Bewährte Verfahren für das Patch-Management: So entwickeln Sie ein Programm, das wirklich funktioniert

Laut dem „Kaseya State of the MSP 2026“ bieten 69 % der MSPs Patch- und Update-Management als Dienstleistung an, was diese zu einer der am häufigsten angebotenen Funktionen im Bereich managed services zu einer der wichtigsten für die Sicherheit der Kundenumgebungen macht.

Patch-Management ist der Prozess der Identifizierung, Beschaffung, Prüfung und Installation von Software-Updates in der gesamten IT-Umgebung eines Unternehmens. Diese Updates, die von Softwareanbietern zur Behebung von Sicherheitslücken, zur Korrektur von Funktionsfehlern und zur Verbesserung der Stabilität herausgegeben werden, sind das wichtigste Mittel, um bekannte Angriffsflächen zu schließen. Ohne ein konsequentes Patch-Management-Programm häufen sich Sicherheitslücken schneller an, als sie behoben werden können.

Die meisten IT-Teams führen Patches durch. Nur sehr wenige tun dies jedoch konsequent, schnell und umfassend genug, um die Schwachstellen zu schließen, die Angreifer tatsächlich ausnutzen. Die Lücke zwischen dem bloßen Vorhandensein eines Patch-Management-Prozesses und einem wirksamen solchen ist der Ort, an dem die meisten vermeidbaren Sicherheitsverletzungen auftreten.

Die Daten zu diesem Punkt zeigen über Jahre hinweg ein einheitliches Bild: Nicht behobene Sicherheitslücken gehören nach wie vor zu den Hauptursachen für erfolgreiche Cyberangriffe. Viele der schwerwiegendsten Ransomware- und Datenpannen der letzten Jahre nutzten Sicherheitslücken aus, für die bereits seit Monaten Patches verfügbar waren. Das Problem liegt selten in der Verfügbarkeit von Patches. Vielmehr geht es um die Geschwindigkeit, die Konsequenz und die Vollständigkeit, mit der diese angewendet werden.

In diesem Leitfaden wird erläutert, wie man ein Patch-Management-Programm entwickelt, das die Lücken im derzeitigen Ansatz der meisten Unternehmen schließt.

Warum Patch Management in der Praxis Patch Management

Bei Problemen mit der Patch-Verwaltung geht es fast nie darum, dass man sich der Bedeutung von Patches nicht bewusst ist. Vielmehr geht es um operative Reibungsverluste, Lücken im Anwendungsbereich und Fehler bei der Priorisierung.

Lücken im Anwendungsbereich sind am gefährlichsten. Patches, die zwar Windows-Betriebssystem-Updates abdecken, aber Browser-Patches, Updates von Drittanbieteranwendungen und Firmware außer Acht lassen, lassen eine erhebliche Angriffsfläche ungeschützt. Die Ausnutzung einer vier Jahre alten Microsoft-Office-Sicherheitslücke im Jahr 2021 ist ein deutliches Beispiel dafür: Ein seit 2017 verfügbarer Patch, der von den meisten Unternehmen auf ihrem Betriebssystem installiert wurde, bei Drittanbieteranwendungen jedoch nicht berücksichtigt wurde.

Geschwindigkeitsdefizite treten auf, wenn der Prozess von der Veröffentlichung eines Patches bis zu dessen Installation Wochen statt Tage dauert. Angreifer reagieren schnell, sobald eine Sicherheitslücke bekannt wird: Bei Schwachstellen mit hohem Schweregrad tauchen Exploit-Tools bereits innerhalb von Stunden oder Tagen auf. Ein 30-tägiger Patch-Zyklus, der vor fünf Jahren noch als angemessen galt, reicht angesichts des heutigen Tempos bei der Entwicklung von Exploits nicht mehr aus.

Eine Priorisierung ohne Daten führt dazu, dass Teams Patches in der Reihenfolge der Veröffentlichung und nicht nach dem Risiko installieren, sodass Probleme mit geringer Schwere auf stabilen Systemen behoben werden, während kritische Schwachstellen auf mit dem Internet verbundenen Systemen unbeachtet bleiben.

Manuelle Prozesse können bei großem Umfang einfach nicht mithalten. Die manuelle Verwaltung von Patches über Hunderte oder Tausende von Endgeräten ist von Natur aus fehleranfällig und stößt schnell an Kapazitätsgrenzen. Automatisierung ist bei jedem nennenswerten Umfang kein bloßes „Nice-to-have“. Sie ist der einzig gangbare Weg.

