Was ist ein Patch?

Wissen kompakt: Ein Patch ist eine Aktualisierung einer Software, die Sicherheitslücken schließt, und daher idealerweise von Anwendern zügig in Betrieb genommen werden sollte.

Patch – mit einem Flicken eine Sicherheitslücke in einer Software schließen

Eine Sicherheitslücke ist ein Softwarefehler, durch den Hacker oder Schadprogramme in ein Computersystem eindringen können. Ein Patch schließt eine solche Sicherheitslücke, behebt Softwarefehler und verhindert somit den Erfolg von Hackern oder Schadprogrammen. 

Der Begriff stammt aus dem Englischen und bedeutet Flicken bzw. Flickwerk und adressiert die Reparatur bzw. Nachbesserung eines Produkts. To patch bzw. patching steht für flicken und ausbessern

Meist werden „Ausbesserungen“ durch die ursprünglichen Softwarehersteller erstellt. In manchen Fällen schließen sie durch die Aktualisierungen nicht nur Sicherheitslücken, sondern erweitern auch vorhandene Versionen. So oder so, Patches sollten idealerweise zügig in Betrieb genommen werden.

Patch – ein häufig genutzter Begriff der Softwareentwicklung

Es gibt verschiedene Begriffe, die im Kontext der Weiterentwicklung von Software immer wieder – teilweise auch mit Überschneidungen – verwendet werden:

  • Ein Bugfix ist das Ergebnis einer Fehlerbeseitigung eines Herstellers, Bugfixing ist die Tätigkeit der Fehlerbehebung.
  • Ein Hotfix ist das Ergebnis einer kurzfristigen Fehlerbeseitigung eines Herstellers, Hotfixing ist die Tätigkeit der schnellstmöglichen Fehlerbeseitigung.

Der Unterschied zwischen Bugfix und Hotfix liegt also in der Dringlichkeit der Fehlerbeseitigung. Folglich variiert üblicherweise auch die Bereitstellung der Fehlerbeseitigung an Anwender: Ein Bugfix wird meist im Zuge der Releaseplanung in eine Software integriert und als reguläres Update zur Verfügung gestellt. Ein Hotfix gelangt hingegen auf schnellstem Weg zum Kunden, da die Probleme, die mit dem Fehler einhergehen, keinen Aufschub dulden.

Ähnlich verhält es sich beim Patch: eine Sicherheitslücke in einer Software kann fatale Konsequenzen für Anwender und in der Konsequenz auch für den Softwarehersteller haben. Jede Verzögerung bei der Beseitigung gefährdet das Computersystem und macht Endgeräte angreifbar. Hier ist große Eile geboten und das auch unabhängig davon, ob die „Allgemeinheit“ von der Sicherheitslücke weiß oder nicht. Kriminelle Vereinigungen, die sich Sicherheitslücken zu eigen machen wollen, erfahren von diesen normalerweise nicht aus Zeitungen. Sie versuchen sie selbst aufzuspüren, um daraus Kapital zu schlagen, indem sie bspw. Daten stehlen oder Verschlüsselungstrojaner installieren.

Weitere Begriffe sind

  • Day-One-Patches,
  • Patch-Days und 
  • Patch-Management.

Day-One-Patches sind Nachbesserungen am ersten Tag nach der Bereitstellung eines Updates. Häufig lassen sich solche Nachbesserungen bei global agierenden Unternehmen beobachten, die Updates bspw. auf Smartphones, Tablet-PCs oder PCs automatisiert ausrollen. Hier empfehlen diverse Fachleute, mit der Installation von Updates einige Tage zu warten, um nicht alle Fehler einer neuen Version selbst zu entdecken, sondern von den Erkenntnissen anderer Anwender und in der Folge den Nachbesserungen der Hersteller zu profitieren. Auch wenn es sich inhaltlich in den meisten Fällen eher um kurzfristige Bugfixes oder Hotfixes handelt, ist der Begriff Patch in einem solchen Anwendungsfall relativ üblich.

Patch-Days (bzw. Patchdays) sind festgelegte Tage, an dem ein Unternehmen für viele / die meisten / für alle ihre Produkte Aktualisierungen bereitstellt. Bekannt wurde der Ausdruck durch Microsoft, die im Oktober 2003 begannen, alle Aktualisierungen an einem Tag – in der Regel am zweiten Dienstag eines Monats – zum Download anzubieten. Ziel war es, die Arbeit der Administratoren und die Planung der Aufwände zur Inbetriebnahme von Aktualisierungen zu erleichtern, denn so konnten sich die Administratoren den Tag für das Patch-Management reservieren.

Aufgaben beim Patch-Management

Beim Patch-Management geht es um die Steuerung von Tätigkeiten auf Seiten des Patch-Empfängers. Es geht bspw. um 

  • die Identifikation und Beschaffung von Aktualisierungen,
  • die Überprüfung auf Kompatibilität mit anderen Anwendungen, 
  • das Testen der Funktionalität,
  • und das anschließende Verteilen im Netzwerk bzw. auf den entsprechenden Endgeräten der Anwender.

Offensichtlich steigt der Aufwand für diese Tätigkeiten mit der Größe der Empfänger-Organisation bzw. der Menge an Anwendern. Hier gilt es ein sinnvolles Maß für Geschwindigkeit der Inbetriebnahme mit Bezug auf die genannten Tätigkeiten zu finden. Interessanterweise wird der professionelle Umgang mit Sicherheitslücken selten als Aspekt im Risikomanagement erachtet.

Patch - die Aktualisierung einer Software, die Sicherheitslücken schließt

Was macht t2informatik?

Was macht t2informatik? Ein Klick und Sie wissen s.

Hinweise:

Den Begriff Patch gibt es auch in anderen Bereichen. In der Medizin steht er bspw. für die Transplantation von Hautgewebe an andere Körperpartien, im Schneiderhandwerk handelt es sich um einen aufgesetzten Flicken etc.

Hier finden Sie ein englischsprachiges Video über Patching.

Hier finden Sie ergänzende Informationen aus unserer Rubrik Wissen kompakt:

Wissen kompakt: Was ist ein Update?

Was ist ein Update?

Wissen kompakt: Was ist Clean Code?

Was ist Clean Code?