Systemupdates

Rechtzeitig investieren statt kurzfristig reagieren

Pop-Ups nerven! Vor ein paar Jahren war man noch damit beschäftig, auf Websites Werbungen zu schließen, jetzt klickt man sich durch Cookie-Banner. Nebenbei erscheinen auf dem Desktop zusätzlich Hinweise zu Systemupdates. Durch die Internetnutzung entstand bereits die Konditionierung, auch diese Pop-Ups sofort zu schließen – dies könnte sich oftmals jedoch als Fehler erweisen.

Anfang 2022 wurde in einer Studie des Sicherheitsunternehmens Eset ermittelt, dass trotz des Support-Endes im Jahr 2020 noch immer mehr als 2,7 Millionen PCs in Deutschland mit dem veralteten Betriebssystem Windows 7 von Microsoft betrieben wurden. Die Nutzer riskierten damit erhebliche Sicherheitslücken und im Fall von Unternehmen auch Verstöße gegen die DSGVO. Damit Nutzer im Arbeits- wie im privaten Umfeld Sicherheitsrisiken vermeiden, sollten Rechner genauso wie Maschinen stets aktuell gehalten werden. Viele Gründe sprechen für eine regelmäßige Prüfung und Aktualisierung der Systemupdates. Dabei sind jedoch mehrere Punkte zu beachten.

Warum sind Systemupdates so wichtig?

Noch immer arbeiten zahlreiche Nutzer mit veralteter Software und Betriebssystemen, Das erleichtert es Eindringlichen erheblich, Sicherheitslücken im System zu finden und sensible Daten abzugreifen. Neben herkömmlichen PCs und Notebooks betrifft dies auch Maschinen und andere Geräte mit elektronischer Datenverarbeitung wie Kassensysteme oder Bezahlterminals, deren Ausfall erhebliche Folgen für die Betriebe haben kann. Durch die Entwicklung der vergangenen Jahre von der Arbeit vor Ort hin zu Remote Work gewinnen regelmäßige Sicherheitsupdates massiv an Bedeutung.

Im Frühjahr 2022 stellte ein verpasstes Systemupdate zahlreiche große wie kleine Handelsunternehmen vor große Herausforderungen: Die Zahlung mit Giro- oder Kreditkarte war nur noch bedingt möglich – für die Kunden hieß es dann, wieder mehr auf die altbewährte Barzahlung mit Scheinen und Münzen zurückzugreifen. Die Probleme traten ausschließlich beim Einsatz von EC-Kartenterminals eines bestimmten Typs auf. Laut Gerätehersteller waren die Schwierigkeiten auf einen Softwarefehler zurückzuführen.

Branchenkenner betrachten die Geräteausfälle aber als Problem mit Ansage: Zum einen wurde bereits 2019 vom Hersteller angekündigt, dass der Support für den Gerätetyp in naher Zukunft eingestellt und die weitere Nutzung nur noch durch Übergangsregelungen gewährleistet wird. Zum anderen waren Geräte, die im Dezember 2021 ein Update bekommen hatten, nicht von den Schwierigkeiten betroffen. Bis zur Behebung der Probleme vergingen teilweise Wochen, denn bei tausenden Geräten mussten manuelle Updates von Technikern aufgespielt werden. Vielerorts wurden die Geräte auch gleich durch neue Terminals ersetzt.

Zwar richtete der in Deutschland flächendeckende Einsatz veralteter Bezahlterminals keinen größeren Schaden an, da sich Kunden mit einer einfachen Alternative, also mit der Zahlung mit Bargeld, behelfen konnten. Die Händler mussten jedoch innerhalb kürzester Zeit mit hohem Aufwand Ersatzgeräte beschaffen oder einen Termin mit einem vielbeschäftigten Techniker finden, um die Geräte wieder zum Laufen zu bringen. Unternehmen, die bereits frühzeitig auf ein neues Terminal umgestellt oder das Dezember-Update durchgeführt hatten, konnten sich dagegen entspannt zurücklehnen.

