4 Minuten Lesezeit

Was ist eigentlich ein Patch-Day?

30.11.22 08:16

Software-Updates und die Behebung von Sicherheitslöchern (sog. Patches) sind für jedes Unternehmen mit digitaler Informationsverarbeitung unerlässlich. Gerade die zunehmende Bedrohung durch Ransomware, DDoS-Angriffe, Phishing und andere Angriffe macht es notwendig, immer wieder Sicherheitslücken zu schliessen, die private und Unternehmens-PCs gleichermassen gefährden.

Planungshilfe für Administratoren

Bestimmte Arten von Malware nutzen Schwachstellen der Software in Betriebssystemen und anderen Anwendungen aus, um Daten zu stehlen, zu löschen oder zu sperren und Systeme mit Schadcode zu infizieren. Auch Browser sollten für die sichere Datenübertragung deshalb aktuell gehalten werden. Ausserdem verbessert eine regelmässige Aktualisierung die Leistungsfähigkeit und Stabilität der Software. Auch auf die Benutzerfreundlichkeit und die Erweiterung einzelner Funktionen zielen bestimmte Patches ab.

Ursprünglich ist der Patch-(Tues)day oder Update Tuesday vor fast 20 Jahren von Microsoft ins Leben gerufen worden, um eine Planungshilfe für IT-Leiter und Administratoren zu bieten, die so die Einspielung der Updates besser organisieren können. Dazu wurde jeweils der zweite Dienstag des Monats gewählt, an dem die Updates für die Windows-Betriebssysteme von Microsoft bereitgestellt werden. Der Beginn des Patch-Days ist üblicherweise morgens um 10 Uhr nach Los Angeles-Zeit (Pacific Time). In Mitteleuropa ist es dann allerdings bereits 19:00 Uhr, so dass der Patch Tuesday für Europäer eher auf den Mittwoch fällt.

Sicherheitspatches nach Bedarf

Bis 2020 wurde auch das Malicious Software Removal Tool (MSRT) an diesem Tag ausgeliefert. Dieses Tool zur Beseitigung von Malware wird nun viermal im Jahr veröffentlicht. Dafür werden wegen der erhöhten Gefährdung durch Cyberkriminalität Sicherheitspatches auch zwischendurch ausgerollt, um die Risiken, die durch kritische Sicherheitslücken entstehen, begrenzen zu können. Neben den Windows-Versionen 10 und 11 gibt es auch für Windows 8.1 und RT 8.1 Updates. Das veraltete Windows 7 dagegen ist seit Januar 2020 vom Patch-Day ausgenommen, da hierfür überhaupt keine Aktualisierungen mehr entwickelt werden.

Insbesondere für Windows 10 gibt Microsoft einmal monatlich ein kritisches Update heraus, und je nach Bedarf und Fertigstellung weitere Patches. Die Updates für die Versionen ab Windows 10 laden automatisch, so dass niemand die Aktualisierung vergessen kann. Ein manuelles Starten des Vorgangs ist zusätzlich möglich, und dank der Suchfunktion lässt sich dies auch bequem und schnell durchführen. Wie kritisch eine Sicherheitslücke ist, wird durch eine vierstufige Klassifikation abgebildet. Im von Microsoft herausgegebenen Sicherheits-Bulletin ist eine Einteilung in „kritisch, wichtig, mittel oder niedrig“ definiert.

Geplante Patches sind auch sehr von Vorteil, um unerwünschte Nebenwirkungen von Software-Aktualisierungen nachzuverfolgen, die gelegentlich vorkommen können. So wurde zum Beispiel zuletzt von Problemen mit Boot-Vorgängen nach der Installation des Windows 11-Updates im Juli 2022 berichtet. Nach erfolgten Sicherheitsupdates für Windows 10 sind, ebenfalls im Sommer 2022, Druckerprobleme beobachtet worden. Auch in Word sind schon Fehlfunktionen durch die Aktualisierung des Programms aufgetreten, die in einem weiteren Patch wieder behoben wurden.

Wie ist es bei anderen Unternehmen?

Seit einigen Jahren haben weitere Unternehmen bereits die Patch-Strategie von Microsoft übernommen und geben eigene Software-Aktualisierungen nur noch zu festen Terminen heraus. So verteilen Oracle, Adobe und SAP ihre Patches schon seit Jahren vierteljährlich. Auch Google schliesst seine Sicherheitslücken regelmässig mit einem Android-Patchday. Dabei werden sowohl Fehlerbehebungen für Hersteller-spezifische Funktionen wie zum Beispiel Sicherheitsupdates des Kernel-Treibers als auch Updates des Android-Systems übermittelt.

Die dadurch gut planbaren Aktualisierungszyklen sind sowohl für die Software-Anbieter als auch für die Kundenunternehmen kostensparend. Dass ein fester Patch-Day viele Vorteile hat, liegt daher nicht nur für die großen Anbieter auf der Hand. Ein vierteljährlich oder monatlich feststehender Termin bietet Planungssicherheit für beide Seiten. Für Administratoren ist die individuelle Planung und Durchführung des Patch-Managements wesentlich vereinfacht. Die eigenständige Planung von Wartungsfenstern in grösseren Unternehmensnetzen ist möglich.

Updates müssen nicht mehr manuell installiert werden. Das Einspielen mehrerer Sicherheits-Updates zu einem festen Termin bedeutet eine zeitliche Optimierung und weniger Arbeit. Es ist kein ständiger Reboot von PCs und Servern durch zahlreiche einzelne Aktualisierungen nötig. Der Aufwand für Pflege und Wartung verringert sich merklich und spart so materielle und personelle Ressourcen.

Letztlich geht es darum, die Sicherheitssoftware zum Schutz der Daten, Systeme und Abläufe immer aktuell zu halten, um die Systeme und Netzwerke bestmöglich vor Bedrohungen durch Cyberangriffe zu schützen. Dies wird mit dem Patch-Day auf die bestmögliche Weise umgesetzt.

Rolf Weber

Gepostet von Rolf Weber

Als «Digital Transformation Coach» kombiniere ich fachliches Handwerk rund um moderne Cloud-Services (Microsoft 365, Teams, SharePoint) mit strategischer Perspektive, befähige Mitarbeitende, neue Technologien praktisch anzuwenden und verlasse mich auf mein Gespür, Menschen in den unterschiedlichsten Situationen zu begeistern.