Wir wollen Sie nicht auf die Antwort warten lassen, also: Nein, quasi nie. Generell ist es keine gute Idee, Software Updates zu ignorieren. Warum Sie sich die Zeit dafür nehmen bzw. die passende Kultur dafür schaffen sollten und was bei solchen Updates überhaupt passiert, erfahren Sie in diesem Artikel.
Einordnung zum Thema (Audio 🎧)
Sie setzen mehr Software ein, als Sie denken
Nutzbare, skalierbare und gute Software zu entwickeln ist das Ziel jedes Entwicklers. Dabei stößt man jedoch häufig auf ähnliche Probleme, für die man denselben Code benötigt. Das Rad neu zu erfinden hält nur unnötig auf. Stattdessen steht unsere moderne Infrastruktur auf den Schultern von Giganten. 1
Für diesen Zweck gibt es sogenannte Dependencies, zu Deutsch Abhängigkeiten. Sie bilden das Fundament jeder Applikation und es gibt Millionen davon. Sie erleichtern den Entwicklungsprozess enorm, machen das erneute Schreiben identischen Codes überflüssig und bieten häufig nützliche Hilfsfunktionen. Am Ende nutzen Sie deutlich mehr Programme, als auf den ersten Blick sichtbar ist.
Zur Einordnung: In unseren Projekten beobachten wir regelmäßig Verhältnisse von etwa 1 zu 50-100 eigene Codezeilen im Vergleich zu Codezeilen aus Abhängigkeiten. Aus Erfahrung können wir sagen, dass dieses Verhältnis branchenweit eher klein ist, da wir streng kontrollieren, welche Abhängigkeiten in welchem Kontext eingesetzt werden. In dieses Verhältnis ist zudem die jeweilige Interpretationsumgebung nicht einberechnet. Allein der Linux Kernel umfasst derzeit etwa 27,8 Millionen Programmzeilen.2.
Was kann denn schon passieren?
Sicherheitslücken, die durch Dependencies verursacht werden, sind ernst zu nehmen und können durch triviale Fehler entstehen. Ein gutes Beispiel ist die erst kürzlich entdeckte Log4Shell-Schwachstelle in der Abhängigkeit Log4j3. Diese führte dazu, dass weltweit tausende IT-Sicherheitsmitarbeiter über Weihnachten 2021 aus dem Urlaub zurückkehren mussten.
Durch die Schwachstelle war es möglich, mit nur einer einzigen Textzeile Dateien auf einem fremden Server herunterzuladen und diesen vollständig zu übernehmen. Damit handelte es sich letztlich um Remote Code Execution. Das BSI setzte die IT-Bedrohungslage in Deutschland daraufhin auf den höchsten Status 4 / Rot. Weitere Informationen finden Sie unter der Kennzeichnung CVE-2021-44228 4. Die Auswirkungen dieses Fehlers werden die Branche vermutlich noch viele Monate beschäftigen. Nahezu jedes Unternehmen war kurzzeitig angreifbar. Unsere eigene Infrastruktur war glücklicherweise nicht betroffen, doch wir wären innerhalb weniger Minuten einsatzbereit gewesen, um Gegenmaßnahmen einzuleiten.
Was steht regelmäßigen Updates im Weg
Primär ist Bequemlichkeit ein Grund dafür, dass Nutzer auf Schaltflächen wie Später aktualisieren oder Diese Version überspringen klicken. Hinzu kommt oft die Unsicherheit über mögliche Folgen eines Updates. Beide Gründe sind grob fahrlässig und nur wenige Ausnahmesituationen rechtfertigen das bewusste Aufschieben von Software Updates.
Ein gewissenhafter Administrator der IT-Infrastruktur würde niemals empfehlen, Updates nicht durchzuführen. Dennoch sollte erwähnt werden, dass das Ignorieren von Updates auf produktiven Systemen und Servern deutlich schneller schwerwiegende Folgen haben kann als auf Desktoprechnern, auch wenn dies das Verhalten keineswegs entschuldigt.
Fazit
Softwareupdates sind heute wichtiger denn je und es gibt nahezu keinen vernünftigen Grund, sie nicht durchzuführen. Der Aufwand beträgt meist nur 5 bis 10 Minuten, also genau die richtige Zeit, um sich einen Kaffee oder Tee zu holen und entspannt weiterzuarbeiten. Gerade in der heutigen Zeit ist es entscheidend, Applikationen stets auf dem neuesten Stand zu halten und Angreifern immer einen Schritt voraus zu sein.