Mein Computer wird von einem Patchmanagement verwaltet. Da stellt sich schnell einmal die Frage: Ist der Computer damit automatisch auf dem aktuellsten Stand? Die Antwort darauf ist nicht ganz so einfach.
Auf den Computer kommen nämlich nur die Patches, welche das Patchmanagementsystem für die Verteilung freigegeben hat. Genau das ist auch eines der wichtigen Kriterien eines Patchmanagementsystems: Wie handhabt es die Bereitstellung von Updates?
Kritische Sicherheitsupdates sollten möglichst schnell bereitstehen. Andere Updates dagegen werden oft erst getestet oder bewusst verzögert verteilt.
Ein einfaches Beispiel dafür liefert Thunderbird
Dort werden verschiedene Release-Versionen angeboten:
| Release-Typ | Beschreibung |
|---|---|
| Daily | tägliche Entwicklerversion |
| Beta | Vorabversion zum Testen |
| Release | empfohlene Standardversion |
| Extended Support Release (ESR) | stabile Langzeitversion |
Schon daran sieht man: Nicht jede verfügbare Version ist automatisch die richtige Version für jedes Unternehmen.
Patchmanagementsysteme arbeiten generell mit Agenten, die auf dem Client installierte Software erkennen und anschließend – abhängig von den definierten Richtlinien – passende Updates bereitstellen. Die Möglichkeiten zur individuellen Steuerung unterscheiden sich dabei teilweise deutlich. Manche Lösungen erlauben beispielsweise nur, bestimmte Software vom Update auszunehmen, andere bieten deutlich granularere Einstellungen.
Wichtig ist außerdem:
Patchmanagementsysteme verteilen in der Regel ihre „eigenen“ Updatepakete. Das bedeutet vereinfacht gesagt: Das System entscheidet, welches verfügbare Update tatsächlich für die Kunden freigegeben wird.
Das kann sehr schnell passieren – teilweise innerhalb weniger Tage. Es kann aber auch länger dauern, wenn Updates zunächst geprüft oder bewertet werden. Gerade Browser-Updates tauchen häufig sehr schnell in den Patchmanagementsystemen auf, da diese aufgrund ihrer Internetanbindung ein besonders hohes Risiko darstellen.
Zusätzlich sorgen integrierte Updatemechanismen vieler Programme gerne noch für weitere Überraschungen. Manche Anwendungen besitzen eigene Updater und „machen ihr eigenes Ding“ – unabhängig vom eingesetzten Patchmanagementsystem.
Genau deshalb ist Patchmanagement in der Praxis deutlich mehr als nur „Updates installieren“. Es geht darum, Sicherheit, Stabilität und Kontrolle sinnvoll miteinander zu kombinieren.
Und genau an dieser Stelle spielt auch Vertrauen eine wichtige Rolle. Unternehmen verlassen sich darauf, dass der Anbieter des Patchmanagements Updates sinnvoll bewertet, testet und zeitnah bereitstellt. IT-Sicherheit bedeutet daher nicht nur Technik, sondern auch Vertrauen in den Service-Anbieter und dessen Prozesse.
Weiterführendes Praxisbeispiel: MariaDB, ODBC-Treiber und Versionskompatibilität
Gerade im Bereich von Infrastruktur- und Datenbanksoftware wird schnell deutlich, warum Patchmanagement komplexer ist als einfach nur „die neueste Version installieren“.
Ein gutes Beispiel dafür sind MariaDB SQL Server und die dazugehörigen ODBC-Treiber.
Auf der Webseite von MariaDB finden sich beispielsweise gleichzeitig aktuelle ODBC-Treiber der Versionslinien 3.1 und 3.2. Auf den ersten Blick könnte man denken, dass die höhere Versionsnummer automatisch die bessere oder aktuellere Wahl sei. Genau an dieser Stelle wird Patchmanagement jedoch anspruchsvoll.
Der ODBC-Treiber muss schließlich nicht nur aktuell sein, sondern auch fehlerfrei mit der eingesetzten MariaDB-Serverversion kommunizieren. Hier zeigt sich sehr gut das Thema Langzeitversionen. Wird beispielsweise eine ältere stabile Serverversion produktiv eingesetzt, kann ein neuerer ODBC-Treiber der aktuellen Entwicklungsreihe bereits zu Problemen oder Inkompatibilitäten führen.
Auch auf der Webseite von MariaDB selbst erkennt man diese Struktur sehr deutlich. Dort sind die verschiedenen Server-Releases mit Statusinformationen wie „Stable“ oder „Preview“ gekennzeichnet. Ein Administrator wird sich in produktiven Umgebungen normalerweise an den stabilen Releases orientieren und Preview-Versionen bewusst vermeiden.
Begleitend dazu finden sich häufig weitere Werkzeuge wie HeidiSQL. Dort gelten letztlich dieselben Überlegungen: Die eingesetzten Komponenten müssen zueinander passen und mit der produktiven Umgebung kompatibel bleiben.
Gerade solche Beispiele zeigen sehr deutlich:
Patchmanagement im Umfeld von Infrastruktursoftware ist kein rein automatischer Prozess.
Kompatibilität, Stabilität, Abhängigkeiten und Release-Status müssen berücksichtigt werden. Genau deshalb wird professionelles Patchmanagement kontrolliert und nicht einfach „vollautomatisch im Hintergrund“ durchgeführt.
Hier müssen Abhängigkeiten, Kompatibilität, Release-Status und Stabilität berücksichtigt werden. Genau deshalb wird professionelles Patchmanagement immer kontrolliert und nicht einfach „vollautomatisch im Hintergrund“ durchgeführt.
Wer sich näher mit professionellem Patchmanagement beschäftigen möchte, findet weitere Informationen, wie sich Updates zentral verwalten, priorisieren und kontrolliert bereitstellen lassen auf unserer Produktseite zu Avast Business Patch Management.
