Schedule FrOSCon 2026

Lecture

Patch me if you can

Flickst Du noch oder auditierst Du schon?

August 15, 2026 HS 1/2 de Patch it, fix it, print it – Right to repair for software and hardware

Christian und Jörg teilen in diesem Vortrag Beobachtungen aus ihrem beruflichen Umfeld, wie Unternehmen und Organisationen sich dem Thema Schwachstellen- und Patch-Management stellen.

Neben den Beobachtungen bietet der Vortrag etwas Statistik zu Schwachstellen und benennt konkrete Open Source-Werkzeuge, mit denen die unterschiedlichen Anforderungen an Schwachstellen- und Patchmanagement adressiert werden können.

Wenn der CISO zweimal klingelt, steht den Admins meist sofort der Schweiß auf der Stirn. Bestimmt liegt der neueste Schwachstellen-Bericht mit besorgniserregenden CVE und CVSS-Scores vor und es wird erwartet, die wichtigsten Lücken innerhalb der nächsten Stunden und Tage zu schließen.

Ja, ihr habt richtig gelesen. Wo früher noch ein- bis zweimal im Jahr gepatcht wurde, wird heute erwartet, dass dies jederzeit innerhalb weniger Stunden geleistet werden kann. Natürlich ohne eventuell vorhandenen Service Level Agreements (SLA) der betroffenen IT-Dienste zu brechen. Die Anforderungen und Verantwortlichkeiten der Fachbereiche und der IT-Sicherheitsabteilung lassen sich dabei häufig nicht so leicht in Einklang bringen.

Christian und Jörg teilen in diesem Vortrag ihre Beobachtungen, welchen Herausforderungen sich Unternehmen und Organisationen stellen müssen und wie sie damit umgehen können. Sie diskutieren, ob Responsible Disclosure noch zeitgemäß ist und wie Werkzeuge wie z.B. Foreman, Uyuni oder OpenSCAP dabei helfen können, die Lage zu verbessern.

Christian Stankowic beschäftigt sich seit 2006 mit großer Freude mit den grauen Kisten, die einem dabei helfen sollen, Probleme zu lösen, die man ohne sie gar nicht erst gehabt hätte. Vor allem Linux, Virtualisierung und Infrastructure as Code gehören zu seinen Interessen. Zu den bevorzugten Tools gehören: RHEL, Foreman/Katello, Uyuni, Terraform und Ansible. Nebenbei sammelt er ThinkPads und podcastet.

Jörg arbeitet seit März 2023 als Senior Technical Account Manager (TAM) bei der Firma Red Hat. Zu seinen Aufgaben als TAM gehört, seine Kunden zu strategischen Themen des IT-Betriebs und der IT-Sicherheit zu beraten. Schwachstellen mit einem hohen CVE-Score und die Frage wann ein Patch verfügbar ist, stehen dabei regelmäßig auf der Tagesordnung.

In diesem Vortrag möchten die beiden Vortragenden Bewusstsein für das behandelte Thema schaffen und Open-Source-Werkzeuge benennen, mit denen die gestellten Anforderungen adressiert werden können.