Hot-Patching
Technologie zur Installation von Sicherheitsupdates im laufenden Betrieb, ohne dass ein Neustart des Betriebssystems erforderlich ist — verfügbar für Windows Server 2025 über Azure Arc.
Hot-Patching bezeichnet eine Technologie, die Sicherheitsupdates direkt im Arbeitsspeicher laufender Prozesse anwendet, ohne dass das Betriebssystem neu gestartet werden muss. Anstatt Binärdateien auf der Festplatte auszutauschen und einen Reboot auszulösen, modifiziert ein Hot-Patch den In-Memory-Code der betroffenen Prozesse im laufenden Betrieb. Das Ergebnis: Sicherheitslücken werden geschlossen, während Anwendungen und Dienste unterbrechungsfrei weiterlaufen. Microsoft bietet diese Funktion seit 2025 als allgemein verfügbaren Dienst für Windows Server 2025 an — sowohl in Azure als auch über Azure Arc für On-Premises- und Multicloud-Umgebungen.
Funktionsweise und Update-Zyklus
Hot-Patching folgt einem dreimonatigen Zyklus. Im ersten Monat eines Quartals (Januar, April, Juli, Oktober) wird ein klassisches kumulatives Update als Baseline installiert — dieser Schritt erfordert weiterhin einen Neustart. In den beiden Folgemonaten liefert Microsoft Hot-Patches, die ohne Reboot wirksam werden. Über ein Jahr verteilt bedeutet das: vier Neustarts statt der bisherigen zwölf bei monatlichen kumulativen Updates.
Die Hot-Patches selbst sind deutlich kleiner als herkömmliche kumulative Updates, da sie nur den In-Memory-Code der betroffenen Komponenten ersetzen. Das führt zu schnelleren Downloads, kürzeren Installationszeiten und geringerer Systembelastung während des Patch-Vorgangs. Azure Update Manager orchestriert den gesamten Zyklus automatisch und stellt sicher, dass Baseline-Updates und Hot-Patches in der richtigen Reihenfolge eingespielt werden.
Voraussetzungen und Einschränkungen
Hot-Patching setzt Windows Server 2025 Standard oder Datacenter voraus. Auf Hardwareebene muss Virtualization-Based Security (VBS) aktiviert sein, was wiederum UEFI mit Secure Boot erfordert. Für den Einsatz außerhalb von Azure — also in On-Premises-Rechenzentren oder bei anderen Cloud-Anbietern — muss der Server über Azure Arc angebunden sein. Microsoft berechnet für Azure Arc-basiertes Hot-Patching eine Gebühr von 1,50 USD pro CPU-Kern und Monat. Für Server, die direkt in Azure laufen, ist Hot-Patching in den bestehenden Compute-Kosten enthalten.
Windows Server 2022 wird über Azure Arc ebenfalls unterstützt, allerdings mit der Einschränkung, dass der Server als Azure-Arc-fähige Maschine registriert sein muss. Ältere Windows-Server-Versionen unterstützen Hot-Patching nicht.
Nicht jedes Update eignet sich für Hot-Patching. Patches, die tiefgreifende Änderungen am Kernel oder an Systemkomponenten erfordern, können weiterhin einen Neustart verlangen. Die vierteljährlichen Baseline-Updates schließen diese Fälle mit ein. Organisationen sollten daher Hot-Patching als Ergänzung zum bestehenden Patch-Management betrachten, nicht als vollständigen Ersatz für geplante Wartungsfenster.
Bedeutung für die Sicherheitslage
Die Zeitspanne zwischen Veröffentlichung eines Patches und dessen tatsächlicher Installation ist einer der kritischsten Faktoren in der IT-Sicherheit. Jeder Tag Verzögerung vergrößert das Fenster, in dem Angreifer bekannte Schwachstellen ausnutzen können. Hot-Patching verkürzt dieses Fenster erheblich, weil der häufigste Grund für Patch-Verzögerungen — die Planung und Koordination von Reboot-Wartungsfenstern — bei acht von zwölf monatlichen Updates entfällt.
Dieser Vorteil gewinnt zusätzlich an Gewicht, wenn man die zunehmende Geschwindigkeit betrachtet, mit der neue Schwachstellen entdeckt und veröffentlicht werden. Automatisierte Schwachstellenforschung, einschließlich LLM-gestützter Analyse, verkürzt die Zeitspanne zwischen Entdeckung und Exploit-Verfügbarkeit. Schnellere Patch-Bereitstellung ist die logische Gegenmaßnahme zu dieser Entwicklung.
Besonders kritisch ist die Kombination aus öffentlich bekannter Schwachstelle und verzögertem Patch-Deployment. Hot-Patching reduziert genau dieses Risiko, indem es den organisatorischen Aufwand für die Patch-Installation drastisch senkt. Statt Wartungsfenster mit Fachabteilungen abzustimmen und Ausfallzeiten zu kommunizieren, kann das IT-Team Sicherheitsupdates zeitnah einspielen — ohne geschäftskritische Dienste zu unterbrechen.
Für Unternehmen, die Incident-Response-Pläne pflegen, vereinfacht Hot-Patching auch die Reaktion auf akute Bedrohungen: Wenn eine aktiv ausgenutzte Schwachstelle bekannt wird, kann der entsprechende Patch ohne Reboot-Planung sofort installiert werden.
Relevanz für KMUs
Für mittelständische Unternehmen mit begrenzten IT-Ressourcen und geringen Wartungsfenstern ist Hot-Patching besonders relevant. Server, die rund um die Uhr verfügbar sein müssen — etwa ERP-Systeme, Datenbankserver oder Terminalserver — profitieren unmittelbar von der reduzierten Neustart-Häufigkeit. Die Anbindung über Azure Arc erfordert zwar eine initiale Einrichtung, ermöglicht aber gleichzeitig eine zentrale Verwaltung verteilter Server-Infrastrukturen. Wer die Recovery Time Objective seiner kritischen Systeme verbessern und gleichzeitig die Patch-Geschwindigkeit erhöhen möchte, sollte Hot-Patching als Baustein einer umfassenden Systemhärtung evaluieren.