Bundesamt für Sicherheit in der Informationstechnik

M 3.66 Grundbegriffe des Patch- und Änderungsmanagements

Verantwortlich für Initiierung: Änderungsmanager, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Änderungsmanager

Beim Patch- und Änderungsmanagementprozess werden verschiedenste Aktualisierungen und Verbesserungen in der Produktionsumgebung bereit gestellt, gesteuert und verwaltet. In diesem Bereich haben sich eine Vielzahl von Begriffen etabliert. Diese müssen den Personen, die sich mit der Durchführung des Prozesses beschäftigen, bekannt sein.

Bei Versionsbezeichnungen sind sehr unterschiedliche Benennungen gebräuchlich. Das ist darauf zurück zu führen, dass für die Begriffsdefinition kein einheitlicher, verbindlicher, übergreifender Standard existiert. Bei der durchlaufen die zu erstellenden Produkte wie z. B. Hard- oder Software verschiedene Entwicklungsstadien. Aufgrund der nicht exakt definierten Begriffe empfiehlt es sich, innerhalb der Institution ein Glossar zu benutzen, um ein einheitliches Verständnis aller Fachausdrücke sicher zu stellen.

Die erste lauffähige Version eines Produkts wird oft Alpha-Version genannt. Die Alpha-Version dient oft der internen Verwendung, z. B. um zu demonstrieren, dass ein Softwareprojekt durchführbar ist. Sie enthält deshalb in der Regel bereits die wichtigsten Grundfunktionen.

Eine Beta-Version ist eine noch unfertige Produkt-Version, welche vom Entwickler oft zu Test- und Vorverkaufszwecken veröffentlicht wird. Es sind die wesentlichen Funktionen des Produktes bereits vorhanden, jedoch nicht in aller Tiefe getestet. Beta-Versionen werden an sogenannte Beta-Tester verteilt, welche die Funktionalität und Nutzbarkeit des Produktes überprüfen und ggf. Fehler an die Entwickler melden. Bei Software werden so typischerweise eine Vielzahl von Programmierfehler gefunden.

Bei der Software-Entwicklung bezeichnet Release Candidate (RC) oder Freigabekandidat eine abschließende Testversion. In dieser Version sind alle Funktionen, welche die Endversion der Software enthalten soll, verfügbar. Diese Versionsart dient einem abschließenden System- oder Produkttest. Es werden nur dann weitere RCs veröffentlicht, wenn gravierende Qualitätsprobleme dabei ermittelt werden.

Die fertige und veröffentlichte Version einer Software wird als Release oder Stable bezeichnet und in der Regel zusätzlich mit einer Versionsnummer versehen. Da zu diesem Zeitpunkt auch die Herstellung der Medien ( CD s oder DVD s) begonnen wird, wird oft auch der Begriff Ready to Manufacturing (RTM) benutzt.

Viele Softwareentwickler, haben Mechanismen für den Umgang mit Softwarekorrekturen veröffentlicht. Dabei werden die nachfolgenden Begriffe nicht immer konsequent einheitlich verwendet. Sie geben jedoch insgesamt den notwenigen Überblick über die Begriffswelt in diesem Themengebiet.

Softwarekorrekturen werden veröffentlicht, um Fehler in bereits veröffentlichter Software zu beheben. Ein Patch ist ein generelles Softwareupdate, welches Fehlfunktionen in einer Software behebt. Zunächst ist ein solches Update nicht kritisch und nicht sicherheitsrelevant. Ist das Update relevant für die Sicherheit der Software, wird also eine Sicherheitslücke geschlossen, wird es oft Sicherheitspatch genannt. Für einen Sicherheitspatch wird oft ein Schweregrad angegeben. Dieser bezieht sich in der Regel darauf, für wie schwerwiegend der Hersteller die Sicherheitslücke hält, die der Sicherheitspatch behebt. Wird mit dem Update eine wesentliche Funktionalität der Software korrigiert, die aber nicht unbedingt sicherheitsrelevant ist, beispielsweise eine falsche Berechnung, so wird es oft als kritisches Update bezeichnet.