Was ein effektives Patch Management umfasst

Ein umfassendes Programm deckt alle Softwarekategorien ab, nicht nur Betriebssystem-Updates.

Betriebssysteme – Windows, macOS und Linux, einschließlich aller in der Umgebung verwendeten Versionen, mit regelmäßigen, an den Release-Terminen ausgerichteten Update-Zyklen.

Anwendungen von Drittanbietern – Browser (Chrome, Firefox, Edge), Office-Suiten (Microsoft 365, Adobe), Kommunikationsprogramme (Teams, Slack, Zoom) und alle anderen weit verbreiteten Anwendungen. Sicherheitslücken in Anwendungen von Drittanbietern gehören durchweg zu den am häufigsten ausgenutzten, da sie weniger Aufmerksamkeit erregen als Betriebssystem-Patches und daher attraktive Angriffsziele darstellen.

Insbesondere Browser – Browser sind besonders gefährdete Ziele, da sie direkt mit nicht vertrauenswürdigen Internetinhalten in Kontakt kommen. Browser-Anbieter veröffentlichen regelmäßig Sicherheitspatches. Diese sollten mit derselben Dringlichkeit installiert werden wie Betriebssystem-Patches.

Firmware – Hardware-Firmware (BIOS/UEFI, Firmware von Netzwerkgeräten, Speichercontroller) wird bei Patch-Programmen oft gänzlich außer Acht gelassen. Schwachstellen in der Firmware lassen sich zwar schwerer ausnutzen, sind jedoch nach einer Kompromittierung oft sehr schwer zu erkennen und zu beheben.

Remote- und netzwerkfremde Geräte – Remote-Geräte und Geräte für die Arbeit im Homeoffice benötigen denselben Patch-Schutz wie Geräte im Büro. Ein RMM mit der Fähigkeit, Patches auch auf netzwerkfremden Geräten zu installieren, sobald diese eine Verbindung zum Internet herstellen – unabhängig davon, ob sie sich im Unternehmensnetzwerk befinden oder nicht –, ist für hybride Umgebungen unverzichtbar.

Cloud-Infrastruktur – Cloud-Instanzen und Container müssen ebenso dringend gepatcht werden wie lokale Systeme, doch die Prozesse unterscheiden sich oft. Das Patch-Management in der Cloud erfordert eine klare Prozessdefinition und darf nicht einfach davon ausgehen, dass der Cloud-Anbieter dies übernimmt.

Priorisierung von Patches: Wie man entscheidet, was zuerst behoben wird

Nicht alle Patches sind gleich dringlich. Wenn die Ressourcen begrenzt sind, sollte die Priorisierung auf dem Risiko basieren, nicht auf dem Veröffentlichungsdatum.

Die zuverlässigsten Rahmenwerke zur Priorisierung kombinieren zwei Dimensionen: den Schweregrad der Sicherheitslücke (CVSS-Wert, wobei die Stufen „kritisch“ und „hoch“ Vorrang haben) und die Ausnutzbarkeit (gibt es einen bekannten Exploit in freier Wildbahn? Wird er aktiv genutzt?). Der Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA ist die maßgeblichste öffentliche Quelle für Letzteres. Er listet Sicherheitslücken auf, die derzeit aktiv ausgenutzt werden und die unabhängig vom CVSS-Wert als Notfall-Patches behandelt werden sollten.

Die Kritikalität der Ressourcen fügt eine dritte Dimension hinzu. Eine Schwachstelle mittlerer Schwere auf einem Server mit Internetanbindung oder einem Domänencontroller hat eine höhere Priorität als eine Schwachstelle hoher Schwere auf einer isolierten Entwicklungs-Workstation.

