Definition

Patch-Management

Zu den Aufgaben des Patch-Management gehört es unter anderem, sich über die verfügbaren Patches auf dem Laufenden zu halten. Es gilt darüber hinaus, zu entscheiden, welche Updates für bestimmte Systeme geeignet sind. Nachfolgend muss sichergestellt werden, dass die Patches ordnungsgemäß installiert werden, die Systeme nach der Installation einem Test unterzogen werden und alle damit verbundenen Verfahren dokumentiert werden. Es müssen zum Beispiel spezifische Konfigurationen festgehalten werden. Es existieren eine ganze Reihe von Softwarelösungen, um das Patch-Management zu automatisieren.

Das Patch-Management ist eine wichtige Säule der IT-Sicherheit. Updates tragen dazu bei den Zustand und die Sicherheit der gepatchten Systeme zu erhalten. Manchmal sind Patches auch erforderlich, damit ein bestimmtes Zusammenspiel zwischen Hard- und Software funktioniert.

So funktioniert Patch-Management

Je nachdem, ob man ein einzelnes System oder ein komplette Umgebung betrachtet, funktioniert das Patch-Management etwas unterschiedlich. Auf Einzelsystemen führen in der Regel das Betriebssystem und die Anwendungen auf diesem System regelmäßig eine automatische Prüfung durch, um festzustellen, ob Patches verfügbar sind. Sind neue Updates vorhanden, werden diese üblicherweise automatisch heruntergeladen und installiert.

In Unternehmensumgebungen funktioniert Patch-Management häufig etwas anders, da Unternehmen üblicherweise versuchen, die Konsistenz der Softwareversionen auf ihren Computern zu gewährleisten. Aus diesem Grund wenden Unternehmen meist eine zentrale Patch-Verwaltung an, anstatt jedem Computer zu erlauben, seine eigenen Patches herunterzuladen.

Bei einem typischen zentralen Patch-Management wird ein zentraler Patch-Server verwendet, der die Updates herunterlädt und diese gemäß den eingerichteten Richtlinien des Unternehmens and die Systeme im Netzwerk verteilt.

Ein zentraler Patch-Management-Server automatisiert nicht nur die Patch-Verwaltung. Er erlaubt dem Unternehmen auch eine gewisse Kontrolle über den Patch-Management-Prozess. Wird beispielsweise ein bestimmtes Update als problematisch eingestuft, kann das Unternehmen seine Richtlinie so konfigurieren, dass der betreffende Patch nicht installiert wird.

Zudem kann mit einem zentralen Patch-Server die Bandbreitennutzung gegebenenfalls optimiert werden. Es kann sinnvoller sein, dass der zentrale Server einen Patch herunterlädt, anstatt dass jedes einzelne System genau dasselbe Update vom Hersteller bezieht. Der zentrale Server kann dann die Patches an die Systeme im Unternehmen verteilen. Das bedeutet, dass der Patch nur einmal heruntergeladen werden muss, anstatt für jeden Computer eine eigene Kopie herunterzuladen.

Viele Unternehmen führen das Patch-Management in Eigenregie durch, manche lagern dies aber auch an einen entsprechenden MSP (Managed Service Provider) aus.

Die Vorteile des Patch-Management

Nahezu alle Softwareanbieter veröffentlichen in regelmäßigen Abständen für ihre Produkte. Dabei können diese Patches einem von drei Hauptzwecken dienen.

So kommen Patches häufig zum Einsatz, um Sicherheitslücken zu schließen. Wenn ein Softwarehersteller feststellt, dass sein Produkt ein Sicherheitsrisiko birgt, veröffentlicht er in der Regel einen Patch, um dieses Risiko zu beheben. Daher ist es von Bedeutung, dass Unternehmen Sicherheitsupdates zeitnah einspielen, denn Hacker und Malware-Autoren kennen die Sicherheitslücken, die ein Patch beheben soll. Demzufolge machen sie sich auf die Suche nach ungepatchten Systemen.

Ein zweiter Grund, warum Softwareunternehmen Aktualisierungen veröffentlichen, ist die Behebung von Fehlern, die in ihrer Software entdeckt wurden. Die Anwendung solcher Patches kann die Stabilität der Software verbessern und gleichzeitig lästige Probleme beseitigen.

