Ist Microsofts Patch-Dienstag noch zeitgemäß?

Der „Patch-Dienstag“ ist für Verbraucher und Unternehmen eigentlich eine gute Sache. Schließlich wurde er eingeführt, um die Arbeit mit Updates und Bugfixes planbarer zu machen und vor allem Administratoren die Möglichkeit zu geben, sich darauf einzustellen. Allerdings klappt das seit einigen Monaten nicht mehr so, wie das ursprünglich gedacht war, denn schon seit Wochen haben Microsoft-Kunden mit einer Reihe von Bugs in Windows-Updates zu kämpfen.

Schon im April musste Microsoft Windows-7-Nutzer dazu aufrufen, ein Update zu deinstallieren, das Systemabstürze verursachte. Richtig unangenehm wurde es aber erst im August.

Mitte August war Microsoft dazu gezwungen, zwei am August-Patchday ausgelieferte Patches zurückzuziehen. Es begann mit einem Software-Update für die Outlook Web App, die für den Zugriff auf den Microsoft Exchange Server benötigt wird. Zwar stellte sich heraus, dass der fehlerhafte Patch-Code von Oracle stammt, aber das spielt keine Rolle, denn Microsoft liefert das Update schließlich als Bestandteil seiner Software aus und als solches verursachte es Probleme im Zusammenhang mit dem Exchange Server 2013.

Der zweite Patch, den Microsoft zurückziehen musste, war für seinen Authentifizierungsdienst ADFS (Active Directory Federation Services; zu deutsch: Active-Directory-Verbunddienste) vorgesehen. Immerhin konnte dieser ein paar Tage später fehlerbereinigt erneut veröffentlicht werden.

Die Wiederveröffentlichung des Exchange-Server-Updates verzögerte sich dagegen bis Ende August. Zu diesem Zeitpunkt fand auch das Re-Release eines Juli-Patches für die Windows-Mediendienste statt. Dessen Verbreitung war allerdings zuvor nicht gestoppt worden.

Die Wirren bei den Microsoft-Patches gehen aber noch weiter. Am Donnerstag lieferte Microsoft nämlich ein fehlerhaftes Update für Outlook 2013 aus, das aber immerhin nicht sicherheitsrelevant war. Obwohl Microsoft das Problem bereits erkannt und in einem TechNet-Blog-Eintrag erläutert hat, ist es immer noch nicht behoben.

Darüber hinaus gab es diesen Monat noch mindestens einen weiteren defekten Patch zu beklagen, der sowohl im Microsoft-Support-Forum, als auch in einem TechNet-Thread dokumentiert wurde. Das Problem scheint mit dem Bugfix für MS13-074, einem Sicherheitsupdate für Microsofts Datenbank-Software Access, zusammenzuhängen. Betroffene Nutzer bekamen lediglich die nicht gerade hilfreiche Fehlermeldung, dass etwas schief gelaufen ist. Das hatten sie dann aber ohnehin schon bemerkt.

Das häufigste Problem, von dem Anwender berichten ist, dass Windows das Update nicht erkennt und meldet, dass es nicht installiert sei. Der Windows-Update-Dienst bringt diese Meldung selbst dann noch, wenn man die Standalone-Version des Patches händisch aufspielt und die Installation scheinbar korrekt verläuft. Sucht man im „Programme-und-Funktionen“-Applet der Windows-Systemsteuerung nach dem Update, findet man es dort unter seiner Knowledge-Base-Nummer KB2810009.

Man kann das Update dann zwar deinstallieren und erneut aufspielen, aber das bringt vermutlich auch nicht viel. Oft ist eine Systemwiederherstellung erforderlich. Damit lässt sich das Betriebssystem in den Zustand zurückversetzen, den es vor dem Patch-Dienstag hatte.

Kampf gegen Windmühlen

Es ist natürlich auch nicht so, dass sich Microsoft dieser Probleme nicht annimmt, denn immerhin steckt das Unternehmen enorme Ressourcen in das Updaten seiner Software. Dustin Childs, Abteilungsleiter der Microsoft-Sicherheitsinitiative „Trustworthy Computing“ erklärt dazu: „Die Qualität unserer Sicherheitsupdates ist für unsere Kunden ein ganz wesentliches Element, und auch für uns hat das Thema hohe Priorität. Wir schauen nach, wo Verbesserungen gemacht werden können – immer mit dem Ziel, Probleme bei der Umsetzung zu lösen und im Hinblick auf Sicherheitsbedrohungen, Schutzmaßnahmen und Update-Probleme für unsere Kunden transparent zu bleiben.“

Dennoch ist auch der September im Hinblick auf Microsoft-Patches ein besonders betriebsamer Monat. 13 Security-Bulletins, die insgesamt 47 Sicherheitslücken abdecken, sind in diesem Monat bislang veröffentlicht worden. Es gab sogar noch ein vierzehntes Security-Bulletin, das jedoch aus Gründen der Qualitätssicherung in letzter Minute verworfen wurde. Dies verdeutlicht, dass Microsoft um die Qualität seiner Updates besorgt ist und zeigt, dass einige Anstrengungen in die Bugfixes investiert werden und man notfalls dazu bereit ist, einen Patch zurückzuhalten.

