Der Einstieg ins Python-Coding läuft meist beschaulich: Ein Terminal, das System-Python und der Paketmanager Pip – und es kann losgehen, ganz ohne komplexe Entwicklungsumgebung. Die ersten Probleme lassen allerdings dennoch selten lange auf sich warten.
Für das Testen von Python-Code bieten sich virtuelle Umgebungen an.
Nicht selten fangen die Probleme bei der Entwicklung mit Python an, wenn die ersten eigenen Projekte von Dritten getestet werden sollen. Schnell heißt es dann, diese oder jene Funktion sei nicht vorhanden, Bibliothek XY würde fehlen und so weiter.
Entwicklungsprojekte hängen nahezu immer von externen Tools ab und die Abhängigkeiten müssen nicht einfach nur vorhanden sein, sondern in der exakt richtigen Version. Schon kleine Änderungen führen schnell zu Fehlern, wenn zum Beispiel eine Funktion umbenannt wird oder sich auch nur Formate für Parameter ändern.
Spätestens wenn auf dem Rechner nun nicht nur ein einziges Projekt läuft, fangen die Probleme an. Was, wenn Projekt A eine Bibliothek in Version 1.0 und Projekt B dieselbe Bibliothek in Version 1.5 benötigt? Oder gar unterschiedliche Python-Versionen im Einsatz sind? Natürlich könnte man hier mit virtuellen Maschinen oder schlanken Containern zu Werke gehen, aber so lange keine komplett unterschiedliche konfigurierte Betriebssysteme benötigt werden, ist das zu umständlich.
Die Lösung sind virtuelle Umgebungen. Diese lassen sich im Terminal oder auch in einer integrierten Entwicklungsumgebung (IDE) ganz fix aufbauen, mit eigenen Python-Programmen und dann bei Bedarf aktivieren. Auch können ein Dutzend solcher Umgebungen parallel laufen, ohne dabei Ressource zu verschwenden.
Wenn Dritte testen sollen, liegt der Vorteil auf der Hand: der übliche Spruch „Auf meinem Rechner läuft es aber …“ wird obsolet. Eine identische Testumgebung lässt sich nämlich fix aufbauen. Mit einem etwas außergewöhnlichen Tool lässt sich die gesamte Umgebung portabel aufbauen und als Paket weitergeben. Aber kommen wir erst einmal zu den Basics.
venv-Modul
Die wesentlichen Voraussetzungen für virtuelle Umgebungen sind Python selbst sowie das venv-Modul und der Paketmanager Pip. In der Regel bringen Python-Installationen die beiden Tools direkt mit, in einigen Fällen wie unter Ubuntu muss man Pip manuell nachinstallieren.
Vorab: Der Einfachheit halber heißt es im Folgenden immer nur „python“ statt „python3“, wie es auf manchen Systemen heißen müsste. Der Aufbau einer virtuellen Umgebung ist denkbar einfach:
python -m venv .venv
Bei diesem Standardaufruf führt Python das venv-Modul aus, das einen versteckten Unterordner „.venv“ im aktuellen Verzeichnis erzeugt. Wichtig dabei: Auch wenn es sich fast immer genau so liest und nach fixer Syntax aussieht, ist .venv nur ein beliebiger Name – man könnte genauso gut „.myappenv“ verwenden. Nun, fast genauso gut – aber dazu später mehr. Sprechende Namen mögen vorteilhaft wirken, andererseits finden sich die venv-Ordner immer unterhalb der zugehörigen Projektordner.
Nun steht die virtuelle Umgebung zur Verfügung, sie muss aber zunächst aktiviert werden:
source .venv/Scripts/activate
Leider ist das nur eine Variante für die Aktivierung, in diesem Fall unter Windows in der Bash. Unter Linux ist es standardmäßig:
source .venv/bin/activate
Sowohl das „bin“- als auch das „Scripts“-Verzeichnis enthalten diverse ausführbare Dateien für unterschiedliche Shells, beispielsweise „activate.ps1“ oder „activate.fish“ – aktiviert wird aber über „activate“ ohne jegliche Endung.
Dass man sich in einer virtuellen Umgebung befindet, zeigt eine Erweiterung des Prompts, dem der Name des venv-Verzeichnisses, standardmäßig „(.venv)“, vorangestellt wird:
(.venv) nutzer@meincomputer
Dieses Präfix lässt sich aber auch direkt selbst festlegen:
Der Vorteil: venv-Ordner bleibt beim Standard „.venv“ und Sie haben dennoch einen hilfreichen Namen am Prompt. Und „.venv“ als Ordnername hat mindestens einen gravierenden Vorteil: IDEs wie zum Beispiel Visual Studio Code (VSC) erkennen und verarbeiten vorhandene virtuelle Python-Umgebungen – VSC aber eben nur dann, wenn der Ordner „.venv“ heißt.
Visual Studio Code erkennt vorhandene venv-Umgebungen.
(Bild: Lang / Microsoft)
Insofern lohnt es sich, hier beim Standard zu bleiben und stattdessen die prompt-Option zu nutzen (auch wenn man sie in Praxisbeispielen leider selten sieht). Natürlich nur, wenn es nur eine virtuelle Umgebung für diesen einen Projektordner gibt – Sie können auch .venv1 bis .venvN auf ein und dasselbe Projekt loslassen.
