Patch Management

Eine ungepatchte Sicherheitslücke hat ausgereicht, um 2017 mit WannaCry hunderttausende Systeme weltweit lahmzulegen. Der Patch existierte seit Wochen — nur eingespielt hatte ihn kaum jemand. Patch Management entscheidet darüber, ob Sicherheitslücken geschlossen werden, bevor Angreifer sie ausnutzen. Systematisches Patchmanagement schützt nicht nur die eigene IT-Infrastruktur, sondern erfüllt auch regulatorische Anforderungen von DSGVO bis NIS-2. Dieser Leitfaden zeigt den Prozess, die Best Practices und den Mehrwert professioneller Patch-Management-Dienstleistungen.

1. Was ist Patch Management?
2. Der Patch-Management-Prozess in fünf Schritten
3. Patch Management und Compliance
4. Patch Management als Dienstleistung

Was ist Patch Management?

Patch Management bezeichnet den systematischen Prozess, mit dem Sicherheitsupdates und Fehlerkorrekturen für Software identifiziert, bewertet, getestet und auf Produktivsystemen eingespielt werden. Das Ziel: Sicherheitslücken schließen, Fehler beheben und die Stabilität von Anwendungen gewährleisten. Die Dimension des Problems ist erheblich: Laut einer Ponemon-Institute-Studie hätten 57 Prozent der von Cyberangriffen betroffenen Unternehmen den Vorfall durch ein verfügbares Patch verhindern können. Die durchschnittliche Zeit bis zum Einspielen eines Patches liegt branchenübergreifend bei über 100 Tagen – ein Zeitfenster, das Angreifer systematisch ausnutzen.

Der Begriff „Patch” (englisch für Flicken) kommt aus einer Zeit, in der fehlerhafte Stellen in Lochkarten physisch überklebt wurden. Heute bezeichnet ein Patch ein Softwareupdate, das gezielt ein bestimmtes Problem behebt – im Unterschied zu einem vollständigen Release mit neuen Funktionen. Wie Patch Management in den größeren Kontext von ITSM-Prozessen eingebettet ist, zeigt der Leitfaden zum IT-Service-Management.

Welche Patch-Typen gibt es?

Nicht jeder Patch ist gleich. Die Unterscheidung nach Typ bestimmt die Priorität und den Rollout-Prozess im Update Management:

Sicherheitspatches: Schließen bekannte Schwachstellen. Höchste Priorität – kritische Patches mit CVSS-Score ab 9.0 sollten innerhalb von 24 bis 72 Stunden eingespielt werden
Bugfix-Patches: Beheben funktionale Fehler ohne unmittelbares Sicherheitsrisiko – etwa Berechnungsfehler, Darstellungsprobleme oder Speicherlecks
Hotfixes: Dringende Patches außerhalb des regulären Update-Zyklus als Reaktion auf kritische Produktionsfehler mit verkürztem Testprozess
Feature-Patches: Fügen neue Funktionalität hinzu oder erweitern bestehende. In der Regel weniger dringend, planbar im normalen Release-Zyklus

Erreicht eine Software ihr End of Life, stellt der Hersteller keine Patches mehr bereit. Das Risiko ungepatchter Schwachstellen steigt dann exponentiell. Wie ein professioneller Second-Level-Support bei der Bewertung und Priorisierung von Patches unterstützt, hängt vom individuellen Wartungsmodell ab.

Der Patch-Management-Prozess in fünf Schritten

Ein strukturierter Patch-Management-Prozess folgt im ITIL-Rahmenwerk fünf aufeinander aufbauenden Phasen. ITIL ordnet das Patch Management in das Release und Deployment Management ein und fordert nachvollziehbare Freigabeprozesse für jede Änderung an Produktivsystemen. Jede Phase hat eine klare Funktion – vom Erkennen einer Schwachstelle bis zur Verifizierung des eingespielten Patches. Wie hoch die Kosten eines IT-Dienstleisters dabei ausfallen, hängt vom Umfang und der Komplexität der betreuten Systeme ab. Konzerne mit verteilten Standorten und heterogenen Systemlandschaften stoßen dabei an die Grenzen standardisierter Abläufe. Welche Governance-Strukturen und Werkzeuge im Konzernumfeld greifen, zeigt der Praxisleitfaden zum Enterprise Patch Management.

