Total Cost of Patch-Management
Artikel erschienen in Swiss IT Magazine 2003/19
Sicherheitsrelevante Schwachstellen in Software-Produkten nehmen stetig zu. Die Lage ist inzwischen so alarmierend, dass kaum ein Tag vergeht, an dem nicht vor massivsten Problemen mit Würmern, Viren, Trojanern und Hackern gewarnt wird. Das Erstaunlichste dabei ist, wie gelassen wir Anwender darauf reagieren. Statt den Druck auf die Hersteller massiv zu erhöhen, geben wir uns dem Schicksal hin. Wir begnügen uns mit Flickwerk, statt sauber programmierte Qualitätsware zu fordern. Ja, wir finden es inzwischen ganz normal, wenn die teuer bezahlte Software einem Flickhaufen gleicht.
Schon klar, einhundertprozentig sichere Software wird es nie geben. Dennoch: Der heutige Zustand ist eine Zumutung. Das muss und darf nicht hingenommen werden. In Kalifornien wird jetzt eine Sammelklage gegen Microsoft eingereicht, die den Softwaregiganten im Bereich der Produkthaftung in die Pflicht nehmen will. Ich meine, die Softwarehersteller sollten für ihre Programm-Böcke zur Rechenschaft gezogen werden - zumindest wenn es sich um sicherheitstechnisch grobfahrlässige Programmierfehler und um krasse konzeptionelle Designmängel handelt. Dies würde die Hersteller zwingen, sich endlich intensiver mit dem Thema Sicherheit zu befassen. Eine Verurteilung, gegen die sich die Software-Monopolisten freilich mit aller Macht stemmen werden, wäre ein ermutigendes Zeichen - mehr nicht, denn die Softwarequalität verbessert sich deswegen nicht über Nacht.
Dafür ist ein generelles Umdenken vonnöten. Die ersten, die das merken werden, sind kleine Softwarefirmen, die sich über die Stabilität und die Sicherheit ihrer Produkte zu differenzieren wissen. Auf lange Sicht würde die Einführung einer Produkthaftung zu einer Verschiebung der Prioritäten führen: Statt immer neue Features zu programmieren, würde die Entwicklung von wasserdichten Codes im Zentrum stehen.
Aber der Druck muss von den Anwendern kommen. Dieser kann erzeugt werden, indem auf den Kauf von unsicheren und extrem patchintensiven Produkten vermehrt verzichtet wird. Deshalb ist es wichtig, dass der Anwender bereits während der Evaluationsphase eines Softwareprodukts sich Gedanken zu den allfälligen Kosten des Patch-Managements macht. Denn der Anwender trägt nicht nur die Kosten des Patch-Managements, sondern zudem auch das volle Sicherheitsrisiko.
Leider haben Sicherheitsaspekte in der Softwareevaluation nach wie vor einen viel zu geringen Stellenwert. In den meisten TCO-Modellen tauchen sie kaum oder nur am Rand auf. Wer jedoch das Thema TCO ernst nimmt, kommt nicht umhin, eine Zauberformel für den "Total Cost of Patch-Management" zu entwickeln, nach dem jede Software beurteilt und gewichtet wird.
User sind gut beraten, sich vor dem Kauf einer Software über deren Anzahl Schwachstellen der vergangenen Monate zu informieren und deren sicherheitstechnischen Ruf zu analysieren. Die Kostenrechnung ist denkbar einfach: Je mehr Schwachstellen Sie stopfen müssen, je teurer kommt der Betrieb der Software zu stehen. Denn schliesslich brauchen Sie Mitarbeiter, die sich permanent über neue Löcher und Patches zu informieren haben. Diese müssen dann auch noch eingespielt werden, was vielfach zu einer verringerten Uptime des fraglichen Dienste führt.