Patch Management: Warum es die wichtigste Sicherheitsmaßnahme ist

By /

Im Mai 2017 legte die WannaCry-Ransomware weltweit über 200.000 Computer lahm — darunter britische Krankenhäuser, deutsche Bahnanzeigen und Produktionsanlagen. Die Schwachstelle, die der Angriff nutzte, war Microsoft bereits zwei Monate vorher gepatcht worden. Unternehmen, die das Update eingespielt hatten, blieben verschont. Die anderen nicht. Patch Management ist nicht sexy — aber es ist die wichtigste Sicherheitsmaßnahme überhaupt.

Was ist Patch Management?

Patch Management ist der Prozess, Software-Updates systematisch zu identifizieren, zu testen und auszurollen. Es umfasst Betriebssysteme (Windows, macOS, Linux), Anwendungen (Office, Browser, Branchensoftware), Firmware (Router, Drucker, IoT-Geräte) und Server-Dienste (Datenbanken, Webserver, Exchange).

Ohne strukturiertes Patch Management wird Ihre IT-Infrastruktur zur tickenden Zeitbombe. Jede ungepatchte Schwachstelle ist ein offenes Einfallstor — und Angreifer kennen die veröffentlichten CVEs genauso gut wie Sie.

Warum ist Patch Management so kritisch?

  • Exploits binnen 24 Stunden — Sobald ein CVE veröffentlicht wird, beginnen Angreifer innerhalb eines Tages mit Exploits.
  • Ransomware-Einfallstore — 60% aller erfolgreichen Ransomware-Angriffe nutzen Schwachstellen, für die Patches verfügbar waren.
  • Compliance-Pflicht — DSGVO, NIS2 und Cyberversicherungen verlangen aktuelle Patch-Stände als Grundschutz.
  • Zero-Day-Angriffe — Auch wenn ein Patch noch nicht existiert: strukturiertes Patch Management sorgt dafür, dass Sie ihn sofort einspielen, wenn er verfügbar wird.
Patch Management Sicherheitsupdates

Die 4 Arten von Patches

  • Security Patches — Schließen Sicherheitslücken. Höchste Priorität, sollten innerhalb von Tagen eingespielt werden.
  • Bug Fixes — Beheben Programmfehler, die keine Sicherheitsrelevanz haben. Mittlere Priorität.
  • Feature Updates — Neue Funktionen oder UI-Änderungen. Können getestet und geplant eingeführt werden.
  • Firmware Updates — Für Hardware wie Router, NAS, Drucker. Werden oft vergessen, sind aber kritisch.

Warum Unternehmen beim Patching versagen

Die häufigste Ausrede: „Updates brechen uns die Systeme.“ Diese Angst ist nicht unbegründet — aber sie ist meist das Symptom fehlender Prozesse, nicht ein Argument gegen Patches. Typische Probleme:

  • Kein Inventar: Niemand weiß genau, welche Systeme und Versionen im Einsatz sind.
  • Manueller Aufwand: Jedes System wird einzeln gepatcht, ohne Automatisierung.
  • Keine Test-Umgebung: Patches werden direkt in Produktion eingespielt — entweder zu hastig oder aus Angst gar nicht.
  • Fehlende Priorisierung: Alle Patches werden gleich behandelt, statt kritische zuerst zu behandeln.
  • Keine Verantwortlichkeit: Niemand ist explizit für Patch Management zuständig.

Patch Management richtig machen

Strukturiertes Patch Management beginnt mit einem vollständigen Inventar aller Systeme. Jeder Server, jeder Client, jedes Netzwerkgerät — mit Hersteller, Version und aktuellem Patch-Level. Ohne dieses Inventar sind alle weiteren Schritte Rätselraten.

Darauf folgt die Priorisierung. Der CVSS-Score (Common Vulnerability Scoring System) bewertet Schwachstellen auf einer Skala von 0 bis 10. Alles über 7 ist kritisch und muss schnell behandelt werden. Schwachstellen mit öffentlich verfügbaren Exploits werden bevorzugt gepatcht, auch wenn ihr CVSS-Score niedriger ist.

Automatisierte Deployment-Tools wie NinjaOne oder WSUS übernehmen das eigentliche Ausrollen. Ein Test-Staging-Prozess sorgt dafür, dass Patches vor dem produktiven Rollout in einer Testumgebung validiert werden — zumindest bei kritischen Systemen. Für Arbeitsplätze ist meist ein zeitlich versetzter Rollout (erst IT-Team, dann Power-User, dann alle) ausreichend.

Patch Management Tools

Patch Management mit Enginsight und NinjaOne

Bei epta kombinieren wir zwei Tools für das optimale Patch Management. Enginsight scannt Ihre Infrastruktur kontinuierlich auf bekannte Schwachstellen — der CVE-Scanner erkennt ungepatchte Systeme automatisch und priorisiert sie nach Schweregrad. NinjaOne ist unser RMM-Tool für das Deployment — es verteilt die Patches kontrolliert, überwacht den Erfolg und startet Systeme bei Bedarf neu.

Zusammen entsteht ein geschlossener Kreislauf: Enginsight findet Lücken, NinjaOne schließt sie, Enginsight verifiziert den Erfolg. Dieser Prozess läuft größtenteils automatisiert — wir greifen nur ein, wenn es Auffälligkeiten gibt.

