Zum Inhalt springen
Zurück zum Blog
Sicherheit
·Rouwen Behncke
10 Min.

Patchmanagement erklärt: Warum Updates überlebenswichtig sind

Patchmanagement bedeutet, Betriebssysteme und Programme systematisch und zeitnah mit Updates zu versorgen. Weil ungepatchte Systeme das häufigste Einfallstor für Angriffe sind, ist das eine der wichtigsten Schutzmaßnahmen überhaupt. Dieser Beitrag erklärt, wie professionelles Patchmanagement funktioniert und wie ihr es im Alltag zuverlässig umsetzt.

Patchmanagement erklärt: Warum Updates überlebenswichtig sind

Was ist Patchmanagement?

Patchmanagement bezeichnet den systematischen Prozess - Software-Updates (Patches) zu identifizieren - zu testen und auf IT-Systemen auszurollen. Patches schließen Sicherheitslücken - beheben Fehler und verbessern die Stabilität von Betriebssystemen - Anwendungen und Firmware.

Klingt simpel - ist aber in der Praxis eine der größten Herausforderungen für IT-Abteilungen. Denn in einem typischen KMU mit 50 Arbeitsplätzen laufen Hunderte Softwarekomponenten - die regelmäßig aktualisiert werden müssen: Windows - Office - Browser - PDF-Reader - Branchensoftware - Treiber - Firmware von Switches - Firewalls und Druckern.

Warum Patchmanagement überlebenswichtig ist

Ungepatchte Systeme sind Einfallstor Nr. 1

Laut dem BSI-Lagebericht 2025 werden über 60 % aller erfolgreichen Cyberangriffe über bekannte Schwachstellen durchgeführt - für die bereits ein Patch verfügbar war. Das bedeutet: Die Mehrheit der Angriffe hätte durch rechtzeitiges Patchen verhindert werden können.

Die Zeitbombe: Exploit-Geschwindigkeit

Die Zeit zwischen der Veröffentlichung einer Schwachstelle und dem ersten Exploit wird immer kürzer:

  • 2020: Durchschnittlich 42 Tage bis zum ersten Exploit
  • 2023: Durchschnittlich 15 Tage
  • 2025: Bei kritischen Schwachstellen oft unter 48 Stunden

Das bedeutet: Wenn ein Sicherheitspatch veröffentlicht wird - läuft die Uhr. Jeder Tag ohne Update ist ein Tag - an dem dein Unternehmen verwundbar ist.

Prominente Beispiele: Was passiert - wenn nicht gepatcht wird

WannaCry (2017): Der Ransomware-Wurm infizierte weltweit über 230.000 Systeme in 150 Ländern. Betroffen waren Krankenhäuser - Unternehmen und Behörden. Der ausgenutzte Exploit (EternalBlue) betraf eine Windows-SMB-Schwachstelle - für die Microsoft zwei Monate vorher einen Patch bereitgestellt hatte.

Log4Shell (2021): Eine kritische Schwachstelle in der Java-Bibliothek Log4j betraf Millionen von Anwendungen weltweit. Innerhalb von 48 Stunden nach Bekanntwerden wurden erste Massenangriffe registriert. Unternehmen - die schnell patchten - blieben verschont - andere wurden kompromittiert.

MOVEit (2023): Eine Zero-Day-Schwachstelle in der Dateitransfer-Software MOVEit wurde von der Ransomware-Gruppe Cl0p massenhaft ausgenutzt. Über 2.500 Organisationen weltweit waren betroffen - darunter Banken - Behörden und Versicherungen.

Citrix Bleed (2023/2024): Eine kritische Schwachstelle in Citrix NetScaler ermöglichte Angreifern - Session-Tokens zu stehlen. Wochen nach Veröffentlichung des Patches waren noch tausende Systeme ungepatcht - mit verheerenden Folgen.

Microsoft Exchange ProxyShell/ProxyNotShell: Wiederholte kritische Schwachstellen in Exchange-Servern führten zu massenhaften Kompromittierungen. Viele betroffene Unternehmen hatten die verfügbaren Patches nicht eingespielt.

Was wird gepatcht?

Betriebssysteme

  • Windows Server und Windows Client: Monatlicher „Patch Tuesday" (zweiter Dienstag im Monat). Microsoft veröffentlicht regelmäßig 50 bis 100 Patches pro Monat - davon 5 bis 15 als „kritisch" eingestuft.
  • Linux-Distributionen: Kernel-Updates - Bibliotheken - Dienste. Bei Debian - Ubuntu - RHEL etc. über die jeweiligen Paketmanager.
  • macOS: Unregelmäßige Sicherheitsupdates von Apple.

