Patchmanagement erklärt: Warum Updates überlebenswichtig sind
Patchmanagement bedeutet, Betriebssysteme und Programme systematisch und zeitnah mit Updates zu versorgen. Weil ungepatchte Systeme das häufigste Einfallstor für Angriffe sind, ist das eine der wichtigsten Schutzmaßnahmen überhaupt. Dieser Beitrag erklärt, wie professionelles Patchmanagement funktioniert und wie ihr es im Alltag zuverlässig umsetzt.

Was ist Patchmanagement?
Patchmanagement bezeichnet den systematischen Prozess - Software-Updates (Patches) zu identifizieren - zu testen und auf IT-Systemen auszurollen. Patches schließen Sicherheitslücken - beheben Fehler und verbessern die Stabilität von Betriebssystemen - Anwendungen und Firmware.
Klingt simpel - ist aber in der Praxis eine der größten Herausforderungen für IT-Abteilungen. Denn in einem typischen KMU mit 50 Arbeitsplätzen laufen Hunderte Softwarekomponenten - die regelmäßig aktualisiert werden müssen: Windows - Office - Browser - PDF-Reader - Branchensoftware - Treiber - Firmware von Switches - Firewalls und Druckern.
Warum Patchmanagement überlebenswichtig ist
Ungepatchte Systeme sind Einfallstor Nr. 1
Laut dem BSI-Lagebericht 2025 werden über 60 % aller erfolgreichen Cyberangriffe über bekannte Schwachstellen durchgeführt - für die bereits ein Patch verfügbar war. Das bedeutet: Die Mehrheit der Angriffe hätte durch rechtzeitiges Patchen verhindert werden können.
Die Zeitbombe: Exploit-Geschwindigkeit
Die Zeit zwischen der Veröffentlichung einer Schwachstelle und dem ersten Exploit wird immer kürzer:
- 2020: Durchschnittlich 42 Tage bis zum ersten Exploit
- 2023: Durchschnittlich 15 Tage
- 2025: Bei kritischen Schwachstellen oft unter 48 Stunden
Das bedeutet: Wenn ein Sicherheitspatch veröffentlicht wird - läuft die Uhr. Jeder Tag ohne Update ist ein Tag - an dem dein Unternehmen verwundbar ist.
Prominente Beispiele: Was passiert - wenn nicht gepatcht wird
WannaCry (2017): Der Ransomware-Wurm infizierte weltweit über 230.000 Systeme in 150 Ländern. Betroffen waren Krankenhäuser - Unternehmen und Behörden. Der ausgenutzte Exploit (EternalBlue) betraf eine Windows-SMB-Schwachstelle - für die Microsoft zwei Monate vorher einen Patch bereitgestellt hatte.
Log4Shell (2021): Eine kritische Schwachstelle in der Java-Bibliothek Log4j betraf Millionen von Anwendungen weltweit. Innerhalb von 48 Stunden nach Bekanntwerden wurden erste Massenangriffe registriert. Unternehmen - die schnell patchten - blieben verschont - andere wurden kompromittiert.
MOVEit (2023): Eine Zero-Day-Schwachstelle in der Dateitransfer-Software MOVEit wurde von der Ransomware-Gruppe Cl0p massenhaft ausgenutzt. Über 2.500 Organisationen weltweit waren betroffen - darunter Banken - Behörden und Versicherungen.
Citrix Bleed (2023/2024): Eine kritische Schwachstelle in Citrix NetScaler ermöglichte Angreifern - Session-Tokens zu stehlen. Wochen nach Veröffentlichung des Patches waren noch tausende Systeme ungepatcht - mit verheerenden Folgen.
Microsoft Exchange ProxyShell/ProxyNotShell: Wiederholte kritische Schwachstellen in Exchange-Servern führten zu massenhaften Kompromittierungen. Viele betroffene Unternehmen hatten die verfügbaren Patches nicht eingespielt.
Was wird gepatcht?
Betriebssysteme
- Windows Server und Windows Client: Monatlicher „Patch Tuesday" (zweiter Dienstag im Monat). Microsoft veröffentlicht regelmäßig 50 bis 100 Patches pro Monat - davon 5 bis 15 als „kritisch" eingestuft.
- Linux-Distributionen: Kernel-Updates - Bibliotheken - Dienste. Bei Debian - Ubuntu - RHEL etc. über die jeweiligen Paketmanager.
- macOS: Unregelmäßige Sicherheitsupdates von Apple.
Anwendungen
- Microsoft 365 / Office: Wird bei Cloud-Versionen automatisch aktualisiert - bei On-Premises-Versionen manuell.
- Browser (Chrome - Edge - Firefox): Häufige Updates - oft wöchentlich. Browser sind eines der häufigsten Angriffsziele.
- PDF-Reader - Java - Flash-Nachfolger: Klassische Einfallstore - die oft vergessen werden.
