Definition Patch Management

Was ist Patch Management?

| Autor / Redakteur: HJL / Peter Schmitz

Nicht installierte Software-Aktualisierungen stellen für Unternehmen ein großes Risiko dar. Sie sind Einfallstor für Hacker und Malware.
Nicht installierte Software-Aktualisierungen stellen für Unternehmen ein großes Risiko dar. Sie sind Einfallstor für Hacker und Malware. (Bild: Pixabay / CC0)

Das Patch Management ist heutzutage integraler Bestandteil des System Managements. Es beschäftigt sich mit der Beschaffung, dem Test und der Installation benötigter Updates für Applikationen, Treiber und Betriebssystem von Computern.

Die sinngemäße Übersetzung des englischen Begriffs "to patch" lautet "flicken". Übertragen in die Welt der Programmierung bezeichnet der Patch eine Software, die entwickelt wird, um ein Computerprogramm und/oder seine unterstützenden Daten zu aktualisieren, zu optimieren oder Fehler zu beheben.

Auf diesem Wege lässt sich beispielsweise ein Sicherheitsleck in einer bestehenden, bereits an Kunden ausgelieferten Software-Applikation schließen. Eine Neuinstallation oder gar ein Neukauf ist nicht erforderlich.

Die Praxis hat gelehrt, dass Patches nicht immer problemlos durchgeführt werden können. Erfahrene System-Administratoren versuchen deshalb, die mit einem Patch einher gehenden Risiken zu minimieren. Sie erstellen Datensicherungen. Auch der Test des gelieferten Patches auf einem für das Unternehmen unkritischen System, vor der eigentlichen Installation, beugt bösen Überraschungen vor.

Patches: drei gebräuchliche Ansätze

Beim Patchen - zu Deutsch: flicken - handelt es sich um die im Softwarebereich übliche Art der bedarfsorientierten Korrektur einer bestehenden, bei Kunden in Betrieb befindlichen Software. Der Bedarf nach einem Patch hat unterschiedliche Ursachen. Deshalb unterscheidet die Industrie drei Patch-Typen:

  • Bugfix: Unter Bugfix ist die Begebung von Fehlern zu verstehen, die sich im Programm-Quellcode ansiedeln.
  • Hotfix: Mit Hotfix bezeichnet man die unaufschiebbare Behebung von Fehlern im Anwendungsprogramm.
  • Update: Ein Update ist die klassische Form der Aktualisierung. Es beinhaltet Funktionserweiterungen, zum Teil auch die Begebung von Fehlern.

Die Software-Hersteller wählen für die Aktualisierungs-Zyklen ihrer Produkte gerne haustypische Bezeichnungen. Ein typisches Beispiel ist das "Service Pack" des US-Herstellers Microsoft.

Patch Management - Grundelement der IT-Sicherheit

Zu den Kerninhalten des Patch Management zählen das Planen, Beschaffen, Testen und Installieren von Code-Änderungen an einer bestehenden Software. Bei vielen Anwendern ist das Patch Management noch nicht im gewünschten Umfang üblich. Doch schlecht oder gar nicht installierte Software-Aktualisierungen sind Einfallstore für aggressive Angreifer, Computerviren und andere Malware. Hacker nutzen die entstehenden Sicherheitslücken, um in IT-Strukturen einzudringen, Daten zu manipulieren oder auf vertrauliche Daten zuzugreifen. Betriebssysteme sind dabei ebenso im Fokus wie die Applikations-Software.