Patch Management Best Practices: Identifikation und Bewertung

Welche Patches sind verfügbar? Bei Standardsoftware informiert der Hersteller über neue Updates. Bei Individualsoftware müssen die Abhängigkeiten – Frameworks, Libraries, Laufzeitumgebungen – aktiv überwacht werden. Tools wie Dependabot, Snyk oder npm audit scannen die Abhängigkeiten automatisch und melden bekannte Schwachstellen.

Die Priorisierung richtet sich nach der Schwere der Schwachstelle (CVSS-Score), der Erreichbarkeit des betroffenen Systems und der Auswirkung auf den Geschäftsbetrieb. Ein Sicherheitspatch für eine öffentlich erreichbare Web-Applikation hat eine andere Dringlichkeit als ein Bugfix für ein internes Reporting-Tool. Wie eine belastbare Patch-Management-Strategie diese Priorisierung in ein durchgängiges Regelwerk überführt, zeigt der vertiefende Leitfaden.

Test, Rollout und Verifizierung

Vor dem Rollout wird der Patch in einer Staging-Umgebung getestet. Bei Individualsoftware ist dieser Schritt besonders wichtig, weil kein Hersteller die Kompatibilität mit der eigenen Codebasis garantiert. Automatisierte Tests verkürzen diese Phase erheblich. Der Rollout selbst folgt einem klaren Ablauf:

Definiertes Wartungsfenster mit vorheriger Benachrichtigung der Nutzer
Dokumentation: Was wurde wann von wem eingespielt
Monitoring der Performance-Indikatoren in den ersten Stunden nach dem Update
Rollback-Plan für den Fall unerwarteter Auswirkungen
Abschlussbericht mit Ergebnis der Verifizierung

Wer Softwarewartung outsourcen möchte, übergibt diesen gesamten Prozess an einen spezialisierten Dienstleister. Das entlastet interne Teams und stellt sicher, dass kein Sicherheitsupdate übersehen wird.

Patch Management und Compliance

Systematisches Patchmanagement ist nicht nur technisch sinnvoll, sondern in vielen Fällen rechtlich verpflichtend. Die wichtigsten regulatorischen Rahmenwerke stellen klare Anforderungen an das Update Management in Unternehmen und Behörden:

👉 DSGVO (Art. 32): Geeignete technische Maßnahmen zum Schutz personenbezogener Daten – ein funktionierender Patch-Management-Prozess ist im Fall einer Datenschutzverletzung ein starkes Argument
👉 BSI-Grundschutz (OPS.1.1.3): Dokumentiertes Patch- und Änderungsmanagement ist für KRITIS-Betreiber und Behörden Pflicht — der Praxisleitfaden zum Patch Deployment in KRITIS-Systemen beschreibt die besonderen Anforderungen
👉 NIS-2: Betroffene Unternehmen müssen nachweisen, dass Sicherheitsupdates systematisch erfasst und zeitnah eingespielt werden
👉 ITIL Patch Management: Der ITIL-Prozess ordnet das Patch Management in das Release und Deployment Management ein und fordert nachvollziehbare Freigabeprozesse

Grundlagen zur Softwarewartung und den dahinterliegenden Prozessen bilden die Basis für ein compliance-konformes Patch Management. Wer die Anforderungen des BSI-Grundschutzes vertiefen möchte, findet im Baustein OPS.1.1.3 die konkreten Vorgaben.

Patch Management Best Practices für Compliance-Nachweise

Für den Nachweis gegenüber Aufsichtsbehörden und Auditoren kommt es auf lückenlose Dokumentation an. Jeder Patch-Zyklus sollte protokolliert werden: Zeitpunkt der Verfügbarkeit, Bewertung, Testfreigabe, Rollout-Datum und Ergebnis der Verifizierung. Automatisierte Patch-Management-Systeme erstellen diese Protokolle fortlaufend. Gerade im Kontext von Patch Management DSGVO-Anforderungen empfiehlt sich eine revisionssichere Ablage, die im Ernstfall als Entlastungsnachweis dient.

Patch Management als Dienstleistung

Viele Unternehmen – insbesondere KMU ohne eigene IT-Sicherheitsabteilung – haben weder die Kapazität noch die Werkzeuge, um ein systematisches Patch Management selbst zu betreiben. Die Abhängigkeiten der eigenen Individualsoftware zu überwachen, Patches zu bewerten, zu testen und einzuspielen, erfordert kontinuierliche Aufmerksamkeit und technisches Know-how. Auch Behörden stehen vor dieser Herausforderung: Fehlende Fachkräfte und komplexe Freigabeprozesse verzögern das Einspielen von Sicherheitsupdates oft über Wochen. Genau hier liegt der Wert eines professionellen Patch-Management-Dienstleisters.