Wer Systemupdates ignoriert, riskiert mitunter folgenschwere Sicherheitslücken

Der Vorfall zeigt, dass Updates – unabhängig davon, ob es sich um eine regelmäßige Aktualisierung des Betriebssystems auf dem Arbeitsrechner, um routinemäßige Sicherheitschecks oder um das Ersetzen alter Geräte wie etwa Bezahlterminals durch neue Versionen handelt – nicht auf die lange Bank geschoben werden sollten. Im best case hat das betroffene Unternehmen lediglich einen höheren Arbeitsaufwand, um beispielsweise fehlende Updates zeitaufwendig nachzuholen, im worst case werden Sicherheitsupdates vernachlässigt, sodass Eindringlinge Schlupflöcher erkennen und damit sensible Kundendaten stehlen können. In der Folge sinkt das Vertrauen der Kunden in das Unternehmen, die Anzahl der Kunden und damit auch der Umsätze geht zurück – nur eines der negativen Szenarien, das für Unternehmen böse enden kann.

Systemupdates sollte ein fester Stellenwert im Unternehmen beigemessen werden

Um solche Szenarien zu vermeiden, sollten Systemupdates gleich welcher Art deshalb einen großen Stellenwert im Unternehmen bekommen. Dazu sollten sich die zuständigen IT-Mitarbeiter zum einen regelmäßig über wichtige anstehende Updates informieren. Zum anderen gehört es zu ihren wichtigsten Aufgaben, sich darüber auf dem Laufenden halten, ob Software oder Betriebssysteme im Unternehmen im Einsatz sind, für die in absehbarer Zeit der Support ausläuft oder keine Updates mehr zur Verfügung stehen.

Kümmert sich ein Unternehmen frühzeitig gemeinsam mit den betroffenen Abteilungen um alternative oder aktualisierte Lösungen, lassen sich Probleme wie flächendeckend ausgefallene EC-Karten-Terminals mit hoher Wahrscheinlichkeit vermeiden. Werden die Mitarbeiter außerdem in die Entscheidungsfindung eingebunden und die Notwendigkeit von Updates oder der Umstieg auf eine andere Software ausreichend erklärt, verlaufen der Softwarewechsel oder Updatevorgang meist auch reibungsloser und das Projekt erfährt mehr Akzeptanz und Sorgfalt bei den Mitarbeitern. Dabei helfen können auch regelmäßige Erinnerungs- und Aufklärungsmails zu Systemupdates aus der IT-Abteilung sowie das Einstellen automatischer Updates etwa zu bestimmten Uhrzeiten oder bei Herunterfahren der Geräte.

Wichtig ist, dass die Mitarbeiter die Systemupdates nicht als lästiges Übel, sondern als natürlichen Part des Arbeitsalltags begreifen und über die Folgen aufgeklärt werden, die versäumte Updates mit sich bringen können. Arbeitnehmer haften zwar in der Regel nicht dafür, wenn Updates nicht durchgeführt wurden, können aber durchaus zur Verantwortung gezogen werden, wenn sie Schutzmaßnahmen wie eine Firewall bewusst deaktiviert haben und dadurch Schäden am System entstehen

Updates für sicheres Arbeiten im Home Office essentiell

Unternehmen, deren Mitarbeiter einen Großteil der Arbeitszeit im Home Office oder Full Remote verbringen, sollten besonderes Augenmerk auf die die regelmäßige Durchführung von Updates legen, da die private IT-Infrastruktur meistens weniger gut vor Hackerangriffen geschützt ist als im betrieblichen Umfeld. Wichtigste Elemente sind neben Updates für das Betriebssystem noch Aktualisierungen für die Antivirensoftware sowie für die am häufigsten genutzten Programme wie Office-Anwendungen, Bildbearbeitungsprogramme oder pdf-Reader. Schließlich werden Browser gern von Hackern genutzt, um sich Zugriff auf sensible Daten zu verschaffen. Wer Chrome, Firefox, Opera, Edge und Co. regelmäßigen Updates unterzieht, sorgt deshalb für mehr Datensicherheit auf seinem Arbeitsgerät und damit auch für mehr Sicherheit für sein Unternehmen.

