Muss ein Cisco-ISE-Hotpatch vor einem neuen Patch entfernt werden?

**Ja – in Cisco ISE sollte ein installierter Hotpatch vor einem neuen regulären Patch in der Regel entfernt werden.** Entscheidend ist: Hotpatches sind Sonderkorrekturen für einzelne Bugs und nicht automatisch wie normale kumulative Patches zu behandeln; wenn du sie drauflässt, riskierst du genau die Art von Integritäts- oder Startproblemen, die Cisco in der Praxis immer wieder erwähnt. ([cisco.com](https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/222814-install-hot-fix-hot-patch-in-ise.html)) ## Der wichtige Unterschied **Normale ISE-Patches sind kumulativ.** Das heißt: Ein neuerer regulärer Patch enthält üblicherweise die Fixes der vorherigen regulären Patches. Dafür musst du alte Standard-Patches normalerweise nicht „von Hand aufräumen“, bevor du den nächsten installierst. ([cisco.com](https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215406-patch-installation-on-ise-and-faq-durin.html)) **Hotpatches sind etwas anderes.** Sie werden meist für einen konkreten Defekt oder eine akute Schwachstelle separat ausgeliefert. Genau deshalb empfiehlt Cisco für ISE in mehreren offiziellen und Cisco-nahen Hinweisen, vorhandene Hotfixes/Hotpatches vor einer neuen Patch-Installation zu deinstallieren. ([cisco.com](https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/222814-install-hot-fix-hot-patch-in-ise.html)) ## Was das praktisch für dich bedeutet Wenn auf deiner ISE ein Hotpatch installiert ist, ist die sichere Standardvorgehensweise: 1. **prüfen, welcher Hotpatch installiert ist** 2. **Cisco-Readme bzw. Release Notes des neuen Patches lesen** 3. **Hotpatch entfernen, wenn dort nichts anderes steht** 4. **erst danach den neuen regulären Patch installieren** Der entscheidende Punkt: **Nicht jeder neue Patch verhält sich zu jedem Hotpatch identisch.** Es gibt Fälle, in denen Cisco in den Release Notes ausdrücklich schreibt, dass ein bestimmter Hotpatch vor Patch X entfernt werden muss. Genau deshalb ist die Readme des konkreten Hotpatches wichtiger als eine pauschale Faustregel. ([community.cisco.com](https://community.cisco.com/t5/network-access-control/need-to-uninstall-hotpatch-to-fix-cscwa47133-log4j-when/td-p/4913981)) ## Klare Empfehlung **Als Betriebsregel solltest du davon ausgehen: Hotpatch erst runter, dann neuen Patch installieren – außer Cisco dokumentiert für genau diese Kombination ausdrücklich etwas anderes.** Das ist die sauberste und risikoärmste Vorgehensweise für Change-Fenster und vermeidet unnötige Recovery-Arbeit. ([cisco.com](https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/222814-install-hot-fix-hot-patch-in-ise.html))