Best Practices für KMU

  • Monatlicher Patch-Tag — Fester Termin für Standard-Patches, inklusive kurzer Kommunikation an Mitarbeiter.
  • Kritische Patches sofort — Zero-Day-Schwachstellen werden außer der Reihe behandelt, innerhalb von 24-48 Stunden.
  • Inventar aktuell halten — Jedes neue System wird ins Inventar aufgenommen, bevor es produktiv geht.
  • Ausnahmen dokumentieren — Systeme, die aus triftigen Gründen nicht gepatcht werden können, müssen dokumentiert und kompensiert werden (z.B. durch Netzwerk-Isolation).
  • Regelmäßige Reviews — Monatlich Patch-Report erstellen: Was wurde gepatcht, was offen, warum?
Patch Management einrichten lassen

Fazit

Patch Management ist nicht glamourös, aber es ist fundamental. Wer die Grundlagen nicht beherrscht, braucht sich über keine Next-Gen-Firewall zu unterhalten. Die gute Nachricht: Mit den richtigen Tools und Prozessen wird Patch Management zur Routineaufgabe, nicht zur Belastung. Wir sehen das jeden Tag bei unseren Kunden — wer einmal strukturiertes Patch Management hat, will nie wieder ohne.

Weiterführende Leistungen:Managed IT Services · Cyber Security · IT-Sicherheit · Penetrationstest

Was ist ein Patch? Begriff und Bedeutung

Ein Patch ist eine kleine Software-Aktualisierung, die einen Fehler behebt, eine Sicherheits­lücke schließt oder eine Funktion ergänzt — ohne das Programm komplett neu zu installieren. Der Begriff stammt aus dem Englischen (to patch = flicken) und bezieht sich auf die Anfänge der Computertechnik, als fehlerhafte Lochkarten mit Papierstücken „geflickt“ wurden. Heute meint „patchen“ jedes Einspielen solcher Updates.

Bedeutung im Firmen­umfeld: Jedes Betriebssystem, jede Anwendung und sogar Geräte-Firmware bekommen regelmäßig Patches. Microsoft liefert zum Beispiel am zweiten Dienstag jeden Monats Sicherheits-Patches („Patch Tuesday“). Werden diese Patches nicht zeitnah eingespielt, entstehen Sicherheits­lücken, die Angreifer aktiv ausnutzen — 60 % aller Ransomware-Angriffe laufen über Schwachstellen, für die längst ein Patch existiert.

Was ist Managed Patching?

Managed Patching bedeutet: ein externer IT-Dienstleister übernimmt die komplette Patch-Strategie für Ihr Unternehmen — von der Beobachtung neuer Updates über Test-Einspielung und Roll-out bis zur Dokumentation. Sie müssen weder selbst entscheiden, welcher Patch wann kommt, noch die Einspielung technisch durchführen.

Vorteile gegenüber interner Durchführung: erstens ist die Reaktions­zeit deutlich schneller — kritische Patches werden meist innerhalb von 24–72 Stunden eingespielt. Zweitens entfällt das Risiko, einen Patch zu vergessen oder falsch zu priorisieren. Drittens laufen alle Systeme über ein zentrales Patch-Management-Tool (bei epta: NinjaOne), sodass jederzeit ein vollständiger Compliance-Nachweis möglich ist — wichtig für NIS2, ISO 27001 und Cyber­versicherungen.

Patch Management Software im Überblick

Für kleine und mittlere Unternehmen haben sich mehrere Tools etabliert. Microsoft Intune ist Teil von Microsoft 365 Business Premium und deckt Windows-Clients, Server, iOS und Android ab. NinjaOne ist eine Cloud-RMM-Plattform, die Patch-Management für Windows, macOS, Linux und über 200 Drittanbieter-Apps automatisiert. ManageEngine Patch Manager Plus, WSUS und Ivanti runden das Feld ab.

Bei epta setzen wir NinjaOne als zentrale Patch-Plattform ein — kombiniert mit Enginsight für die Schwachstellen-Analyse. Diese Kombination ermöglicht einerseits eine zentrale Steuerung über alle Kunden­umgebungen hinweg, andererseits einen belastbaren Nachweis der tatsächlich gepatchten Systeme samt CVSS-Bewertung.

FAQ zum Patch Management

Was ist ein Patch auf dem Computer?

Ein Patch ist eine kleine Software-Aktualisierung, die einen Fehler behebt oder eine Sicherheits­lücke schließt — ohne das Programm neu installieren zu müssen. Betriebssystem-Patches werden automatisch eingespielt, Patches für Fach­anwendungen erfordern meist eine bewusste Aktion.

Was bedeutet „patchen“?

„Patchen“ ist der Vorgang, einen Patch einzuspielen. Im deutschen IT-Alltag gleichbedeutend mit „Updates installieren“ — gemeint sind aber meist sicher­heits­relevante Updates, nicht nur Funktionszuwächse.

Wie oft sollte gepatcht werden?

Kritische Sicherheits-Patches: innerhalb von 72 Stunden. Normale Updates: monatlich in einem festen Wartungsfenster. Firmware-Updates für Netzwerk­geräte: nach Herstellerfreigabe und meist quartalsweise. Wichtig ist ein fester Rhythmus — unregelmäßiges Patchen ist gefährlicher als gezielt verzögertes.

Was kostet Managed Patching für ein KMU?

Üblich sind 5–15 € pro verwaltetem Gerät und Monat — je nach Gerätetyp (Client vs. Server), Abdeckung (nur OS vs. OS + Anwendungen) und Reaktions­zeit-SLA. Bei epta gehört Patching zur Managed-Service-Pauschale ab 49 €/User/Monat dazu.

Gibt es Patch-Management-Software kostenlos?

Für Windows-Umgebungen: WSUS (Microsoft) kostenlos, aber manuelle Konfiguration. Für kleine Umgebungen: Windows Update for Business. Für Mischumgebungen oder professionellen Einsatz führt an kommerziellen Lösungen wie NinjaOne oder Intune kein Weg vorbei.

Scroll to Top