- Branchensoftware: ERP - CRM - Buchhaltung - hier hinken Updates oft hinterher.
Firmware
- Firewalls (Sophos - Securepoint - FortiGate): Firmware-Updates schließen kritische Sicherheitslücken. Die FortiGate-Schwachstellen 2023/2024 haben gezeigt - wie gefährlich ungepatchte Firewalls sind.
- Switches und Access Points: Werden oft vergessen - können aber als Einstiegspunkt dienen.
- BIOS/UEFI: Server- und Client-Firmware-Updates für CPU-Schwachstellen (Spectre - Meltdown - Downfall).
- Storage-Systeme - USV - Drucker: Auch diese Geräte haben Software - die aktualisiert werden muss.
Der Patchmanagement-Prozess
Schritt 1: Inventarisierung
Du kannst nur patchen - was du kennst. Eine vollständige Inventarisierung aller IT-Assets ist die Grundlage:
- Alle Server - Clients - mobile Geräte
- Installierte Software und Versionen
- Netzwerkgeräte und Firmware-Stände
- Cloud-Dienste und SaaS-Anwendungen
Schritt 2: Schwachstellen-Erkennung
Regelmäßige Schwachstellen-Scans identifizieren - welche Systeme verwundbar sind:
- Automatisierte Vulnerability-Scanner (z. B. Tenable - Qualys - OpenVAS)
- CVE-Datenbanken und Hersteller-Advisories
- CVSS-Score zur Priorisierung (0 bis 10 Skala - ab 7.0 = hoch - ab 9.0 = kritisch)
Schritt 3: Priorisierung
Nicht alle Patches sind gleich dringend. Priorisiere nach:
- CVSS-Score: Kritische Schwachstellen (9.0+) sofort patchen
- Exploit-Verfügbarkeit: Wird die Schwachstelle bereits aktiv ausgenutzt? (Known Exploited Vulnerabilities - KEV-Katalog der CISA)
- Exponierung: Ist das System aus dem Internet erreichbar?
- Geschäftskritikalität: Wie wichtig ist das betroffene System?
Schritt 4: Testen
Patches können Probleme verursachen - insbesondere bei Branchensoftware oder älteren Anwendungen:
- Teste kritische Patches in einer Testumgebung
- Prüfe Kompatibilität mit Branchensoftware
- Erstelle vor dem Patchen ein Backup/Snapshot
Schritt 5: Ausrollen
- Automatisiert über Tools wie Microsoft Intune - WSUS - ManageEngine - NinjaRMM oder Atera
- Gestaffelt: Erst Testgruppe - dann Pilotgruppe - dann alle Systeme
- Zeitgesteuert: Außerhalb der Geschäftszeiten - um Produktivitätsverluste zu minimieren
- Neustarts planen: Viele Patches erfordern einen Neustart - kommuniziere das an die Mitarbeitenden
Schritt 6: Verifizierung und Reporting
- Prüfe - ob der Patch erfolgreich installiert wurde
- Dokumentiere den Patch-Stand aller Systeme
- Erstelle Reports für Compliance-Nachweise (DSGVO - NIS2, ISO 27001)
Patchmanagement und Compliance
NIS2-Richtlinie
Die NIS2-Richtlinie fordert explizit ein systematisches Schwachstellenmanagement. Unternehmen müssen nachweisen - dass sie:
- Sicherheitsupdates zeitnah einspielen
- Einen dokumentierten Prozess für Patchmanagement haben
- Schwachstellen in ihrer Lieferkette bewerten
DSGVO
Artikel 32 der DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Ungepatchte Systeme können als Verstoß gegen diese Pflicht gewertet werden - mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes.
ISO 27001
Die Norm fordert in Anhang A.12.6 ein „Management technischer Schwachstellen". Patchmanagement ist ein zentraler Bestandteil jeder ISO-27001-Zertifizierung.
Häufige Fehler beim Patchmanagement
1. „Läuft doch" - Patches aufschieben
Der gefährlichste Fehler. Jeder Tag ohne Patch ist ein offenes Einfallstor. Besonders kritisch bei Systemen - die aus dem Internet erreichbar sind (VPN - E-Mail - Webserver).
2. Nur Windows patchen - Rest vergessen
Firewalls - Switches - Drucker - NAS-Systeme - IoT-Geräte - all diese Systeme haben Firmware - die aktualisiert werden muss. Die Fortinet-Schwachstellen haben gezeigt - dass ungepatchte Firewalls verheerende Folgen haben können.
3. Kein Testen vor dem Rollout
Ein fehlerhafter Patch kann Branchensoftware lahmlegen. Ohne Testphase riskierst du Produktionsausfälle. Die Balance: schnell patchen - aber vorher testen - automatisierte Testumgebungen helfen.
4. Kein Überblick über die eigene Infrastruktur
Wer nicht weiß - welche Software in welcher Version auf welchem System läuft - kann nicht effektiv patchen. Eine aktuelle CMDB (Configuration Management Database) ist Pflicht.
