Gibt es Software Updates die man ignorieren darf?

Icon For Clock 4 Min. Lesezeit

Wir wollen Sie nicht auf die Antwort warten lassen, also: Nein, quasi nie. Generell ist es keine gute Idee Software Updates zu ignorieren. Warum Sie sich die Zeit nehmen bzw. die passende Kultur schaffen sollten und was bei solchen Updates überhaupt passiert, erfahren Sie in diesen Artikel.

Einordnung zum Thema (Audio 🎧)

Sie setzen mehr Software ein, als Sie denken

Nutzbare, skalierbare und gute Software anzufertigen ist das Ziel eines jeden Entwicklers, doch hierbei trifft man oft auf ähnliche Probleme für die man denselben Code benötigt. Das Rad neu zu erfinden hält nur unnötig auf, stattdessen steht unsere moderne Infrastruktur auf den Schultern von Giganten. 1

Für diesen Zweck gibt es sogenannte Dependencies, zu Deutsch Abhängigkeiten. Diese legen den Grundstein einer jeden Applikation und es gibt Millionen von ihnen. Im Endeffekt erleichtern sie den Prozess um ein Vielfaches, moderne Software wir so erst möglich, da sie das erneute Entwickeln des gleichen Codes überflüssig machen und teilweise nützliche Hilfsfunktionen anbieten. Im Endeffekt nutzen Sie stets mehr Programme, als man auf den ersten Blick sieht. Zur Einordnung: In unseren Projekten beobachten wir immer wieder Verhältnisse von 1 zu 50-100 eigene Codezeilen zu Zeilen aus Abhängigkeiten. Aus Erfahrung können wir dazu sagen, dass dieses Verhältnis im branchenweiten Vergleich sehr klein ist, vor allem da es ein Teil unseres Sicherheitskonzeptes ist, stark zu kontrollieren, welche Abhängigkeiten in welchem Kontext eingesetzt werden. Es gilt nicht zu vergessen, dass in dieses Verhältnis die Interpretationsumgebung nicht eingerechnet ist. Etwas das übrigens mit sehr viel Arbeit verbunden wäre. Alleine der Linux kernel liegt aktuell bei ca. 27,8 Millionen Programmzeilen2.

Visualisierung von Abhängigkeiten in der Entwicklung moderner Software
Visualisierung von Abhängigkeiten in der Entwicklung moderner Software

Was kann denn schon passieren?

Sicherheitslücken, welche durch Dependencies verursacht worden sind ernstzunehmen und können schnell durch triviale Fehler auftreten. Ein gutes Beispiel hierfür ist die erst kürzlich entdeckte Log4Shell Schwachstelle in der Abhängigkeit Log4J3, welche tausende IT-Sicherheitsmitarbeiter über Weihnachten 2021 aus dem Urlaub trieb. Bei dieser Schwachstelle war es möglich, mit nur einer kleinen Zeile Text, Dateien auf einem fremden Server herunterzuladen und diesen praktisch zu übernehmen. Es lief also auf RCE, Remote Code Execution, heraus. Das BSI hat als Antwort die IT-Bedrohungslage in Deutschland auf den höchstmöglichen Status 4 / Rot geändert. Mehr Informationen dazu findet man unter der Kennzeichnung CVE-2021-44228 4, aber es muss gesagt sein, dass wir in Zukunft noch sehr viel dazu hören werden, da die Auswirkungen dieses fatalen Fehlers sich erst noch über die nächsten Monate entfalten werden. Es gab kaum ein Unternehmen, unabhängig der Größe, das nicht kurzzeitig angreifbar war. Unsere Infrastruktur war zum Glück nicht anfällig, reines Glück, doch wir wären innerhalb weniger Minuten vorbereitet gewesen die passenden Maßnahmen einzuleiten.

Was steht regelmäßigen Updates im Weg

Primär ist die Faulheit ein Problem, welches dazuführt auf den „Später Aktualisieren" oder „Diese Version überspringen" Knopf zu drücken. Aber auch die Ungewissheit über Folgen der Verlegung von Updates kann durchaus ein Faktor dafür sein, die neue Version aufzuschieben. Beide Gründe sind grob fahrlässig und es gibt nicht mehr als eine handvoll plausibler Gründe zur Prokrastination von Installationen der Software-Updates. Ein gewissenhafter IT-Infrastruktur-Administrator würde Ihnen niemals raten, Updates nicht durchzuführen. Trotzdem sollte dazu gesagt sein, dass das ignorierte Aktualisieren auf Produktivsystemen und Servern deutlich schneller schwerwiegende Folgen haben kann, als auf Desktops, was dieses Verhalten natürlich in keiner Weise relativiert.

Fazit

Grundlegend sind Softwareupdates so wichtig wie noch nie und es gibt so gut wie keinen Grund sie nicht zu machen, auch da der Prozess meist maximal 5 bis 10 Minuten dauert. Die perfekte Zeit um sich einen Kaffee oder Tee zu holen und den Arbeitstag ruhig starten zu lassen. Gerade in der heutigen Zeit ist es wichtig seine Applikationen immer auf dem neusten Stand zu halten und Angreifern einen Schritt voraus zu sein.