Auch online gut abgesichert: Websites regelmäßig updaten

Selbst im digitalen Zeitalter gibt es noch immer Unternehmen, die vor gefühlt einem Jahrhundert eine Website angelegt haben, „damit man halt eine hat und auch im Internet gefunden wird“. Doch ob zehn Jahre alt oder erst vor wenigen Tagen neu aufgesetzt: Auch beim Online-Auftritt sollten Updates bis hin zu umfassenden Überarbeitungen und kompletten Relaunches auf keinen Fall vernachlässigt werden. Das spielt nicht nur eine Rolle, um neue Kunden zu gewinnen, sondern sichert auch den Einsatz weit verbreiteter CMS wie WordPress oder Shopsysteme ab, wo sensible Kundendaten wie Bankverbindungen hinterlegt sind. Vor größeren Updates, aber auch in regelmäßigen Zeitintervallen zwischendurch, ist es außerdem ratsam, ein Backup zu machen. So kann die Seite mit wenigen Klicks wiederhergestellt werden, falls die Website durch Angriffe beschädigt wird. Gleiches gilt, wenn sich das Update unerwarteterweise als inkompatibel mit den bislang genutzten Plugins erweist und die Website dadurch nicht mehr wie gewohnt erreichbar ist. Wer neben regelmäßigen Updates gleichermaßen Backups durchführt, ist gut für den Ernstfall gerüstet und die Erreichbarkeit des unternehmenseigenen Online-Auftritts maximieren.

Update fürs Betriebssystem: Microsoft stellt Support für Windows 10 bereits 2025 ein

Damit genügend Zeit für die Vorbereitung und die tatsächliche Umstellung ist, hat Microsoft für Windows 10 bereits ein Enddatum festgelegt: Der Support wird – nach der Einführung im Jahr 2015 – voraussichtlich im Oktober 2025 eingestellt werden. Für das Supportende von Windows 10 Enterprise LTSC 2021 gilt eine Verlängerung bis Januar 2027. Als Nachfolger steht schon Windows 11 in verschiedenen Versionen für Privat- und Pro-Nutzer zur Verfügung.

Fazit: Regelmäßige Updates sparen Ressourcen

Systemaktualisierungen werden zum großen Leidwesen von Security-Verantwortlichen in Unternehmen oftmals stiefmütterlich von Mitarbeitern behandelt, tragen aber einen großen Teil dazu bei, dass die technische Infrastruktur und damit wichtige, im Unternehmen verankerte Prozesse reibungslos funktionieren und sensible Daten gut geschützt sind. Unternehmen sollten deshalb auf allen Ebenen – sowohl auf Führungs- als auch auf normaler Mitarbeiterebene – ein Bewusstsein dafür schaffen, welche Rolle regelmäßige Updates für den Betriebserfolg spielen. Gleichzeitig sollten sich die zuständigen IT- und Securitymitarbeiter darum kümmern, dass Updates und gegebenenfalls das Supportende von systemkritischer Software rechtzeitig erkannt sowie die Einführung von Alternativen geplant und umgesetzt werden. Damit lassen sich Ausfälle wichtiger Systeme oder der Einfall von Hackern mit einer hohen Wahrscheinlichkeit verhindern.

Updates gehören bei allen Komponenten dazu - je exponierter das System desto kritscher. Heißt dementsprechend gilt das in der Breite und in der Tiefe. Breite heißt in dem Fall, sowohl für Pimcore, als auch für analoge Systeme wie andere CMS, PIM, CRM sowie generell Systeme mit Schnittstellen. Tiefe heißt, dass auch die unter Pimcore liegenden Schichten wie Webserver/Apache/Node, das Betriebssystem sowie das Rechenzentrum selbst regelmäßig aktualisiert werden müssen) Neben den Updates gehören mittlerweile auch Security Audits - je unabhängiger desto besser - dazu. Regelmäßige Updates sparen Ressourcen und Nerven! Eine rechtzeitige Investition ist deshalb sinnvoller als der Hot Fix, sobald Probleme auftreten.