Und drittens veröffentlichen Softwarehersteller Updates, um neue Funktionen einzuführen. Die unter anderem als Feature-Update bezeichneten Aktualisierungen sind seit dem Übergang zu abonnementbasierten Softwarelizenzen deutlich häufiger als früher zu verzeichnen.

Typische Probleme beim Patch-Management

Zu den häufigsten Problemen im Zusammenhang mit dem Patch-Management gehören Updates, die ihrerseits für Unbill sorgen. Und so können Probleme entstehen, die vor dem Einspielen des Patches nicht existierten. Diese Auswirkungen können sich in dem aktualisierten Produkt selbst zeigen, aber auch an anderer Stelle. Etwa, wenn eine andere Software in einer Abhängigkeitsbeziehung zu der just aktualisierten Software steht.

Da Patches dafür sorgen können, dass ein bis dato einwandfrei funktionierendes System nicht mehr störungsfrei arbeitet, ist es wichtig, dass Admins Patches testen, bevor diese unternehmensweit zum Einsatz kommen.

Ein weiteres klassisches Problem des Patch-Management besteht darin, dass nicht verbundene System das Update nicht rechtzeitig erhalten. Wenn beispielsweise mobile Anwender nur selten einen Verbindung mit dem Unternehmensnetzwerk herstellen, kann es vorkommen, dass ein Gerät dieses Benutzers über einen längeren Zeitraum nicht mit Patches versorgt wird. In solchen Fällen kann es ratsam sein, diese Systeme für eine eigenständige Patch-Verwaltung zu konfigurieren, anstatt sich auf die zentrale Patch-Verwaltung zu verlassen.

Von der Veröffentlichung bis zur unternehmensweiten Installation eines Patches

Wenn ein neuer Patch veröffentlicht wird, sollte das IT-Team das Update testen, bevor es ihn unternehmensweit installiert. Die IT-Abteilung kann beispielweise zunächst einige grundlegende Tests in einer Sandbox-Umgebung durchführen. Dadurch wird verhindert, dass sich Probleme mit dem Patch auf die produktiven Systeme auswirken.

Wenn bei diesen Sandbox-Tests keine offensichtlichen Probleme festgestellt werden, kann die IT-Abteilung eine Pilotinstallation durchführen. Bei einer solchen Pilotinstallation werden die Patches auf einer begrenzten Anzahl von Produktionssystemen installiert, um zu prüfen, ob das Update ein einer Produktionsumgebung ordnungsgemäß funktioniert. Nach einer gewissen Zeit wird der Patch dann unternehmensweit eingesetzt.

Es kann gelegentlich vorkommen, dass das IT-Team einen Patch zurückziehen muss, der auf Produktionssysteme installiert wurde. Dies kann passieren, wenn sich trotz Tests erst nachträglich rausstellt, dass der betroffene Patch Probleme verursacht. Aber es gibt auch andere Gründe für die Entfernung eines bereits installierten Patches. Beispielsweise, wenn ein Softwarehersteller ein neues Update veröffentlicht, das nicht installiert werden kann, solange der vorherige Patch installiert ist.

Beispiele fürs Patch-Management

Microsoft stellt regelmäßig Updates und Patches für seine Windows-Betriebssysteme und andere Produkte wie Microsoft 365 / Office 365 zur Verfügung. Die Windows-Updates werden in der Regel planmäßig am zweiten Dienstag eines Monats veröffentlicht, daher hat sich auch Patch Tuesday als Bezeichnung etabliert.

Einzelne Windows-Rechner verlassen sich üblicherweise auf Windows Update, um automatisch die verfügbaren Patches herunterzuladen und zu installieren. In Unternehmensumgebungen kümmern sich häufig WSUS-Installationen (Windows Server Update Services) um die Verwaltung und Bereitstellung der Microsoft-Patches. Windows Server Update Services, in der Praxis meist als WSUS bezeichnet, sind speziell für die zentrale Verwaltung von Patches konzipiert. Zudem existieren eine Vielzahl von Lösungen von Drittanbietern, die in der Lage sind, Microsoft-Patches herunterzuladen, zu verwalten und bereitzustellen.

Diese Definition wurde zuletzt im August 2021 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close