Wenn man den Patch-Dienstag über die Jahre hinweg intensiv verfolgt hat, stellt man fest, dass ein Großteil der Meldungen über Sicherheitslücken in den Microsoft-Programmen von externen Forschern stammt. Nur sehr selten wird darüber berichtet, dass Microsoft intern solche Löcher findet – möglicherweise ein Indiz dafür, dass der Software-Gigant aus Redmond viele Schwachstellen vertuscht und lieber im stillen Kämmerlein behebt.

Die Zahl der Sicherheitslücken in Programmen von Microsoft ist hoch. Das liegt allerdings nicht an einem generellen Qualitätsdefizit, sondern daran, dass der Konzern so viele Produkte anbietet. Microsoft ist bei weitem auch nicht das einzige Unternehmen, das Patches für seine Programme bereitstellt und auch nicht das einzige, das aufgrund von fehlerhaften Updates peinliche Resultate hinsichtlich der Qualität seiner Software erzielt.

So musste etwa Firefox 16 von den Download-Servern entfernt werden, da es eine schwerwiegende Sicherheitslücke enthielt. Im Jahr 2010 veröffentlichte McAfee ein fehlerhaftes Update seiner Virendefinitionen, das mit einer falschen Positivmeldung dafür sorgte, dass Windows-XP-Systeme mit installiertem Service Pack 3 praktisch unbrauchbar wurden. Dies hatte zur Folge, dass das Unternehmen Schadensersatzleistungen leisten musste. Microsoft hatte bisher noch nie mit einem solch mangelhaften Patch zu kämpfen. Aber so etwas kann passieren, da Software eben komplex ist.

Braucht es einen zweiten Patch-Dienstag?

Dennoch – so scheint es – ist Microsofts „Update-Monster“ einfach zu groß geworden. Da bringt auch die enorme Menge an Ressourcen nichts mehr, mit der Microsoft dieses Monster füttert. Die defekten Updates werden grundsätzlich auch nur unzureichend getestet. Offensichtlich hat Microsoft Terminprobleme, da es die Updates für seine zahlreichen Produkte jeden zweiten Dienstag im Monat herausbringen muss und dadurch das Testprozedere zu kurz kommt.

Hinzu kommt noch, dass ein Update-Tag pro Monat vielleicht nicht ausreicht. Der Patch-Dienstag wurde als monatlicher Zyklus eingeführt, da Microsoft Planungssicherheit im Hinblick auf einen spezifischen Zeitpunkt bieten wollte, an dem die Ressourcen gebündelt werden müssen. Allerdings deutet sich an, dass die Update-Maschinerie so gut konzipiert ist, dass ein zweiter „Patch Day“ bedenkenlos möglich wäre.

Im Grunde genommen hat Microsoft sogar bereits zwei monatliche Patch-Dienstage, da das Unternehmen auch an jedem vierten Dienstag im Monat Updates veröffentlicht. Das sind dann allerdings Kompatibilitätsupdates, um die Funktions- und Leistungsfähigkeit der Software zu steigern. Allerdings muss sich beim Beheben der kritischen Sicherheitslücken etwas tun – und zwar so bald wie möglich.

Die Microsoft-Geschäftsleitung täte gut daran, Updates als großes Problem wahrzunehmen. Andernfalls wird Microsoft eine Menge Beschwerden erhalten- nicht nur von Leuten, die ihre Update-Klagen in diversen Support-Foren posten, sondern auch von großen Firmenkunden, denen Microsoft in der Regel aufmerksam zuhört.

Hilfreich sein könnte auch ein Blick zum wenig geliebten Marktbegleiter Oracle. Der hatte zur Jahreswende 2012/2013 ebenfalls damit zu kämpfen, dass sich die Entdeckung kritischer Sicherheitslücken einfach nicht an seinen Update-Zeitplan halten wollte. In der Folge musste Oracle heftige Kritik einstecken und zusätzliche Patch-Tage einplanen.

Und obwohl Oracle im Zusammenhang mit den Patch-Problemen bei Java recht unkommunikativ war, scheint man sich das Dilemma zu Herzen genommen zu haben. Im Juni hat das Unternehmen nämlich dann Maßnahmen vorgestellt, um insbesondere in Firmen die Sicherheit von Java zu erhöhen. Dazu zählen eine bessere Richtlinienverwaltung, Whitelistng und vor allem die schnellere Entwicklung und Bereitstellung von Updates.

Vieles was bei Oracle neu war, davon ist bei Microsoft schon ein alter Hut. Allerdings wäre es ratsam, wenn man sich auch in Redmond Maßnahmen überlegt, um vor allem den Anwender in Firmen das Vertrauen in die Patch-Strategie und -Politik wiederzugeben.

[Der Beitrag beruht auf einem bei ZDNet.com veröffentlichten Kommentar. Übersetzung: Rainer Schneider]