Das Management von Software und Updates ist ein zentraler Bestandteil moderner IT-Strategien. Patch Management Software und Software Package Libraries bieten Unternehmen Werkzeuge, um die Bereitstellung und Aktualisierung von 3rd Party Anwendungen zu optimieren. Sie unterstützen IT-Abteilungen dabei, Sicherheitslücken schnell zu schließen, Prozesse zu automatisieren und Softwareverteilung effizient zu gestalten. Bekannte Beispiel sind Patch My PC und Robopack.
Mit der zunehmenden Nutzung von Unified Endpoint Management (UEM)-Lösungen und cloudbasierten Plattformen gewinnen Patch-Management-Tools und Software-Pakete weiter an Bedeutung. Diese Technologien schaffen eine zentrale Anlaufstelle für die Verwaltung von Anwendungen und bieten umfassende Bibliotheken, die auf die spezifischen Bedürfnisse von Unternehmen zugeschnitten sind.
Das Wichtigste in Kürze
- Patch Management Software und Package Libraries sind unverzichtbare Bestandteile für automatisiertes Patch Management und haben mit Sicherheit einen positiven ROI
- Patch My PC und Robopack gehören zu den bevorzugten Lösungen
- Die Wahl des richtigen Tools hängt von den individuellen Anforderungen ab, wie Automatisierungstiefe, unterstützte Anwendungen und Integrationsmöglichkeiten.
- Aber Achtung: Das automatische Patchen von 3rd Party Standardapplikationen ist nur ein Teil von ganzheitlichem Patch Management. 3rd Party Applikationen, die nicht in der Patch Management Software enthalten sind, dürfen nicht vergessen werden
Mit Patchmanagement as a Service (aaS) übernimmt SOFTTAILOR die vollständige Verwaltung von Patches und Softwarepaketen. Wir unterstützen euch bei der Auswahl und Integration des Tools und sorgen dafür, dass eure Systeme sicher, aktuell und effizient bleiben.
1. Was ist Patch Management Software?
Patch Management Software bezeichnet Tools, die IT-Abteilungen dabei unterstützen, Sicherheits-Updates und Fehlerbehebungen (Patches) zentral zu verwalten. Sie analysieren bestehende Systeme auf fehlende Updates, stellen diese automatisiert bereit und überwachen den Installationsstatus. Zusätzlich bieten sie fortgeschrittene Funktionalitäten, wie den Roll-Out in Ringen. Die Integration solcher Software in UEM-Lösungen ermöglicht eine einheitliche Verwaltung aller Endgeräte und Applikationen. Aber Achtung: Das automatisierte Patchen von 3rd Party Standardapplikationen ist nur ein Teil von ganzheitlichem Patch Management und suggeriert häufig falsche Sicherheit. Inbesondere nicht im Katalog enthaltene 3rd Party Applikationen, Treiber etc. dürfen nicht vernachlässigt werden!
2. Was sind Software Package Libraries?
Software Package Libraries sind zentrale Sammlungen von vorkonfigurierten Softwarepaketen. Sie erleichtern es Unternehmen, Anwendungen konsistent und schnell auf eine Vielzahl von Geräten zu verteilen. Im Unterschied zu umfangreicherer Patch Management Software wiesen Softwarepaket-Bibliotheken häufig weniger Automatisierungen auf und übrwachen Endgeräte nicht auf Patch-Stände. IT Administratoren müssen sich also proaktiver Verhalten. Die Grenzen zwischen Patch Management Software und Software Package Libraries sind dabei fließend.
Ein hochwertige Lösung für automatisiertes Patch Management sollte:
- Umfassend sein und eine Vielzahl von Patches sowie vorkonfigurierten Paketen für unterschiedliche Betriebssysteme, Anwendungen und Plattformen enthalten.
- Automatisierbar sein, um den manuellen Aufwand bei der Verwaltung und Verteilung von Updates und Paketen zu minimieren.
- Zuverlässig sein und sicherstellen, dass die bereitgestellten Pakete vollständig und fehlerfrei sind.
- Transparent sein, mit klaren Informationen zu den enthaltenen Paketen, ihren Funktionen und der Behebung spezifischer Sicherheitslücken.
3. Übersicht der wichtigsten Software Package Libraries
Diese Übersicht ist eine Liste der wichtigsten uns bekannten Patch Management Software und Software Package Libraries. SOFTTAILOR ist Partner der vier folgenden Lösungen und hat um sie herum exklusiv seinen Patch Management as a Service designt: Patch My PC, Robopack, Intune Enterprise App Management & Ivanti Neurons for Patch Management.