Wer noch sicherer sein will, in der venv-Umgebung zu sein:
where python
… listet in der Regel zumindest zwei Python-Versionen: Das System-Python und das venv-Python. Um sicher zu gehen, dass auch das richtige Python genutzt wird:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
which python
… gibt den Pfad zur genutzten Python-Executable zurück:
Wenn das so weit funktioniert, lässt sich die aktive Umgebung produktiv nutzen, sprich Software installieren, etwa:
pip install cowsay
Wieder ist ein Blick in den .venv-Ordner interssant: Unter „.venv/Lib/site-packages“ finden sich die installierten Pakete und unter „.venv/Scripts“ die ausführbaren Dateien, hier also zum Beispiel „cowsay.exe“.
Um nun alle in der Umgebung eingerichteten Pakete anzuzeigen, bietet sich …
pip list
… an, das hübsch und menschenfreundlich formatiert ausgibt. Wesentlich nützlicher ist jedoch:
pip freeze > requirements.tx
Auch „freeze“ gibt die Pakete und Versionen aus, allerdings im Requirements-Format (etwa foobar==1.1.4). Und über die Requirements-Datei lässt sich die virtuelle Umgebung dann bei Dritten oder auf weiteren Testmaschinen ausrollen.
Zu guter Letzt: Um die Umgebung zu verlassen genügt ein simples …
deactivate
… ohne Angabe des Pfads – schließlich ist das Verzeichnis zu „/Scripts“ beziehungsweise „/bin“ innerhalb der virtuellen Umgebung im Systempfad. Eine spezielle Funktion zum Löschen gibt es nicht, hier tut es das übliche „rm -r“.
Die Weitergabe an Dritte über die Requirements-Datei ist sicherlich einer der schönsten Aspekte des venv-Konzepts. Allerdings geht es noch etwas portabler – mit dem Nischen-Tool RCC.
Portable Umgebung
Beim Verteilen mittels Requirements-Datei werden auf dem Zielrechner immer noch Python und Pip vorausgesetzt und auch dort könnte es schon zu Problemen mit Versionen kommen.
Eine interessante, wenn auch etwas abwegige Lösung bietet wie erwähnt RCC. Das quelloffene Kommandozeilen-Tool ist eigentlich nur für den Kontext Robot Framework, betrieben bei Robocorp, gedacht – erweist sich aber auch abseits davon als enorm nützlich.
Der Sinn von RCC ist es, portable „Robots“ zu handhaben, die ohne weitere Abhängigkeiten laufen und Automationen oder Tests ausführen. Und dafür nutzen sie deklarativ aufgebaute virtuelle Umgebungen.
Für eine portable RCC-Umgebung benötigen Sie drei Dateien: Die rcc-Binary, die Paketkonfiguration „robot.yaml“ und die Deklaration der Abhängigkeiten „conda.yaml“.
Die robot.yaml sieht standardmäßig folgendermaßen aus:
Für den Einsatz abseits von Automationen sind hier nur zwei Angaben unter „environmentConfigs“ relevant: Die „conda.yaml“ als Quelle für die virtuelle Umgebung und die Freeze-YAML für das jeweilige System. Die Freeze-Datei hält wie zu erwarten fest, welche Tools in welchen Versionen letztlich installiert wurden – kümmern müssen Sie sich darum nicht.
Spannender ist die conda.yaml, die zum Beispiel so aussehen kann:
Als Quelle für Pakete wird hier zunächst conda-forge angegeben – es wird also mit Conda gearbeitet? Nicht ganz, im Hintergrund werkelt Micromamba. Wer es nicht kennt: Micromamba ist eine Mini-Version von Mamba, was wiederum eine Re-Implementierung des Paketmanagers Conda in C++ ist.
In den Dependencies lassen sich neben conda-forge-Paketen aber auch pip-Pakete angeben, sofern Pip installiert wird. Dieses Paket aus rcc/rcc.exe, robot.yaml und conda.yaml wird dann in dieser Form verteilt. Auf dem Zielsystem wird nichts vorausgesetzt. In die Umgebung gelangt man mit dem Befehl
rcc.exe task shell
Der Aufbau der Umgebung dauert beim ersten Mal einige Zeit – später wird sie wiederverwendet, bis sich die conda.yaml wieder ändert. In der Shell bieten sich dann wieder Befehle wie …
where python
… an, was in diesem Fall ein Ergebnis dieser Art hervorbringt:
Holotree gehört zu RCC und sorgt zum Beispiel dafür, dass beim Aufbau weiterer Umgebungen mit anderen Python-Versionen nur die Python-Bestandteile neu geladen werden, die auch wirklich unterschiedlich sind – der Rest wird wiederverwertet.
Zum Verlassen der Umgebung genügt ein:
exit
RCC ist freilich etwas klobiger als ein minimalistisches venv-Modul und ab und an begegnen einem Artefakte aus dem Robocorp-/Robot-Framework-Universum, dafür gibt es aber keine Voraussetzungen, vollständige Portabilität und Nutzer müssen keine Ahnung von venv haben.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c1/f9/c1f99e160ec81d64d02ae9e798055e82/0125361328v2.jpeg "Der von Entwicklern gerne eingesetzte Trigger „pull_request_target“ führt Code aus öffentlichen Forks automatisch aus, ohne diesen zu prüfen. Dies führte bei MITRE, Splunk und Spotipy nun zu Schwachstellen. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5f/325fe5e8dcf251bedb50aaa4cf8f294e/0127924951v1.jpeg "Das JFrog Security Research Team bewertet CVE-2025-11953 in der React-Native-Entwicklungsumgebung mit einem CVSS-Basiswert von 9,8 und warnt vor Remote-Code-Ausführung über den Metro-Entwicklungsserver. (Bild: © StockUp - stock.adobe.com)")