19. Januar 2022 / PL / Lesedauer: 6 Min.

Die Geschichte des Microsoft Patch Managements

Laut dem 2021 erschienen Lagebericht der IT-Sicherheit in Deutschland entstehen jeden Tag 394.000 neue Schadprogramm-Varianten. Um sich davor bestmöglich zu schützen, zählen regelmäßiges Patchen und das Installieren von Updates zu den Hautaufgaben eines IT-Verantwortlichen. Doch wie sind die heute bekannten Patches, Updates und Upgrades überhaupt entstanden und wieso sollte man überhaupt reparieren, was nicht kaputt ist? Dieser Beitrag wird Ihnen die Informationen dazu liefern.

 

Der Unterschied von Patches, Updates und Upgrades

 

Aufgrund ihrer Ähnlichkeit werden diese drei Begriffe häufig verwechselt.
Dennoch gibt es eindeutige Unterschiede, die wir hier für Sie zusammengefasst haben:


PATCH
Kurzgefasst stellt ein Patch eine Fehlerbehebung zum Schließen einer Schwachstelle dar.

UPDATE
Ein Update dagegen bringt ein neues, kleineres Funktionsupdate mit sich und kann somit neue Features bereithalten oder ältere verbessern.

UPGRADE
Bei einem Upgrade wird eine neue, überarbeitete Version aufgespielt.


 

Von Security Rollup Packages zum modernen Patchen

 

Die Microsoft Update Dienste haben sich im Lauf der Zeit folgendermaßen entwickelt:


Vor Windows 2000 SP3 wurden Updates von Microsoft in sogenannten Security Rollup Packages und Service Packs organisiert [1]. So wurden in längeren, mehr oder weniger unregelmäßigen Abständen diverse Fehler behoben und neue Funktionen eingeführt, was eher einem umfangreichen Upgrade entsprach als einem dedizierten Patch für ein konkretes Problem. Mangels flächendeckend verfügbarem Breitbandausbau wurden diese teils sogar auf Medien bereitgestellt, z. B. auch über Heft-CDs bekannter Computermagazine. Mit dem Feature der „automatischen Aktualisierungen“ (später Windows Update Agent) stellte Microsoft seit 2002 eine Möglichkeit bereit, einzelne Updates automatisiert im Hintergrund bereitzustellen und installieren zu lassen. Parallel wurden mit dem SUS (Software Update Services) und dem Nachfolger WSUS (Windows Server Update Services – zwischenzeitlich auch MUS und WUS[2]), welcher seit Windows Server 2003 enthalten ist, ein Dienst bereitgestellt, um Updates lokal in der Firma bereitzustellen und freigeben zu können. Seither fiebern viele Administratoren dem zweiten Dienstag im Monat, dem sogenannten „Patch Tuesday“ entgegen, an dem Microsoft neue Updates bereitstellt. Patche, die ungeplant außerhalb des regulären Rhythmus notwendig und kurzfristig veröffentlicht werden, bezeichnet Microsoft aktuell als Out-of-Band-Updates (OOB).

 

Mit Windows 10 sollte die “letzte” Windows-Version erscheinen, welche mittels sogenannter Rolling Releases und halbjährlichen Funktionsupdates (04 April und 09 September, später H1 und H2) [3]) auf dem aktuellen Stand bleibt. Patches für sicherheitsrelevante Updates oder zur Fehlerbehebung wurden weiterhin innerhalb dieser Releases am Patch Tuesday bereitgestellt. Um in Unternehmensumgebungen die Zyklen für einen Updatezwang verlängern oder gar aussetzen zu können, wurde nebenher auch der Long Term Servicing Branch (LTSB) (später Long Term Servicing Channel (LTSC)) eingeführt, welcher für Enterprise und IoT Enterprise Versionen in 2- bis 3-jährigem Rhythmus bereitstellt. Bei der Umstellung von LTSB auf LTSC wurden primär die Channels für Privatanwender, Current Branch (CB), und Geschäftskunden, Current Branch for Business (CBB), zu einem Semi-Annual Channel (SAC) zusammengefasst.

Um den Updatevorgang weiter zu beschleunigen und zu vereinfachen, wurden noch weitere Methodiken wie die Kumulativen Updates ([4] CCU – fassen alle Updates bis zu einem gewissen Stand in einem gemeinsamen Update zusammen) und Servicing Stack Updates (SSU – umfasst die wichtigsten Komponenten für den Updatemechanismus und das Windows Deployment) eingeführt.

Doch nicht nur die Betriebssysteme (hier am Beispiel Microsoft Windows), sondern auch weitere installierte Applikationen wurden von ihren Herstellern mehr und mehr mit Fehlerbehebungen (Patches) oder kleineren Funktionsupdates versorgt. Ganze überarbeitete Versionen, sogenannte Upgrades, bringen teilweise neue Voraussetzungen und Abhängigkeiten mit sich und können so z. B. in der Produktion auch gänzlich neue Hardware voraussetzen (vgl. TPM-2.0 bei Windows 11), was deutlich größere Auswirkungen zur Folge hat.

Zur Vereinfachung der Lesbarkeit wird im Weiteren der Begriff Update häufig stellvertretend verwendet.