Patch My PC
Patch My PC ist die führende Lösung zur Automatisierung von Patch-Management und Softwarebereitstellung, die speziell für Unternehmen entwickelt wurde, die Intune oder SCCM nutzen. Mit einer Bibliothek, die Hunderte beliebte Anwendungen umfasst, bietet Patch My PC eine einfache Möglichkeit, Drittanbieter-Software aktuell und sicher zu halten.
Patch My PC bietet aus unserer Sicht momentan das ausgereifteste Produkt mit vielen Features zu einem konkurrenzlos günstigen Preis, muss sich aber vor Konkurrenten wie Robopack in Acht nehmen. Dank der nahtlosen Integration in Intune und MECM/SCCM können IT-Teams Softwarepakete und Updates mit minimalem Aufwand bereitstellen. Die Plattform ermöglicht zudem eine flexible Anpassung, sodass Unternehmen spezifische Anforderungen wie Zeitpläne oder Update-Exklusionen berücksichtigen können. Mit benutzerfreundlichen Dashboards und umfassenden Berichtsoptionen ist Patch My PC eine ideale Wahl für Unternehmen, die Wert auf Automatisierung und Effizienz legen.
Robopack
Robopack wurde in seiner jetzigen Form erst im Sommer 2024 gelauncht. Allerdings sind jahrelange Entwicklungszeit in das Produkt geflossen und es gehört zum Hersteller von SoftwareCentral – einer Software zum Vereinfachten Management von Intune und SCCM. Robopack ist eine Patch Management Software nur für Microsoft Intune, welche Zugriff auf über 35.000 vorkonfigurierte Applikationen auf Basis des Winget Repositorys bietet. Die Benutzer profitieren von einer integrierten Paketkonvertierung, die die Kompatibilität mit unterschiedlichen Unternehmensumgebungen gewährleistet. Die hohe Anzahl an verfügbaren Applikationen und eine sehr moderne und intuitive Benutzeroverfläche haben dafür gesorgt, dass Robopack innerhalb kürzester Zeit Marktanteile gewonnen hat.
Intune Enterprise App Management
Das Intune Enterprise App Management ist eine Erweiterung der Microsoft Intune-Suite und wurde speziell für die Verwaltung von Anwendungen und Updates entwickelt. Mit dieser neuen Funktion können Unternehmen Anwendungen vollständig über die Intune-Konsole bereitstellen und verwalten. Die Integration ist besonders für Unternehmen interessant, die eine nahtlose Verwaltung innerhalb des Microsoft-Ökosystems vor allem anderen bevorzugen oder aus anderen Gründen die komplette Intune Suite erwerben. Aus unserer Sicht ist sind die Features von Intune Enterprise App Management den marktführenden momentan Tools noch weit unterlegen und die Anzahl der zur Verfügung stehenden Applikationen zu gering - allerdings werden bei letzterem gute Fortschritte erzielt.
Ivanti Neurons for Patch Management
Die Besonderheit von Ivanti Neurons for Patch Management ist der risiko-basierte Ansatz auf Basis eines Ivanti-eigenen Scores. Mit Hilfe von KI und aber auch einem eigenen Penetrations-Test-Team analysiert Ivanti Neurons laufend umfangreiche Informationen über Schwachstellen, priorisiert Sicherheitslücken basierend auf ihrer Risikostufe und bietet detaillierte Einblicke in die Patch-Compliance.
Eine weitere Besonderheit: Ivanti Neurons for Patch Management funktioniert mit allen gängigen Softwareverteilungen, während viele andere Tools exklusiv für eine oder wenige Softwareverteilungen, wie Microsoft Intune, gemacht sind. Dank der intuitiven Benutzeroberfläche können Unternehmen den Zeitaufwand für das Patch-Management erheblich reduzieren und gleichzeitig ihre Systeme proaktiv schützen.
Scappman
Scappman ist eine vollständig cloudbasierte Lösung, die nahtlos in Intune integriert werden kann, um Anwendungen bereitzustellen und zu verwalten. Vor Kurzem wurde Scappman von Patch My PC übernommen, jedoch bleiben beide Lösungen derzeit eigenständig verfügbar. Mit einer benutzerfreundlichen Oberfläche und zuverlässigen Funktionen bietet Scappman Unternehmen eine einfache Möglichkeit, Softwareverteilung zu optimieren. Im Vergleich mit Patch My PC spielt Scappman seine Stärken in Multi-Tenant Umgebungen aus, was eher für IT-Dienstleister interessant sein könnte, ist dabei aber um ein vielfaches teurer. Die Entwicklung von Scappman nach der Übernahme durch Patch My PC wird spannend.