5. Manuelle Prozesse
In einem Unternehmen mit 50+ Arbeitsplätzen ist manuelles Patchen nicht mehr machbar. Automatisierung ist keine Kür - sondern Pflicht.
Patchmanagement-Tools für KMU
Microsoft Intune / Endpoint Manager
- Cloud-basiert - ideal für Microsoft-365-Umgebungen
- Windows-Updates - Office-Updates - Drittanbieter-Updates (über Add-ons)
- In Microsoft 365 Business Premium enthalten
WSUS (Windows Server Update Services)
- Kostenlos - On-Premises
- Nur Windows- und Microsoft-Produkte
- Keine Drittanbieter-Patches ohne Zusatztools
NinjaRMM / Atera / Datto RMM
- Professionelle RMM-Tools (Remote Monitoring & Management)
- Automatisiertes Patching für Windows - macOS - Linux und Drittanbieter
- Reporting und Compliance-Dashboards
- Werden typischerweise von Managed Service Providern eingesetzt
ManageEngine Patch Manager Plus
- On-Premises oder Cloud
- Breite Drittanbieter-Unterstützung
- Gutes Preis-Leistungs-Verhältnis für KMU
Best Practices: So machst du es richtig
Definiere Patch-Fristen
- Kritische Schwachstellen (CVSS 9.0+ - aktiv ausgenutzt): 24 bis 48 Stunden
- Hohe Schwachstellen (CVSS 7.0 bis 8.9): 7 Tage
- Mittlere Schwachstellen (CVSS 4.0 bis 6.9): 30 Tage
- Niedrige Schwachstellen (CVSS 0 bis 3.9): 90 Tage oder nächster Wartungszyklus
Automatisiere - was möglich ist
- Windows-Updates über Intune oder WSUS automatisch verteilen
- Browser-Updates immer automatisch aktivieren
- Firmware-Updates für Netzwerkgeräte in regelmäßige Wartungsfenster einplanen
Erstelle ein Patch-Dashboard
- Wie viele Systeme sind aktuell?
- Wie viele kritische Patches sind ausstehend?
- Wie lange dauert es durchschnittlich - bis ein Patch eingespielt ist? (Mean Time to Patch - MTTP)
Kommuniziere mit den Mitarbeitenden
- Informiere über geplante Neustarts
- Erkläre - warum Updates wichtig sind
- Mache es einfach: Automatisierte Updates - die den Arbeitsfluss minimal stören
Die Rolle eines Managed Service Providers
Für viele KMU ist professionelles Patchmanagement mit internen Ressourcen kaum zu stemmen. Ein Managed IT Service Provider übernimmt:
- Kontinuierliches Monitoring aller Systeme auf fehlende Patches
- Automatisiertes Ausrollen von Betriebssystem- und Drittanbieter-Updates
- Firmware-Management für Firewalls - Switches und Netzwerkgeräte
- Compliance-Reporting für NIS2, DSGVO und ISO 27001
- Notfall-Patching bei kritischen Zero-Day-Schwachstellen
Fazit
Patchmanagement ist keine glamouröse Aufgabe - aber eine der wirksamsten Maßnahmen zum Schutz deines Unternehmens. Über 60 % aller Cyberangriffe nutzen bekannte - bereits gepatchte Schwachstellen aus. Das bedeutet im Umkehrschluss: Wer konsequent patcht - eliminiert den größten Angriffsvektor.
Die Kombination aus automatisierten Tools - klaren Prozessen und definierten Fristen macht Patchmanagement beherrschbar - auch für KMU ohne große IT-Abteilung. Und wenn die internen Ressourcen nicht reichen - ist ein erfahrener Managed Service Provider die sinnvollste Investition.
Du möchtest dein Patchmanagement professionalisieren oder wissen - wie aktuell deine Systeme wirklich sind? Wir führen gerne eine kostenlose Bestandsaufnahme durch. Kontaktiere uns für ein unverbindliches Gespräch.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
IT-Sicherheit im Mittelstand: Warum KMU besonders gefährdet sind
Kleine und mittlere Unternehmen sind das Hauptziel von Cyberangriffen. Wir erklären warum, und was du dagegen tun kannst.
Veeam Backup erklärt: Datensicherung für Unternehmen
Veeam ist der Marktführer für Backup und Recovery. Wir erklären Funktionen, Editionen, Lizenzmodelle und Best Practices, alles, was du für eine sichere Datensicherung wissen musst.
SentinelOne® XDR erklärt: Next-Gen Endpoint Security für Unternehmen
SentinelOne® ist eine KI-gestützte Sicherheitsplattform, die Cyberangriffe in Echtzeit erkennt und automatisch stoppt. Wir erklären, was XDR ist, wie SentinelOne® funktioniert und warum klassische Antivirenlösungen nicht mehr ausreichen.