Die Sicherheits-Rollups von Windows 7, die umfassendste der Korrekturen, die es jeden Patch-Dienstag herausbringt, haben sich seit der Überarbeitung des alten Betriebssystems durch Microsoft im Jahr 2016 verdoppelt. Nach eigenen Angaben von Microsoft ist das so genannte „Security Quality Monthly Rollup“ (Rollup ab hier) vom ersten bis zum einundzwanzigsten Update um mehr als 90% gewachsen.
Seit seiner Einführung im Oktober 2016 stieg die x86-Version des Updates von 72 MB auf 137,5 MB, was einem Anstieg von 91 % entspricht. Inzwischen ist die immer größere 64-Bit-Version von anfänglich 119,4 MB auf 227,5 MB gestiegen, was ebenfalls einer Steigerung von 91 % entspricht.
Die zunehmenden Sicherheitsupdates waren an sich keine Überraschung. Letztes Jahr, als Microsoft große Änderungen an den Diensten von Windows 7 ankündigte, gab es zu, dass Rollups die Pfunde anheben würden. „Die Rollups werden klein anfangen, aber wir erwarten, dass diese mit der Zeit wachsen werden“, sagte Nathan Mercer, ein Microsoft Product Marketing Manager, damals. Mercers Erklärung: „Ein monatliches Rollup im Oktober beinhaltet alle Updates für Oktober, während der November Oktober und November Updates beinhaltet, und so weiter.“
Zwei Monate später, als er nach dem Wachstumsproblem gefragt wurde, räumte Mercer erneut ein, dass die Rollups groß werden könnten. „Schließlich wird das monatliche Rollup auf etwa 500 MB anwachsen“, sagte Mercer Mitte Oktober 2016. Es sieht so aus, als ob Mercers Prognose pessimistisch gewesen wäre.
Die 64-Bit-Version wird bis Oktober 2018 mit ca. 244 MB und ein Jahr später, wenn sich Windows 7 seinem Verfallsdatum nähert, mit ca. 306 MB auskommen. Letzteres würde einen Rückstand von 39% gegenüber dem Ziel von Mercer bedeuten. Ebenso würde die x86-Edition auf 147 MB bzw. 186 MB im Jahr 2018 bzw. 2019 ansteigen, wenn die Wachstumsrate von 22 Updates anhält.
Diese Zahlen liegen nicht nur weit unter den 500 MB von Mercer, sondern auch unter den Schätzungen von Computerworld Ende 2017. Dann, mit den ersten 12 Updates als Leitfaden für zukünftige Updates, sagte Computerworld, dass die Windows 7 x86 Updates auf 216MB und 374MB bis Oktober 2018 bzw. Oktober 2019 steigen würden. Unterdessen würden die Windows 8 x64-Updates bis Oktober 2018 auf etwa 350 MB und bis Oktober 2019 auf satte 600 MB anwachsen. Die bisherigen Vorhersagen waren völlig falsch. Warum?
Nach einer aggressiven Expansion im ersten Jahr kam die Wachstumsrate von Windows 7 fast zum Stillstand. Der Unterschied zwischen dem Anstieg der ersten 12 Updates und dem der nächsten 9. In den 12 Updates von Oktober 2016 bis Oktober 2017 wuchs das Update von Windows 7 x64 um 83 MB; die nächsten 9 Updates erhöhten die Größe um nur 25 MB. (Diese Neunmonatsrate entspricht weniger als 32 MB für 12 Monate, um den Vergleich zwischen Äpfeln und Äpfeln zu erleichtern.
Unternehmen können sich das Update-Gift aussuchen
Microsoft gibt am zweiten Dienstag im Monat zwei Arten von Sicherheitsupdates für Windows 7 heraus: ein Rollup und das, was das Unternehmen „Security Only Quality Update“ genannt hat (von nun an nur noch Sicherheit). Letzteres beinhaltet die sicherheitsrelevanten Patches des Monats und nichts anderes.