Anwendungen

  • Microsoft 365 / Office: Wird bei Cloud-Versionen automatisch aktualisiert - bei On-Premises-Versionen manuell.
  • Browser (Chrome - Edge - Firefox): Häufige Updates - oft wöchentlich. Browser sind eines der häufigsten Angriffsziele.
  • PDF-Reader - Java - Flash-Nachfolger: Klassische Einfallstore - die oft vergessen werden.
  • Branchensoftware: ERP - CRM - Buchhaltung - hier hinken Updates oft hinterher.

Firmware

  • Firewalls (Sophos - Securepoint - FortiGate): Firmware-Updates schließen kritische Sicherheitslücken. Die FortiGate-Schwachstellen 2023/2024 haben gezeigt - wie gefährlich ungepatchte Firewalls sind.
  • Switches und Access Points: Werden oft vergessen - können aber als Einstiegspunkt dienen.
  • BIOS/UEFI: Server- und Client-Firmware-Updates für CPU-Schwachstellen (Spectre - Meltdown - Downfall).
  • Storage-Systeme - USV - Drucker: Auch diese Geräte haben Software - die aktualisiert werden muss.

Der Patchmanagement-Prozess

Schritt 1: Inventarisierung

Du kannst nur patchen - was du kennst. Eine vollständige Inventarisierung aller IT-Assets ist die Grundlage:

  • Alle Server - Clients - mobile Geräte
  • Installierte Software und Versionen
  • Netzwerkgeräte und Firmware-Stände
  • Cloud-Dienste und SaaS-Anwendungen

Schritt 2: Schwachstellen-Erkennung

Regelmäßige Schwachstellen-Scans identifizieren - welche Systeme verwundbar sind:

  • Automatisierte Vulnerability-Scanner (z. B. Tenable - Qualys - OpenVAS)
  • CVE-Datenbanken und Hersteller-Advisories
  • CVSS-Score zur Priorisierung (0 bis 10 Skala - ab 7.0 = hoch - ab 9.0 = kritisch)

Schritt 3: Priorisierung

Nicht alle Patches sind gleich dringend. Priorisiere nach:

  • CVSS-Score: Kritische Schwachstellen (9.0+) sofort patchen
  • Exploit-Verfügbarkeit: Wird die Schwachstelle bereits aktiv ausgenutzt? (Known Exploited Vulnerabilities - KEV-Katalog der CISA)
  • Exponierung: Ist das System aus dem Internet erreichbar?
  • Geschäftskritikalität: Wie wichtig ist das betroffene System?

Schritt 4: Testen

Patches können Probleme verursachen - insbesondere bei Branchensoftware oder älteren Anwendungen:

  • Teste kritische Patches in einer Testumgebung
  • Prüfe Kompatibilität mit Branchensoftware
  • Erstelle vor dem Patchen ein Backup/Snapshot

Schritt 5: Ausrollen

  • Automatisiert über Tools wie Microsoft Intune - WSUS - ManageEngine - NinjaRMM oder Atera
  • Gestaffelt: Erst Testgruppe - dann Pilotgruppe - dann alle Systeme
  • Zeitgesteuert: Außerhalb der Geschäftszeiten - um Produktivitätsverluste zu minimieren
  • Neustarts planen: Viele Patches erfordern einen Neustart - kommuniziere das an die Mitarbeitenden

Schritt 6: Verifizierung und Reporting

  • Prüfe - ob der Patch erfolgreich installiert wurde
  • Dokumentiere den Patch-Stand aller Systeme
  • Erstelle Reports für Compliance-Nachweise (DSGVO - NIS2, ISO 27001)

Patchmanagement und Compliance

NIS2-Richtlinie

Die NIS2-Richtlinie fordert explizit ein systematisches Schwachstellenmanagement. Unternehmen müssen nachweisen - dass sie:

  • Sicherheitsupdates zeitnah einspielen
  • Einen dokumentierten Prozess für Patchmanagement haben
  • Schwachstellen in ihrer Lieferkette bewerten

DSGVO

Artikel 32 der DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Ungepatchte Systeme können als Verstoß gegen diese Pflicht gewertet werden - mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes.

ISO 27001

Die Norm fordert in Anhang A.12.6 ein „Management technischer Schwachstellen". Patchmanagement ist ein zentraler Bestandteil jeder ISO-27001-Zertifizierung.

Häufige Fehler beim Patchmanagement

1. „Läuft doch" - Patches aufschieben

Der gefährlichste Fehler. Jeder Tag ohne Patch ist ein offenes Einfallstor. Besonders kritisch bei Systemen - die aus dem Internet erreichbar sind (VPN - E-Mail - Webserver).