Eine andere Veröffentlichung der Hersteller, die sich jedoch nur auf spezielle Kundensituationen bezieht und oft nur bei gültigem Supportvertrag zur Verfügung gestellt oder erst auf Grund von Supportanfragen erstellt wird, hat die Bezeichnung Hotfix. Bei einem Hotfix kann es sich um ein einzelnes Paket aus einer oder mehreren Dateien handeln, um ein Problem in einem Produkt zu beheben.

Bei einem Servicepack dagegen handelt es sich um eine kumulative Sammlung von Hotfixes, Sicherheitspatches, kritischen Updates und Updates, die seit der Markteinführung des Produktes veröffentlicht wurden und der Allgemeinheit zur Verfügung gestellt werden.

Der Zeitraum bis zur Veröffentlichung von Servicepacks ist oft sehr lang ist. Für die Bereitstellung der Menge der zwischendurch verfügbaren Softwarekorrekturen kann außerdem eine Zusammenfassung sinnvoll sein. Daher veröffentlichen einige Hersteller zwischendurch sogenannte Update Roll-Ups. Die Update Roll-Ups sind eine Sammlung von Sicherheitspatches, kritischen Updates, Updates und Hotfixes, die kumulativ oder für eine einzelne Produktkomponente, wie beispielsweise einen Webserver, angeboten werden.

Nach der Veröffentlichung von Servicepacks werden die dann verfügbaren Produktserien oft im Dezimalkommastellenbereich um eine Nummer erhöht. Dies soll dokumentieren, dass die Softwareprodukte bereits alle bis zu diesem Zeitpunkt verfügbaren Korrekturen enthalten. Einige Hersteller bezeichnen dies auch als Integriertes Service Pack.

Auf Grund der verschiedenen Anforderungen von Kunden, welche an den Hersteller gerichtet werden, sieht dieser sich oft gezwungen, neue Optionen (Features) in das Produkt zu integrieren, mit denen die Funktionalität eines Produktes erweitert werden. Diese Funktionalitätserweiterungen werden in der Regel allen Kunden mit gültigen Vertragsbeziehungen zum Hersteller (Supportvertrag, Updatevertrag, Softwarepflegevertrag oder ähnliches) als Featurepack angeboten. Die neuen Features fließen gewöhnlich in die nächste Produktversion mit ein.

Zwei Arten der Änderung an IT-Komponenten sind in der betrieblichen Praxis üblich. Standardisierte Änderungen und Änderungen, welche den Patch- und Änderungsmanagementprozess durchlaufen müssen.

Standard-Änderungen sind Änderungen an Anwendungen und IT-Systemen, für die genaue Verfahrensanweisungen existieren und die vorab vom Änderungsmanager genehmigt wurden.

Die geschriebene Verfahrensanweisung muss gewährleisten, dass das mit der Änderung zusammenhängende Risiko vernachlässigt werden kann. Die Änderung kann ohne nochmalige Kontaktierung eines Änderungsmanagers ausgeführt werden. Dadurch wird die Arbeitsmenge der mit dem Prozess beauftragten Personen wesentlich reduziert.

Einer der Beweggründe für Hard- oder Software-Änderungen sind Störungen. Eine Störung (Incident) ist eine Abweichung vom standardmäßigen Betrieb einer IT-Dienstleistung (Service), die tatsächlich oder potenziell die Service-Qualität mindert oder sogar den Service unterbricht.

Ist die Ursache für eine Störung nicht erkennbar, so liegt ein näher zu untersuchendes Problem vor. Mit dem Begriff Problem wird in ITIL eine oder mehrere gleichartige Störungen mit unbekannter Ursache bezeichnet. Wird die zugrunde liegende Ursache ermittelt und eine Möglichkeit gefunden, das Problem zu beheben oder zu umgehen, wird aus einem Problem ein bekannter Fehler (Known Error). Der Lösungsweg wird in einer Änderungsanforderung (Request for Change, RfC) dokumentiert und unter der Kontrolle des Änderungsmanagements (Change Managements) umgesetzt.

Zusätzlich zu der speziellen Begriffswelt des Patch- und Änderungsmanagements (beispielsweise aus ITIL), sollten die mit dem Patch- und Änderungsmanagement betrauten Personen mit der Begriffswelt der Informationssicherheit vertraut sein.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK