· Ratgeber  · 4 Min. Lesezeit

Updates, die wirklich passieren: Patch-Management mit Ansible

Ungepatchte Systeme sind das häufigste Einfallstor für Angreifer. Warum gute Vorsätze beim Update-Tag nicht reichen und wie Automatisierung daraus einen verlässlichen, dokumentierten Prozess macht.

Ungepatchte Systeme sind das häufigste Einfallstor für Angreifer. Warum gute Vorsätze beim Update-Tag nicht reichen und wie Automatisierung daraus einen verlässlichen, dokumentierten Prozess macht.

Wenn ich nach einem Sicherheitsvorfall die Ursache suche, ist es selten ein genialer Hacker-Trick. Meistens ist es eine seit Monaten bekannte Sicherheitslücke, für die es längst ein Update gab, das nur nie eingespielt wurde. Ungepatchte Systeme sind das häufigste Einfallstor in kleine Betriebe und Praxen, und zwar nicht, weil Updates kompliziert wären, sondern weil sie im Alltag untergehen.

Warum ungepatchte Systeme so gefährlich sind

Sobald ein Hersteller eine Sicherheitslücke schließt, ist sie öffentlich dokumentiert. Ab diesem Moment wird sie automatisiert ausgenutzt: Angreifer scannen das Internet flächendeckend nach Systemen, die das Update noch nicht haben. Das trifft nicht die Großen zuerst, sondern die Langsamen. Ein kleiner Betrieb an der Bergstraße ist für diese Scans genauso sichtbar wie ein Konzern, er hat nur seltener jemanden, der die Lücke rechtzeitig schließt.

Warum „Updates macht der Azubi freitags” nicht funktioniert

Fast jeder Betrieb hat einen guten Vorsatz fürs Patchen. Das Problem ist nicht der Vorsatz, sondern die Handarbeit dahinter:

  • Es ist niemandes Hauptaufgabe. Der Freitagnachmittag fällt aus, weil ein Kunde anruft, jemand krank ist oder Urlaub hat. Aus einer Woche Rückstand werden drei Monate.
  • Es gibt keine Vollständigkeit. Von Hand aktualisiert man die Systeme, an die man denkt. Der Server im Keller, das NAS, die Firewall, das selten benutzte Notebook im Lager: genau die vergessenen Geräte bleiben offen.
  • Es gibt keinen Nachweis. Wenn niemand dokumentiert, was wann wo eingespielt wurde, weiß auch niemand, wo Sie stehen. „Ich glaube, das ist aktuell” ist kein Sicherheitskonzept.
  • Es ist nicht reproduzierbar. Zwei Rechner, zweimal von Hand eingerichtet, sind nie identisch. Jede Abweichung ist eine potenzielle Fehlerquelle.

Was Ansible anders macht

Ich automatisiere Patch-Management bevorzugt mit Ansible, einem etablierten Open-Source-Werkzeug. Die Idee ist einfach: Statt sich nacheinander auf jedes System zu setzen, beschreibe ich einmal zentral, was zu tun ist, und Ansible führt es auf allen Systemen gleich aus. Konkret heißt das:

  • Gleicher Stand überall. Server, Arbeitsplätze und Dienste werden einheitlich aktualisiert, kein System wird vergessen, kein Flickenteppich entsteht.
  • Reproduzierbar. Derselbe Ablauf liefert heute, nächsten Monat und auf dem zehnten System dasselbe Ergebnis.
  • Dokumentiert mit Nachweis. Am Ende jedes Durchlaufs steht ein Report: welches System, welcher Stand, was wurde eingespielt. Das ist Ihr Beleg, auch gegenüber Prüfern.
  • Planbare Wartungsfenster. Updates laufen dann, wenn sie den Betrieb nicht stören, etwa nach Feierabend, statt „wenn mal Zeit ist”. Aus vier Stunden Handarbeit am Patch-Tag wird ein geplanter, kontrollierter Durchlauf.

Infrastructure as Code, kurz erklärt

Der Fachbegriff dahinter heißt Infrastructure as Code, und er ist weniger abstrakt, als er klingt. Statt Systeme per Hand zusammenzuklicken, wird ihr Soll-Zustand als Text beschrieben, wie ein präzises Rezept: welche Software, welche Einstellungen, welche Updates. Dieses Rezept ist gleichzeitig die Dokumentation Ihrer IT, es ist wiederholbar, und es gehört Ihnen. Fällt ein System aus, baue ich es aus der Vorlage in kurzer Zeit sauber neu auf, statt tagelang zu rekonstruieren, wie es einmal konfiguriert war. Und weil alles offen dokumentiert ist, entsteht keine Abhängigkeit von mir: kein Vendor-Lock-in, keine Blackbox.

Patchen ist Pflicht, nicht Kür

Regelmäßiges Einspielen von Updates ist keine freiwillige Fleißaufgabe, sondern Basishygiene, die inzwischen auch rechtlich erwartet wird. Die DSGVO verlangt technische Maßnahmen nach dem Stand der Technik, und dazu gehört ein geordneter Umgang mit Sicherheitsupdates ganz selbstverständlich. Für Arzt- und Zahnarztpraxen kommt die IT-Sicherheitsrichtlinie nach § 390 SGB V hinzu, die genau solche Grundpflichten konkretisiert. Was das für Praxen im Einzelnen bedeutet, habe ich auf der Seite § 390 SGB V verständlich erklärt zusammengefasst. Zur Einordnung: Ich erkläre Ihnen die Anforderungen und setze die Technik um, die rechtliche Bewertung im Einzelfall ersetzt das nicht.

Ehrlich: Was Automatisierung nicht löst

Auch automatisierte Updates können in seltenen Fällen Probleme verursachen, das verschweigt Ihnen niemand seriös. Der Unterschied ist der Umgang damit: definierte Wartungsfenster, ein gestaffeltes Ausrollen statt „alles auf einmal” und ein Monitoring, das danach prüft, ob alle Dienste sauber laufen. Genau diese Kombination aus Automatisierung und Überwachung macht aus dem Bauchgefühl „müsste eigentlich aktuell sein” einen belegbaren Zustand.

Und sie ist der Grund, warum ich solche Leistungen als Ein-Mann-Betrieb überhaupt zuverlässig und bezahlbar anbieten kann: Was einmal sauber gebaut ist, läuft für jeden Kunden gleich, geprüft und dokumentiert.

Sie möchten wissen, wo Ihre Systeme heute stehen? Ich schaue mir Ihre Umgebung an und zeige Ihnen, welche Automatisierung sich zuerst lohnt. Wie ich dabei vorgehe, lesen Sie auf der Seite IT-Automatisierung, das Erstgespräch ist kostenlos.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber