Red-Hat- oder SUSE-Linux sind die Datenbanken der Lösungs-Anbieter gefragt.
Weiterhin ist die Menge der von Firmen eingesetzten Applikationen fast unbegrenzt. Die Patch-Management-Lösungen mussten im Test über 290 Programme und Betriebssysteme erkennen und unterstützen. Diese Summe ergab sich aus den Angaben aller unterstützten Applikationen der vier Lösungen.
An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 Prozent den besten Wert. Die Lösung von VMware folgte mit 65 Prozent, Symantec mit 48 und Lumension mit knapp 27 Prozent.
Nur Lumension und Kaspersky erkannten alle Betriebssysteme zu 100 Prozent.

Wen erkennt die Software
Im Weiteren wurde geprüft, ob die Lösungen die 60 populärsten Applikationen erkennen und updaten. Mit vertreten: Browser wie Firefox, Chrome, Safari oder Opera, Mailclients wie Thunderbird oder Packer wie Winrar und 7-Zip.

Die Lösungen von VMware und Symantec kennen zwar die meisten Programme, lesen aber mehrfach die Versionsnummer falsch oder gar nicht aus.
Kaspersky kennt zwar etwas weniger Applikationen als VMware und Symantec, aktualisiert sie aber dafür korrekt.
Lumension arbeitet sauber, kennt aber im Vergleich zu den anderen Lösungen nur etwa die Hälfte der Programme. Populäre Tools wie Chrome, Opera, Safari, Thunderbird oder Winrar kennt die Lösung gar nicht.

Sprache wird passend gemacht
Ist eine Applikation nicht in der Systemsprache installiert, dann verweigern einige Lösungen die volle Unterstützung. Vor allem Lumension kennt lediglich zwei zusätzliche Sprachen. Von 14 getesteten Sprachen kennen Symantec und Kaspersky Lab 12, VMware sogar 13 Sprachen. VMware und Symantec leisten sich aber Ausrutscher: sie bringen zwar sechs bzw. sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.

Wie schnell wird gepatcht?
Sobald eine Applikation eine Schwachstelle meldet, wird damit auch zeitnah ein Patch veröffentlicht. Im Test reagierten die Lösungen von VMware und Kaspersky Lab im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast 12 Tage.

Was passiert, wenn das Update schief läuft?
Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand erledigen.

Im Test mussten die Lösungen aus dem Testpool an Applikationen nur diejenigen updaten, die sie auch kennen. Diese Qualität wurde festgehalten. VMware und Symantec unterstützten jeweils 63 Programme, patchten sie aber nur zu 97 bzw. 87 Prozent. Bei Symantec streikten nach dem Update acht Programme, bei VMware eines.

Die Patch-Lösung von Kaspersky Lab unterstützt nur 51 Programme, patcht diese aber alle fehlerfrei. Lumension erreichte mit fast 97 Prozent Verlässlichkeit zwar einen hohen Wert, das aber mit nur 27 Applikationen.

Stolpersteine bei Updates
Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internet-Verbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.

Bei den von den Patch-Management-Paketen unterstützten Applikationen konnten nur Kaspersky Lab und Lumension punkten. Letztere Lösung hatte nur drei Mal ein Problem, weil die zu patchende Software gerade lief.
VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.

Sicherheitslücken durch Add-ons
Während eines Updates versuchen einige Applikationen Toolbars oder Optimierungs-Tools mit zu installieren. Auf diese Weise werden neue Sicherheitslücken geschaffen. Daher muss die Add-on-Installation verhindert werden. Im Test schlüpften sowohl Symantec als auch VMware einzelne Add-ons ins Update. Nur Lumension und Kaspersky Lab blieben fehlerfrei.

Auto-Updates können querschießen
Viele Applikationen wissen über ihre permanente Anfälligkeit für Sicherheitslücken Bescheid – ganz vorne ist da etwa der Adobe Reader. Daher bringt er auch ein Auto-Update mit. Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Lumension, Kaspersky Lab und VMware bringen dies von Haus aus als Option mit. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Scriptsteuerung an.
Nutzer von Symantec müssen den ganzen Ablauf der Auto-Updates per vorhandener Scriptsteuerung verhindern.

Nutzerlizenzen sollten einsehbar sein
Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.

Update-Support von Microsoft
Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.
Gute Steuerung der Neustarts
Im Test wurde auch das Verhalten nach den Updates registriert. Musste ein Neustart des Systems eingeleitet werden, so wurden die Nutzer des Client- oder Server-Systems gut informiert und die Systeme verlässlich neu gestartet. Es ließen sich sogar Neustarts verschieben oder zeitlich neu planen. In diesem Punkt waren alle Lösungen gleich verlässlich und umgänglich.

Fazit: Patch-Management sichert Systeme und entlastet Admins
Auch wenn die Zahlen der einzelnen Testabschnitte es nicht direkt erkennen lassen: jede der getesteten Patch-Management-Lösungen kann für mehr Sicherheit bei Clients oder Servern sorgen.
Unter dem Strich arbeitet die Lösung von Kaspersky Lab im Vergleich zu den Paketen von Lumension, Symantec und VMware am verlässlichsten. Die hohe Zahl an unterstützten Applikationen und das meist fehlerfreie automatische Update können den Administrator massiv entlasten und die Sicherheit hoch halten. (Markus Selinger, AV-Test: ra)

AV-Test: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tests

  • Unbedingt auf die Gerätesicherheit achten

    Bankgeschäfte vom Smartphone oder Tablet immer und von überall aus zu tätigen ist reizvoll. Doch wie halten es die Applikationen mit Sicherheit und Komfort? Die Sicherheitsexperten der PSW Group haben drei Apps genauer unter die Lupe genommen: Die multibankfähigen Apps finanzblick und Banking4 sowie die mobile App der Consorsbank. "Unser Fokus lag auf dem Sicherheitsaspekt, aber natürlich flossen auch Funktionsvielfalt und Bedienkomfort in unsere Bewertung ein. Finanzblick konnte uns dabei am meisten überzeugen. Etwas enttäuscht sind wir von Consorsbank, denn die App greift auf relativ viele Berechtigungen zu, die nicht immer Sinn ergeben, und auch über Umfang und Ort der Datenspeicherung schweigt sich die Bank aus", fasst Christian Heutger, Geschäftsführer der PSW Group, zusammen.