Intune Pckgr
Intune Pckgr nutzt die Winget Library, um Anwendungen direkt in Intune zu integrieren und bereitzustellen. Diese cloudbasierte Lösung ermöglicht es IT-Abteilungen, sowohl die Installation als auch die Aktualisierung von Software über eine zentrale Plattform zu verwalten. Intune Pckgr ist besonders attraktiv für Unternehmen, die auf Microsoft-Ökosysteme setzen und eine einfache Möglichkeit suchen, Softwarepakete zu managen. Es gehört zu den kostengünstigeren Alternativen, sollte aber nicht als fully-fledged Patch Management Software, sondern eher als Automatisierung und Erweiterung von Winget gesehen werden. Wie bei Winget beschrieben, ist die Integrität und Qualität von Winget Softwarepaketen mit Vorsicht zu genießen. Patch Management Software, die sich auf das Winget Community Repository stützt, sollte, wie Robopack, umfassende Qualitäts- und Sicherheitschecks etablieren.
Chocolatey
Chocolatey ist ein Commandline-Tool mit einer großen Community, die eine Community-getriebene umfangreiche Bibliothek aktueller Softwarepakete bereitstellt. Chocolatey lässt sich problemlos in MECM/SCCM oder Intune integrieren, wodurch IT-Teams Software über Powershell bereitstellen und verwalten können. Die Vielseitigkeit und die starke Community machen Chocolatey zu einer beliebten Wahl für kleinere Unternehmen mit begrenztem Budget. Chocolatey wird in einer kostenlosen („Open Source“) und zwei kostenpflichtigen („Pro“ und „Business“) Varianten angeboten.
Im Vergleich mit nicht-kostenlosen Tools, fehlt es bei Chocolatey im Detail an Features und Bedienbarkeit, während die Pro und Business Versionen vergleichsweise teuer sind. Wie bei Winget sind wir nicht vollends von der Sicherheit Community-getriebener Package Libraries überzeut und Chocolatey wurde in der Vergangenheit für die Verteilung von Spyware genutzt.
{{cta-box-patch="/dev/components"}}
Neo42 Application Package Depot (ehemals Paketdepot)
Neo42 Application Package Depot ist die neue Alternative zum bisherigen Neo42 Paketdepot. Mit diesem Relaunch hat Neo42 eine optimierte Lösung für die Bereitstellung und Verwaltung von Softwarepaketen präsentiert. Das neue Depot bietet erweiterte Automatisierungsfunktionen, eine größere Auswahl an vorkonfigurierten Anwendungen und eine modernere Benutzeroberfläche. Allerdings bietet das Package Depot nur ca. 400 Applikationen an. Auf der anderen Seite ermöglicht es auch die Integration in Matrix42 Empirum und Omnissa Workspace One und ist somit insbesondere für Nutzer dieser UEM Lösungen eine ernstzunehmende Alternative.
ZeroTouch.ai
ZeroTouch.ai bietet weit mehr als nur App-Management, wie vollständiger RMM-Funktionen und kann sogar als stand-alone UEM Lösung verwendet werden. Speziell für das App-Management bietet die Plattform eine umfassende Lösung zur Softwareverteilung und -aktualisierung. Die cloudbasierte Architektur und der Fokus auf Automatisierung machen ZeroTouch.ai zu einer innovativen Option für kleine Unternehmen, die nach einer All-in-One-Lösung suchen. Für die reine Automatisierung des Patch Managements mit vorhandenem Microsoft Intune, SCCM oder eine anderen UEM Lösung, gibt es weitaus kostengünstigere Alternativen.
Windows Package Manager (Winget)
Der Windows Package Manager (Winget) ist ein kostenloses Open-Source Commandline-Tool von Microsoft, das sich an den Paketmanagern in Linux-Umgebungen orientiert. In den neuesten Versionen von Windows 11 ist Winget bereits vorinstalliert, und eine Integration in Intune steht kurz bevor. Winget kann auf das Winget Package Community Repository oder auch ein eigenes Repository zugreifen.
Wir sehen das Community Repository nicht uneingeschränkt positiv: Letztendlich ist die Integrität von Applikationen aus dem Winget Repository nicht gesichert und Softwarepakete werden Fehler aufweisen. Hier macht Patch Management Software wie Robopack, die zwar auf dem Winget Repository basiert, aber eigene Security und Qualitätschecks durchführt einen besseren Job. Zusätzlich ist Winget für uns im Enterprise Kontakt nicht sinnvoll und sicher einsetzbar, da es nur als User ausgeführt werden kann und erhöhte Rechte übergeben werden müssen. Die direkte Ausführung als Administrator ist nicht möglich und eine Ausführung im Systemkotext nicht supported.
ManageEngine Patch Manager Plus
ManageEngine Patch Manager Plus ist eine plattformübergreifende Lösung, die Sicherheits-Patches für Betriebssysteme und über 250 Drittanbieter-Anwendungen bereitstellt. Es wurde hauptsächlich für ManageEngines UEM Lösung Endpoint Central entwickelt, kann aber über Konnektoren auch mit Intune und SCCM verbunden werden. Mit der Anzahl an 3rd Party Applikationen ist der Patch Manager Plus allerdings nicht konkurrenzfähig.