2. Nur Windows patchen - Rest vergessen

Firewalls - Switches - Drucker - NAS-Systeme - IoT-Geräte - all diese Systeme haben Firmware - die aktualisiert werden muss. Die Fortinet-Schwachstellen haben gezeigt - dass ungepatchte Firewalls verheerende Folgen haben können.

3. Kein Testen vor dem Rollout

Ein fehlerhafter Patch kann Branchensoftware lahmlegen. Ohne Testphase riskierst du Produktionsausfälle. Die Balance: schnell patchen - aber vorher testen - automatisierte Testumgebungen helfen.

4. Kein Überblick über die eigene Infrastruktur

Wer nicht weiß - welche Software in welcher Version auf welchem System läuft - kann nicht effektiv patchen. Eine aktuelle CMDB (Configuration Management Database) ist Pflicht.

5. Manuelle Prozesse

In einem Unternehmen mit 50+ Arbeitsplätzen ist manuelles Patchen nicht mehr machbar. Automatisierung ist keine Kür - sondern Pflicht.

Patchmanagement-Tools für KMU

Microsoft Intune / Endpoint Manager

  • Cloud-basiert - ideal für Microsoft-365-Umgebungen
  • Windows-Updates - Office-Updates - Drittanbieter-Updates (über Add-ons)
  • In Microsoft 365 Business Premium enthalten

WSUS (Windows Server Update Services)

  • Kostenlos - On-Premises
  • Nur Windows- und Microsoft-Produkte
  • Keine Drittanbieter-Patches ohne Zusatztools

NinjaRMM / Atera / Datto RMM

  • Professionelle RMM-Tools (Remote Monitoring & Management)
  • Automatisiertes Patching für Windows - macOS - Linux und Drittanbieter
  • Reporting und Compliance-Dashboards
  • Werden typischerweise von Managed Service Providern eingesetzt

ManageEngine Patch Manager Plus

  • On-Premises oder Cloud
  • Breite Drittanbieter-Unterstützung
  • Gutes Preis-Leistungs-Verhältnis für KMU

Best Practices: So machst du es richtig

Definiere Patch-Fristen

  • Kritische Schwachstellen (CVSS 9.0+ - aktiv ausgenutzt): 24 bis 48 Stunden
  • Hohe Schwachstellen (CVSS 7.0 bis 8.9): 7 Tage
  • Mittlere Schwachstellen (CVSS 4.0 bis 6.9): 30 Tage
  • Niedrige Schwachstellen (CVSS 0 bis 3.9): 90 Tage oder nächster Wartungszyklus

Automatisiere - was möglich ist

  • Windows-Updates über Intune oder WSUS automatisch verteilen
  • Browser-Updates immer automatisch aktivieren
  • Firmware-Updates für Netzwerkgeräte in regelmäßige Wartungsfenster einplanen

Erstelle ein Patch-Dashboard

  • Wie viele Systeme sind aktuell?
  • Wie viele kritische Patches sind ausstehend?
  • Wie lange dauert es durchschnittlich - bis ein Patch eingespielt ist? (Mean Time to Patch - MTTP)

Kommuniziere mit den Mitarbeitenden

  • Informiere über geplante Neustarts
  • Erkläre - warum Updates wichtig sind
  • Mache es einfach: Automatisierte Updates - die den Arbeitsfluss minimal stören

Die Rolle eines Managed Service Providers

Für viele KMU ist professionelles Patchmanagement mit internen Ressourcen kaum zu stemmen. Ein Managed IT Service Provider übernimmt:

  • Kontinuierliches Monitoring aller Systeme auf fehlende Patches
  • Automatisiertes Ausrollen von Betriebssystem- und Drittanbieter-Updates
  • Firmware-Management für Firewalls - Switches und Netzwerkgeräte
  • Compliance-Reporting für NIS2, DSGVO und ISO 27001
  • Notfall-Patching bei kritischen Zero-Day-Schwachstellen

Fazit

Patchmanagement ist keine glamouröse Aufgabe - aber eine der wirksamsten Maßnahmen zum Schutz deines Unternehmens. Über 60 % aller Cyberangriffe nutzen bekannte - bereits gepatchte Schwachstellen aus. Das bedeutet im Umkehrschluss: Wer konsequent patcht - eliminiert den größten Angriffsvektor.

Die Kombination aus automatisierten Tools - klaren Prozessen und definierten Fristen macht Patchmanagement beherrschbar - auch für KMU ohne große IT-Abteilung. Und wenn die internen Ressourcen nicht reichen - ist ein erfahrener Managed Service Provider die sinnvollste Investition.

Du möchtest dein Patchmanagement professionalisieren oder wissen - wie aktuell deine Systeme wirklich sind? Wir führen gerne eine kostenlose Bestandsaufnahme durch. Kontaktiere uns für ein unverbindliches Gespräch.

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil