Patch-Management

Der Begriff Patch-Management (PM) fällt in ein Teilgebiet der Softwareaktualisierung. Mit Hilfe des Patch-Managements kann der Prozess der Softwareaktualisierung, also der Verteilung und Durchführung von Updates bzw. Patches, geplant und automatisiert durchgeführt werden. Dies ermöglicht größeren Unternehmen oder externen IT-Dienstleistern die Menge an durchzuführenden Softwareaktualisierungen zu planen, automatisiert zu installieren und dementsprechend zu bewältigen. Das Aktualisieren einer Software ist häufig aus Gründen der Fehlerbehebung oder um die Software auf den neusten Stand zu halten – z.B. um bei Virenprogrammen neue Virensignaturen zu installieren – notwendig. In diesem Zusammenhang fällt auch häufig der Begriff „Patch-Day“. Hier werden verschiedene, nicht zeitkritische Aktualisierungen in einem Patch gesammelt und an einem Tag veröffentlicht.

Neben der Notwendigkeit, die Software aufgrund von Fehlerbehebungen „zu patchen“, gibt es in diesem Kontext noch weitere bekannte Begriffe wie Hotfix, Update, Upgrade oder Service- Pack. Ein Hotfix ist dabei eine schnelle Fehlerbehebung des Softwareherstellers. Der Begriff Update bezieht sich auf eine neue, aktuellere Version der Software. Im Gegensatz dazu steht der Begriff Upgrade für eine neue höherwertige und aufgewertete Version der Software. Sind jedoch gleichzeitig mehrere Patches oder Updates für eine Software notwendig, werden diese meist vom Hersteller zur einfacheren Softwareaktualisierung in ein Paket zusammengefasst und als „Service-Pack“ bezeichnet.

Warum jedoch sollte ein PM eingeführt werden? Wie schon erwähnt, ist ein Vorteil des PM die Behebung von Schwachstellen mit der Entfernung von Sicherheitslücken, was mit einer höheren Datensicherheit einhergeht. Neben der Stärkung der IT-Sicherheit steigert dies auch die Verfügbarkeit der eingesetzten Software und entfernt beispielsweise Programmierfehler oder erweitert die Software um sogenannte „funktionale“ Erweiterungen. Ein weiterer Vorteil liegt, je nach vorliegender Systemrelevanz der Patches oder Updates, in der Planbarkeit der Installation. Die notwendige Installation muss nicht im laufenden Geschäftsbetrieb durchgeführt werden und kann somit zum Feierabend oder am Wochenende eingeplant und ausgeführt oder sogar dem Anwender selbst zur Installation angeboten werden. Dieser kann dann selbst entscheiden, wann es ihm passt. Ausgenommen sind systemrelevante Sicherheitsupdates, diese können und sollten vom Systemadministrator an alle passenden Geräte automatisch „ausgerollt“ und mit Hinweis an den Anwender nahezu direkt installiert werden.

Ferner sollte das Patch-Management bei Hard- und Software herstellerunabhängig für alle im Unternehmen verwendeten Geräte und dessen Software angewendet werden. Zudem dient das PM zur Einhaltung von Compliance-Standards und damit einhergehender Vorschriften von Partnerunternehmen, Versicherungen (z.B. bei Cyberversicherungen) und vor allem Kunden. Außerdem ermöglicht ein PM eine Prüfung der Softwareaktualisierung auf Testsystemen, um potenzielle weitere Fehler oder entstehende Probleme auch zwischen unterschiedlicher Software verschiedener Hersteller ausschließen (Kompatibilität) zu können.

Neben den Vorteilen ist jedoch bei einem PM zu klären, wie dies im Unternehmen eingeführt und umgesetzt wird. Hier ist zu prüfen, ob eine neue Stelle und Funktion geschaffen werden muss oder ein Mitarbeiter die Tätigkeiten übernehmen kann oder, sofern das Unternehmen einen externen IT-Dienstleister beauftragt hat, dieser dies umsetzen kann. Sofern auf eigene Mitarbeiter zurückgegriffen wird, ist hier mit einem erhöhten zusätzlichen Arbeitsaufwand zu rechnen, da anfallende Softwareaktualisierungen nicht nur auf Funktion, sondern auch auf Kompatibilität geprüft, priorisiert und eingeplant werden müssen.

Ein Beispiel für einen möglichen Patch ist der im Jahr 2021 bekannt gewordene Microsoft Exchange-Server Hack – Hafnium. Bei dieser Sicherheitsschwachstelle von Exchange-Server-Systemen wurde seitens Microsoft nach Erkennen der Sicherheitslücken an Lösungen gearbeitet, welche als Patch von Microsoft veröffentlicht wurden. Für weitere Informationen lesen Sie die VDKF Information 3-4 2021.

Das Einsetzen eines Patch-Managements ist aus IT-Sicherheitsgründen als ein notwendiger und unverzichtbarer Baustein der IT-Sicherheitsarchitektur eines jeden Unternehmens zu sehen. Im Zusammenspiel mit weiteren Komponenten wie z.B. Backupsystem und Antivirenprogrammen kann der Schutz und die Verfügbarkeit der Unternehmens-Hard- und Software erhöht werden. Im Zweifelsfall sprechen Sie mit Ihrem IT-Dienstleister des Vertrauens und lassen sich diesbezüglich beraten.