Flexera Software Vulnerability Manager
Der Flexera Software Vulnerability Manager (ehemals Secunia CSI) ist eine umfassende Lösung für das Patch-Management mit Schwerpunkt auf Drittanbieter-Software. Mit detaillierten Einblicken in die Patch-Compliance und einer nahtlosen Integration in bestehende Patch-Management-Systeme unterstützt der Flexera Software Vulnerability Manager IT-Abteilungen dabei, Schwachstellen schnell und präzise zu entdecken und zu beheben. Die Lösung legt mehr Fokus auf das Entdecken von Schwachstellen (Vulnerabilities) als typische Patch Management Software und konkuriert damit zusätzlich mit Vulnerability Management Software wie Microsoft Defender. Insbesondere durch sein Pricing ist der Flexera Software Vulnerability Manager für sehr große Umgebungen geeignet.
NinjaOne Patch Management
NinjaOne Patch Management bietet innerhalb der NinjaOne Plattform eine umfassende Lösung für die Verwaltung von Patches in hybriden IT-Umgebungen. Mit automatisierten Prozessen und einer zentralen Plattform hilft NinjaOne IT-Teams, Sicherheitslücken schnell zu schließen und Anwendungen auf dem neuesten Stand zu halten. Ähnlich wie bei ZeroTouch.ai ist hat sich die NinjaOne Plattform allerdings von eine Remote Management (RMM) Lösung zu einer eigene UEM Lösung entwickelt, hauptsächlich für Systemhäuser, die damit die Endpoints einer Vielzahl von kleinen Kunden zentral verwalten können. Als reine Patch Management Software kommt NinjaOne daher nicht in Frage.
PDQ Connect
PDQ Connect ist eine relative junge agent-basierte Lösung von den Entwicklern von PDQ Deploy. Es verwendet es einen eigenen Agenten, um Anwendungen zu verwalten und bereitzustellen und ist somit vollkommen unabhängig davon, welche Softwareverteilungslösung verwendet wird. Der Softwarekatalog bietet momentan allerdings weniger als 100 Applikationen, was die Lösung nicht konkurrenzfähig macht. Wenn PDQ das Produkt wie geplant ausbaut, könnte PDQ Connect eine spannende Alternative für Unternehmen sein, die nach einer eigenständigen Lösung suchen, die unabhängig von der eingesetzt Softwareverteilung.
4. Fazit/Unsere Empfehlung
Es gibt eine große Auswahl an Tools für die Verwaltung von Softwarepaketen und Patches, wie in diesem Überblick deutlich wird. In 2025 gibt es aus unserer Sicht zu viele Tools, die automatisiertes Patch Management ermöglichen sollen, sodass wir in den nächsten Jahren eine Konsolidierung erwarten, in der sich viele Anbieter nicht behaupten können. Um zukunftsfähig zu bleiben, sollte man also auf eine der starken Lösungen setzen.
Für Unternehmen, die auf Intune und/oder SCCM setzen, sind Patch My PC und Robopack die favorisierten Lösungen. Beide bieten umfangreiche Funktionen zur Automatisierung und Optimierung der Softwareverteilung und –aktualisierung, einen großen Applikationskatalog und haben sich als Marktführer etabliert. Die Wahl zwischen Patch My PC und Robopack hängt von den spezifischen Anforderungen eures Unternehmens ab – wie der gewünschten Automatisierungstiefe, der Überschneidung zwischen eingesetzten und angebotenen Anwendungen oder den Integrationsmöglichkeiten. Die Möglichkeit, eigene Applikationen (Custom Apps) zu integrieren, sollte für große Unternehmen eine Rolle spielen.
Für Unternehmen die nicht oder nicht ausschließlich Microsoft Intune und/oder Microsoft SCCM zur Endgeräteverwaltung einsetzen, empfehlen wir Ivanti Neurons for Patch Management, dass mit jeder gängigen Softwareverteilung funktioniert und mit seinem risikobasierten Ansatz punktet.
Thore beschäftigt sich seit 2011 ausschließlich mit Endpoint Management und Endpoint Security Themen. Anfangs fokussiert auf Softwarepaketierung und Softwareverteilung mit Microsoft MECM/SCCM und Ivanti DSM ist er heute gefragter Gesprächspartner, wenn es um Unified Endpoint Management, Systemhärtung, Patch Management und Endpoint Protection geht. Im Fokus stehen dabei insbesondere die Microsoft Technologien Intune, Configuration Manager, Entra und Defender. Thore ist Mitgründer des Expertenzirkels "Endpoint Management" im IAMCP e.V.