 

Warum also reparieren, was nicht kaputt ist?

 

Updates bringen nicht nur Fehlerbehebung z. B. für Speicherleaks oder zum Schließen von Schwachstellen mit sich, sondern können ggf. neue Features und Technologien mit sich bringen wie beispielsweise die Windows Firewall mit XP SP2 [5]. Zur Absicherung von Systemen wurden im Laufe der Zeit weitere Mechanismen entwickelt wie Schreibschutzfilter, Sandboxing, Systemhärtung, Application Whitelisting, Ausführungsbeschränkungen, virtuelles Patchen und einige weitere. Mit diesen Verfahren kann das Ausnutzen bestehender Schwachstellen gegebenenfalls gemindert oder gar verhindert werden, allerdings werden dadurch nur die Symptome und nicht die Ursache behoben. Daher dienen diese Möglichkeiten je nach Einsatzgebiet häufig der schnellen Umsetzung, bis ein Update durch den Hersteller zur Verfügung gestellt wird, oder auch als Ultima Ratio bei nicht mehr unterstützten Altsystemen.

 

virtuelles-patchen-fachbegriff-ondeso

Virtuelles Patchen – Fluch oder Segen?

Hier erfahren Sie mehr über die Vor- und Nachteile des virtuellen Patchens und wann es Sinn ergibt, Schwachstellen nach diesem Prinzip einzudämmen.

Können, wollen und dürfen

 

In IT-Umgebungen haben sich häufig zwei Wochen als gutes Maß zur Freigabe von Updates erwiesen. Wenn Microsoft am Patch Tuesday neue Updates bereitstellt, überlässt man den Heimanwendern erste (un)freiwillige Tests und wartet die Ergebnisse ab. Bringt die Suche nach den entsprechenden KB-Einträgen keine Flut an Foreneinträgen, kann der mutige Administrator davon ausgehen, dass er dieses Update auf ersten Systemen freigeben kann, ohne mit dramatischen Überraschungen rechnen zu müssen. Doch abhängig von verbauter Hardware, installierten Komponenten und anderer Software ergeben sich auch andere Voraussetzungen, die ein Update notwendig machen oder nicht zulassen, ja eventuell sogar zu einem anderen superseedeten (ersetzt) oder superseedenden (ersetzend) Update führen. Und in dieser Kombination kann dann auch auf einzelnen Geräten schiefgehen, was zuvor hunderte Male funktioniert hat. Passiert dies in einer Heimumgebung ist dies sehr ärgerlich, in einem Büro behindert es bei der Arbeit, aber in der Produktion kann dies fatale Folgen bis hin zum Produktionsausfall haben.

Unabhängig von der Entscheidung des Unternehmens zwischen dem Produktionsausfall wegen Angriff oder Problemen, die gegebenenfalls durch Updates verursacht werden, gibt es auch durch Behörden noch weitere Anforderungen, die sowohl auf Betreiber als auch Hersteller einwirken können (Stichworte KRITIS, IT-SIG 2.0, …) und eine Handlung möglicherweise auch hingegen der eigenen Einschätzung erforderlich machen können.

Das Dreieck der OT-Stakeholder zeigt, dass das Zusammenspiel und die Abhängigkeiten von Herstellern, Anlagenbetreibern und Behörden immer wichtiger wird:

 

Wie geht es nun weiter?

 

Noch 2015 hat Microsoft mit der Einführung von Windows 10 von der „letzten“ Windows-Version gesprochen, welche nur noch durch funktionale Updates weiterentwickelt werden sollte. Mittlerweile ist Windows 11 offiziell freigegeben, die Unterstützung von Updates für Windows 10 ab 2025 abgekündigt [6] und auch in der Architektur gibt es spannende Entwicklungen (Stichwort: ARM und x64 Emulation).

Wir werden für Sie weiterhin beobachten, wie sich die Update-Strategien von Microsoft in Zukunft entwickeln und Sie bei der einfachen und effizienten Verteilung und Installation unterstützen. Und wenn Sie wissen möchten, welche drei Metriken Ihnen bei der Klassifizierung von Microsoft Updates helfen können, empfehlen wir Ihnen einen Blick in nachfolgendes Video:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenverarbeitung von YouTube.
Mehr erfahren

Video laden

PGlmcmFtZSB0aXRsZT0iS2xhc3NpZml6aWVydW5nIHZvbiBNaWNyb3NvZnQgVXBkYXRlcyIgd2lkdGg9IjY0MCIgaGVpZ2h0PSIzNjAiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQvQ3JmZG1pdjJFMGs/ZmVhdHVyZT1vZW1iZWQiIGZyYW1lYm9yZGVyPSIwIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPjwvaWZyYW1lPg==
ondeso-buero-gang

Über ondeso

Hier erfahren Sie mehr über unser Unternehmen und unsere Expertise als Pionier und Marktführer.

produkte-ondeso-industrial-it-new

Produkte

Hier finden Sie eine Übersicht unserer Produkte und Lösungen.

kontakt-ondeso-it

Kontakt aufnehmen

Möchten Sie mehr erfahren? Zögern Sie nicht uns zu kontaktieren, wir helfen Ihnen gerne weiter.