Analyse- und Verwaltungs-Automatismen

Um die Einfallstore für Angreifer und Schädlinge wirkungsvoll zu schließen, empfehlen sich mehrere, am Markt verfügbare Produkte für das Analysieren und Verwalten. Wir sprechen über eine automatisierte Form des Patch Managements, wie es für moderne Enterprise Systemumgebungen verfügbar ist. Dieses automatisierte Patch Management überprüft auf Schwachstellen. Gleichzeitig hält es über die Verfügbarkeit von Updates auf dem Laufenden. Dabei werden die im Unternehmen eingesetzten Betriebssysteme und die genutzte Anwendung-Software mit den Datenbanken des Patch Management Anbieters abgeglichen. Vorliegende Patches und Updates werden gemeldet. Sie können dann automatisch oder individuell durch den Systemadministrator in die Systemumgebung eingepflegt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Effizientere IT-Sicherheit mit KI, Automatisierung und SOAR

SOAR implementieren

Effizientere IT-Sicherheit mit KI, Automatisierung und SOAR

Die Cybersecurity-Landschaft wird aktuell von zwei Themen dominiert: die Existenz großer Datenmengen und dem Mangel an Talenten. Mit SOAR (Security Orchestration Automation and Responses) können Unternehmen den Mangel an qualifizierten Cybersecurity-Experten zumindest teilweise ausgleichen. SOAR sammelt Daten und Sicherheits­warnungen aus verschiedenen Quellen und hilft bei der Definition, Priorisierung und Koordination der Reaktion auf Vorfälle. lesen

IoT-Security ist unverzichtbar

Sicherheit im Internet of Things

IoT-Security ist unverzichtbar

Immer mehr Unternehmen fassen in der Welt des Internet of Things (IoT) Fuß. Die Mehrheit erwartet sich durch den Wandel der Firma zur Smart Factory einen positiven Effekt auf das Geschäft. Das Thema IoT-Security bleibt dabei oft auf der Strecke. lesen

Wie findet und bindet man Security-Experten?

CISOs und ihr Security-Team

Wie findet und bindet man Security-Experten?

Wenn man die größten Risiken für die IT-Security auflistet, sollte man den Fachkräfte­mangel nicht vergessen. CISOs müssen es schaffen, mehr Mitarbeiterinnen und Mitarbeiter zu finden und dann das eigene Security-Team an das Unternehmen zu binden. Damit das gelingt, muss man verstehen, dass sich der Security-Fachkräftemangel von dem allgemeinen IT-Fachkräftemangel unterscheidet. lesen

Fehler sind menschlich

Sicherheitslücke: Mitarbeiter

Fehler sind menschlich

Cyberkriminelle entwickeln immer neue Wege für ihre Angriffe. Ein attraktives Ziel sind vor allem mittelständische Unternehmen, wobei dort das fehlende Wissen der Mitarbeiter von den Angreifern ausgenutzt wird. Dabei ist Unternehmen das Potenzial von Awareness-Schulungen durchaus bewusst. lesen

Der IT-Reifegrad von Unternehmen macht keine Fortschritte

Studie von Kaseya

Der IT-Reifegrad von Unternehmen macht keine Fortschritte

Die jährliche Kaseya-Studie „IT Operations Benchmark“ verzeichnet innerhalb der letzten drei Jahre keinerlei Fortschritte beim IT-Reifegrad in Unternehmen, während das Thema Sicherheit weiterhin große Bedenken bereitet. lesen

Präventiv schützen statt reaktiv behandeln

IT-Sicherheit im Krankenhaus

Präventiv schützen statt reaktiv behandeln

Krankenhäuser werden immer wieder zum Ziel von Ransomware-Angriffen. Betroffene Häuser konnten in der Vergangenheit relativ schnell wieder in den Normalbetrieb zurückkehren, doch Dirk Arendt von Check Point warnt hier vor einem Trugschluss. lesen

Pflegeanleitung für sichere Software

Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was? lesen

Warum CISOs andere Kennzahlen benötigen

Metriken für CISOs, Teil 1

Warum CISOs andere Kennzahlen benötigen

Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten. lesen

Private IoT-Geräte im Unternehmen

Bring Your Own Device 2.0

Private IoT-Geräte im Unternehmen

Das Internet der Dinge verändert Privat- und Berufsleben. Dazu gehört auch, dass Mitarbeiter immer häufiger persönliche IoT-Geräte an ihren Arbeitsplatz mitbringen. Diese stellen jedoch ein mögliches Sicherheitsrisiko dar, auf das Security-Verantwortliche reagieren müssen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44504560 / Definitionen)