Warum Unternehmen das Patch Management auslagern

Der Unterschied zu einem reinen Tool-Kauf ist grundlegend: Ein Schwachstellenscanner zeigt an, welche Patches fehlen. Ein Wartungsdienstleister spielt sie ein, testet die Anwendung und übernimmt die Verantwortung für die Stabilität. Das eine ist Diagnostik, das andere ist Behandlung.

Im Rahmen eines professionellen Wartungs- und Support-Service wird das Patch Management zum integralen Bestandteil der laufenden Betreuung. Sicherheitsupdates werden systematisch erfasst, bewertet und nach Freigabe eingespielt – ohne dass der Auftraggeber jeden Patch einzeln beauftragen muss.

Für Unternehmen und Behörden, die Individualsoftware betreiben, ist ein externer Patch-Management-Dienstleister oft die wirtschaftlichste und sicherste Lösung. Die Verantwortung für Sicherheitspatches, Bugfixes und Kompatibilitätsupdates liegt dann bei einem spezialisierten Team, das die Systeme rund um die Uhr im Blick hat.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

FAQs

Was ist der Unterschied zwischen einem Update und einem Patch?

Ein Update ist ein umfassendes Softwarepaket, das neue Funktionen, Verbesserungen und Fehlerbehebungen enthält. Es verändert den Funktionsumfang einer Anwendung und wird in regelmäßigen Release-Zyklen veröffentlicht. Ein Patch hingegen ist eine gezielte Korrektur für ein spezifisches Problem, meist eine Sicherheitslücke oder einen einzelnen Fehler. Patches sind deutlich kleiner als Updates und werden oft außerhalb des geplanten Release-Zyklus bereitgestellt. In der Praxis verschwimmen die Grenzen, weil manche Hersteller mehrere Patches zu einem kumulativen Update bündeln. Für die Priorisierung im Wartungsprozess bleibt die Unterscheidung dennoch wichtig, weil Sicherheitspatches eine höhere Dringlichkeit haben als Feature-Updates.

Wie häufig sollte Patch Management durchgeführt werden?

Die Frequenz hängt vom Patch-Typ und vom Risikoprofil der Organisation ab. Sicherheitspatches mit kritischem CVSS-Score sollten innerhalb von 24 bis 72 Stunden nach Veröffentlichung eingespielt werden. Für weniger dringende Bugfix-Patches empfiehlt sich ein monatlicher Zyklus, der sich an den Release-Rhythmen der Hersteller orientiert. Viele Organisationen nutzen dafür feste Wartungsfenster, etwa am zweiten Dienstag im Monat analog zum Microsoft Patch Tuesday. Entscheidend ist, dass die Bewertung neuer Patches kontinuierlich erfolgt und nicht nur zu festen Terminen. Automatisierte Überwachungstools erkennen neue Schwachstellen in Echtzeit und verkürzen die Reaktionszeit erheblich.

Was ist ein Beispiel für einen Software-Patch?

Ein bekanntes Beispiel ist der Sicherheitspatch MS17-010, den Microsoft im März 2017 für eine kritische Schwachstelle in Windows veröffentlichte. Die Lücke im SMB-Protokoll ermöglichte die Ausführung von Schadcode über das Netzwerk. Nur zwei Monate später nutzte die Ransomware WannaCry genau diese Schwachstelle aus und legte weltweit hunderttausende Systeme lahm. Betroffen waren Organisationen, die den verfügbaren Patch nicht eingespielt hatten. Dieses Beispiel zeigt, warum die zeitnahe Bewertung und Installation von Sicherheitspatches geschäftskritisch ist. Der Patch war verfügbar und die Bedrohung bekannt. Was fehlte, war ein funktionierender Prozess.

Was passiert, wenn Sicherheitspatches nicht rechtzeitig eingespielt werden?

Ungepatchte Systeme sind das häufigste Einfallstor fuer Cyberangriffe. Die Folgen reichen von Datenverlust und Betriebsunterbrechungen bis zu Bussgeldern nach DSGVO und persönlicher Haftung der Geschäftsführung. Ein strukturiertes Patch Management minimiert diese Risiken systematisch.