Hinzu kommt ein weiterer Vorzug: Wurde die Systemlandschaft bereits in Verzeichnissen und Rollen abgebildet, lassen sich diese Informationen auch für das Patch-Management nutzen, was eine Doppeladministration vermeidet. Zudem arbeiten die integrierten Lösungen generell auf Basis der Agenten, die bereits für die Softwareverteilung im Einsatz sind. Funktionen wie bandbreitenabhängige Verteilung, ausgefeiltes Scheduling und robuste Mechanismen zur Verwaltung vieler Standorte sind bei den aktuellen Software-Management-Lösungen Stand der Technik. Auch die Skalierbarkeit und das Handling sehr großer Mengen von Endgeräten sind bei dieser Produktkategorie heute in der Regel gelöst.

Server pusht Patches

Bei der Auswahl einer speziellen Lösung ist neben der Integrationstiefe zu beachten, dass Besonderheiten des Patch-Managements auch in der Softwareverteilung berücksichtigt wurden. So sollte neben dem meist verwendeten Pull-Verfahren, bei dem die Clients in fest eingestellten Intervallen nach neuen Aufgaben fragen, auch eine Push-Funktion zur Verfügung stehen, bei der die Update-Aktion ohne Anfrage des Clients startet. Das ermöglicht im Falle eines Not-Rollouts eine sofortige Reaktion, ohne auf das nächste Intervall warten zu müssen.

Ein weiterer Ansatz, um Patches auf Clients und Server zentral zu verteilen, ist die Nutzung der klassischen Softwareverteilungs-Tools. Dabei bezieht der Administrator die Patches direkt von den Herstellern per Internet und bettet sie in reguläre Verteilungspakete ein. Je nach Produkt lassen sich so Updates ebenfalls gezielt auf die Endgeräte verteilen, ohne dafür eine neue Infrastruktur aufbauen und ein neues Bedienungskonzept kennen lernen zu müssen.

Die potenziellen Ersparnisse dieses Verfahrens werden aber in der Regel schnell durch die Nachteile im Betrieb wieder aufgehoben. Denn es entsteht nicht nur manueller Aufwand bei der Ermittlung, ob es neue Patches gibt. Auch das Umpaketieren ist zeitaufwändig. Zudem stellt die Erkennungslogik dieser Tools meist nur rudimentär nach, ob ein Patch für das Zielsystem relevant ist. Dies geschieht durch eingestellte Abhängigkeiten von anderen Softwarepaketen oder Patches. Sind die neuen Patches zu vorhandenen inkompatibel oder nicht mehr nötig - etwa weil ein Service Pack diese Aufgabe bereits löst - , wird dies in der Regel nicht erkannt. Weitere Probleme: Reporting und Statusermittlung sind nicht auf die speziellen Bedürfnisse des Patch-Managements ausgelegt. Eine Aussage über den aktuellen Sicherheitsstand liefern diese Lösungen ebenfalls nicht. (ave)