Da sie nur die Patches dieses Monats enthalten, sind sie viel kleiner als das entsprechende Rollup des gleichen Monats. Die 64-Bit-Sicherheit für Juli betrug nur 37 MB und die 32-Bit-Version noch kleinere 24 MB, verglichen mit den Rollups des gleichen Monats von 228 MB und 138 MB.
Die Rollups sind nicht nur größer, weil sie ihre Vergangenheit mitschleppen – jedes nachfolgende Rollup enthält die Patches dieses Monats sowie alle vorherigen Patches bis Oktober 2016 -, sondern auch, weil sie nicht sicherheitsrelevante Bugfixes enthalten. Normalerweise, wenn auch nicht immer, werden die Nicht-Sicherheitsupdates mit den Sicherheitspatches gebündelt, was die Größe des Rollups erhöht.
Aber nur einige Windows 7-Rechner sind für die kleineren Sicherheits-Updates geeignet: Diejenigen, die von WSUS (Windows Server Update Services) oder Tools von Drittanbietern oder Microsofts eigenem System Center Configuration Manager (SCCM) betreut werden, die auf WSUS für Inhalte angewiesen sind. Alle anderen Windows 7-Geräte, auch solche, die von Verbrauchern und kleinen Unternehmen betrieben werden, die über Windows Update oder Windows Update for Business eine Verbindung herstellen, erhalten Rollups. Sie haben keine Wahl.
Insgesamt waren die für Windows 7 herausgegebenen Sicherheits-Updates etwa ein Fünftel so groß wie die Gesamtzahl der Rollups. Nur 6 der 22 64-Bit-Sicherheits-Updates waren beispielsweise größer als 40 MB, und nur 7 der 32-Bit-Versionen durchbrachen die 20-MB-Marke.
Laut Goettl waren die reinen Sicherheitsupdates etwa so groß, wie sie wären, wenn sie aus einer ähnlichen Anzahl separater Patches bestehen würden, wie die von Microsoft, die vor dem radikalen Schritt, Jahrzehnte der Praxis im Jahr 2017 abzuladen, verteilt wurden.
Aber die Größe war nicht der einzige oder vielleicht sogar der Hauptgrund, warum Sicherheits-Updates ein Segen für Unternehmen waren. „Nur die Sicherheit bietet eine gewisse Flexibilität“, sagte Goettl und sprach von der Möglichkeit, ein Update zu verschieben.
Da die Rollups kumulativ sind – da sie alle vergangenen und die neuesten Patches enthalten – ist es nicht möglich, sie zu installieren, ohne jede Korrektur seit mindestens Oktober 2016 zu installieren. Wenn ein Patch etwas kaputt macht, z.B. eine geschäftskritische Anwendung oder einen Workflow, müssen alle nachfolgenden Rollups auf Eis gelegt werden.
Aber durch die Übernahme der reinen Sicherheitsupdates kann ein IT-Mitarbeiter zumindest die Version vom Juni herausbringen, auch wenn sie sich wegen eines Schurken-Patches im Mai zurückhalten musste. Diese Praxis ähnelt, wenn auch auf einer eher makroökonomischen Ebene, der Art und Weise, wie einzelne Patches eingesetzt oder blockiert wurden, je nachdem, ob sie den Betrieb behinderten. (Letzteres war es, was Microsoft im Jahr 2017 durch den Umstieg auf den All-Inclusive-Ansatz verbot, bei dem alle Patches eines Monats in einen Eimer gegossen werden und somit unzertrennlich sind).
Goettl sah Sicherheits-Nur-Updates als Sop für Unternehmen, einen Knochen, den Microsoft seinen wichtigsten Kunden mit auf den Weg gab, als es die neuen Gesetze festlegte. „Eine Sache, die den Schlag (der kumulativen Update-Ankündigung) milderte, war, dass sie das reine Sicherheitspaket anboten“, sagte Goettl. „In Windows 10 haben Sie diese Möglichkeit nicht.“