  • Bitdefenders AV-Lösung im Test

    Die PSW Group testete die Lösung von "Bitdefender: Total Security Multi-Device 2017". "Insgesamt zeigt sich Bitdefender recht ähnlich wie seine beiden vergleichbaren Wettbewerber Eset und Kaspersky. Zwar erweist sich Bitdefender als teuerste Lösung, gleicht dies jedoch mit einem Feature-Plus wieder aus. Bitdefender punktet mit guten Laufzeiten der Usability und beim Support. Lobenswert ist der konsequente Einsatz von ASLR und DEP, das gültige Signieren aller Programmdateien und die Software-Verteilung via sicherem HTTPS. Einzig die Deinstallation von Bitdefenders Total Security Multi-Device 2017 ist etwas aufwendiger. Hierfür muss der User erst das Bitdefender Uninstall Tool auf seinen Rechner laden. Im Übrigen lässt auch Bitdefender leider keinen Rundum-Schutz für wirklich alle Geräte zu: iOS wird ausgeschlossen und lediglich die Plattformen Windows, macOS und Android geschützt", fasst Christian Heutger, Geschäftsführer der PSW Group, zusammen. Bitdefender unterscheidet nicht nach Zahl der User, sondern nach Zahl der Geräte. Die Auswahl ist denkbar gering: Anwender haben die Wahl, die Suite für fünf oder zehn Geräte zu ordern. "Das ist schade für jene, die lediglich drei Geräte schützen wollen. Eine Zwischenlösung für zwei oder drei Geräte wäre wünschenswert", meint Heutger. Mit der Wahl der Laufzeiten von einem, zwei oder drei Jahren punktet Bitdefender dann aber wieder. "Zusätzlich können User entscheiden, ob sie selbst die Software installieren möchten oder ob Bitdefender das übernehmen soll. Das ist eine Option, die uns bei Bitdefender erstmals begegnet und absolut positiv ist", lobt Christian Heutger.

  • Familie vor Online-Bedrohungen schützen

    "Hacker würden mit oder ohne Security-Lösungen Wege ins System finden" bemerkte Brian Dye, seines Zeichens Executive Vice President bei McAfee, schon vor einigen Jahren. Nun setzte Cybersecurity-Experte John McAfee mit seiner Aussage, jeder Router, der in den USA zum Einsatz kommt, sei kompromittiert, noch einen oben drauf. Seiner Meinung nach gelänge es Hackern, WLAN-Verbindungen der Geräte zu verwenden, um ihre Besitzer auszuspionieren. Diese Bemerkung veranlasste die IT-Sicherheitsexperten der PSW Group dazu, sich das Sicherheitspaket "Total Protection 2017" des Herstellers genauer anzusehen. Ob McAfees AV-Suite es schafft, die ganze Familie vor Online-Bedrohungen zu schützen und jedes Gerät gegen Angriffe abzusichern?

  • Guter Selbstschutz der AV-Lösung

    Wenn es um Virenschutz geht, ist Kaspersky Lab einer der Marktführer in Europa. Mit ihrer Antiviren-Suite "Kaspersky Total Security 2017" verspricht der Entwickler die Privatsphäre, alle persönlichen Daten sowie Finanzen der ganzen Familie auf jeder Plattform zu schützen. Nun haben sich die IT-Sicherheitsexperten der PSW Group die Antiviren-Lösung in einem Test genauer angesehen - und kommen zu gemischten Ergebnissen. "Kaspersky wartet mit guten und umfangreichen Features auf, dennoch gibt es eine wesentliche Einschränkung: Nicht jedes Feature existiert für alle Systeme; vielfach greifen Schutzfunktionen lediglich auf Mac und PC. Damit erweist sich die Lösung leider nicht als echte Multiplattform-Suite, wie es der Hersteller verspricht. Auf 64-Bit-Systemen gibt es sogar noch einige weitere Funktionseinschränkungen, auf die Kaspersky aber immerhin auf seinen Produktseiten hinweist", sagt Christian Heutger, Geschäftsführer der PSW Group.

  • Lob auch für die Botnet-Erkennung

    "Antivirus ist keinesfalls tot, jedoch müssen die Hersteller von AV-Suiten umdenken", ist Christian Heutger, Geschäftsführer der PSW Group, überzeugt. Er bezieht sich damit auf die Meinung von Brian Dye, Executive Vice President bei McAfee, dass kommerzielle Antiviren-Lösungen tot seien. Um seine Überzeugung zu untermauern, hat Christian Heutger gemeinsam mit seinem Team einige Virenscanner, darunter das Multi-Device Security Pack vom Hersteller Eset einem Test unterzogen. Immerhin verspricht der Entwickler idealen Rundum-Schutz für alle Geräte.