Unter einem Patch versteht man die Behebung eines Fehlers oder – viel öfters – einer Sicherheitslücke in einer in Betrieb befindlichen Software. Der Begriff Patch könnte man übrigens mit „Flicken“ bzw. „Pflaster“ ins Deutsche übersetzen und stammt eigentlich noch aus der Zeit der Lochkarten. Damals wurden nämlich „Pflaster“ genutzt, um falsche Löcher auf den Karten zuzukleben. Patches werden in der Regel von den Herstellern der jeweiligen Softwareprogramme auf deren Webseiten angeboten bzw. (nach Zustimmung) auch automatisch geliefert und installiert.
Bekannt für seine regelmäßigen Patches ist Microsoft. Jeden zweiten Dienstag im Monat (dem sogenannten „Patch Tuesday“) werden die Patches gesammelt geliefert bzw. zur Verfügung gestellt. Besonders sicherheitskritische Patches werden allerdings auch außerhalb dieses Zyklus angeboten. Durch den permanenten Zugang zum Internet sind vollautomatisierte Patches heutzutage kein großes Problem mehr – sehr häufig erfolgt die Installation sogar selbständig im Hintergrund und der User merkt gar nichts davon. In Unternehmen mit zahlreichen Computerarbeitsplätzen kommt im Regelfall ein sogenanntes Patch Management zum Einsatz, damit die IT-Abteilung den Überblick über die Aktualisierungstätigkeiten behält.
Patches werden oft auch als Updates, Bugfixes oder Hotfixes bezeichnet – wobei das nicht immer ganz korrekt ist. Die Unterschiede im Detail:
- Patches: Sie dienen der Korrektur von Software-Fehlern und dem Schließen von Sicherheitslücken.
- Updates: Hierbei handelt es sich um umfangreichere Aktualisierungen, die im Regelfall auch den Funktionsumfangs einer Software erweitern, die Performance verbessern und mehrere Fehler ausmerzen.
- Bugfixes: Damit werden Fehler direkt im Programm-Quellcode beseitigt. Bugfixes greifen deswegen sehr tief in die Software ein.
- Hotfix oder Critical Patch Update: Besonders gravierende Sicherheitslücken, die eine konkrete Gefahr darstellen, werden mit Hotfixes schnellstmöglich beseitigt.
Patches sollten schnellstmöglich eingespielt werden, da unzureichend gepatchte Anwendungen oder Systeme als Einfallstor für Angreifer dienen können. Da die Sicherheitslücken spätestens mit Freigabe des Patches öffentlich bekannt sind, können Angreifer diese Löcher bei ungepatchten Systemen bequem ausnutzen. Das gilt insbesondere für Unternehmen, die sensible und damit potenziell wertvolle Daten verarbeiten.