Ein praktisches Rahmenwerk zur Priorisierung:

1. CISA-KEV-Einträge – innerhalb von 24 Stunden patchen, unabhängig vom CVSS-Wert

2. Kritische Sicherheitslücken auf Systemen mit Internetanbindung oder mit hohen Berechtigungen – innerhalb von 24 bis 72 Stunden beheben

3. Schwachstellen mit hohem Schweregrad auf Standard-Endgeräten – innerhalb von 7 Tagen beheben

4. Schwachstellen mittlerer Schwere – innerhalb von 30 Tagen beheben

5. Schwachstellen mit geringem Schweregrad – in die regelmäßigen Wartungszyklen einbeziehen

Automatisierung: Der einzige Weg, Patches in großem Maßstab zu installieren

Eine manuelle Patch-Verwaltung ist bei einer nennenswerten Anzahl von Endgeräten kein tragfähiger Ansatz. Das Volumen der in allen Softwarekategorien veröffentlichten Patches, die Häufigkeit kritischer Sicherheitsupdates und das Tempo, mit dem neue Exploits entwickelt werden, erfordern eine automatisierte, richtliniengesteuerte Patch-Bereitstellung.

Zu einem effektiven automatisierten Patch-Management gehören:

Kontinuierliche Überprüfung, die fehlende Patches auf allen verwalteten Endgeräten identifiziert und in Echtzeit anhand der Patch-Kataloge der Anbieter aktualisiert wird.

Eine richtlinienbasierte Bereitstellung, die genehmigte Patches automatisch gemäß festgelegten Zeitplänen, nach Schweregrad abgestimmten Zeitpunkten, Wartungsfenstern und Richtlinien für die schrittweise Einführung anwendet, wodurch der Auswirkungsbereich begrenzt wird, falls ein Patch zu Kompatibilitätsproblemen mit Anwendungen führt.

Genehmigungsworkflows für Patches, die einer Überprüfung bedürfen – typischerweise größere Versions-Upgrades oder Patches, die kritische Anwendungen betreffen –, während Standard-Sicherheitspatches automatisch und ohne manuelle Eingriffe in jedem Schritt bereitgestellt werden können.

Testumgebungen für risikoreiche Patches, die eine Validierung anhand einer repräsentativen Auswahl von Endgeräten vor der flächendeckenden Bereitstellung ermöglichen.

Compliance-Berichte, die den Patch-Status in der gesamten Umgebung nach Schweregrad, Alter und Asset-Gruppe aufschlüsseln und Managern so einen Überblick über aktuelle Sicherheitsrisiken sowie Nachweise für Audit- und Compliance-Anforderungen liefern.

Kaseya VSA bietet automatisiertes Patch-Management für Endgeräte unter Windows, macOS und Linux, einschließlich der Aktualisierung von Anwendungen von Drittanbietern, mit konfigurierbaren Richtlinien für den Zeitpunkt der Bereitstellung, Genehmigungsworkflows und Compliance-Berichte. Geräte, die sich nicht im Netzwerk befinden, werden aktualisiert, sobald sie eine Verbindung zum Internet herstellen, unabhängig davon, ob sie sich im Unternehmensnetzwerk befinden. Fordern Sie eine Demo an, um zu sehen, wie es funktioniert.

Kaseya Intelligence: Automatische Patch-Installation

Die Automatisierung übernimmt die Planung und Bereitstellung von Patches. Was sie jedoch nicht eigenständig leisten kann, ist, den gesamten Prozess abzuschließen: die Schwachstelle zu erkennen, ihr Risiko in Bezug auf die jeweilige Umgebung zu bewerten, den Patch zu installieren und zu überprüfen, ob der Patch korrekt angewendet wurde und keine nachgelagerten Systeme beeinträchtigt hat.

Kaseya Intelligence, die KI-Engine, die die Kaseya 365 antreibt, hebt das Patch-Management von der automatisierten Planung auf die autonome Ausführung und Validierung. Auf der Grundlage von Daten aus 17 Millionen verwalteten Endgeräten und mehr als einer Milliarde realer Helpdesk-Tickets berücksichtigt sie Kontextfaktoren, die bei einer generischen Automatisierung nicht berücksichtigt werden können: welche Systeme tatsächlich kritisch sind, welche Patches in der Vergangenheit in ähnlichen Umgebungen Kompatibilitätsprobleme verursacht haben und welche noch nicht behobenen Schwachstellen derzeit das größte tatsächliche Risiko darstellen.

Für MSPs, die die Patch-Verwaltung in Dutzenden oder Hunderten von Kundenumgebungen übernehmen, ist genau dieser Kontext entscheidend dafür, ob ein Patch-Programm lediglich funktioniert oder ob es skalierbar ist, ohne dass die Anzahl der Support-Anfragen proportional ansteigt. Entdecken Sie Kaseya Intelligence.

Patch Management MSPs: Einheitlichkeit über alle Kundenumgebungen hinweg

Für MSPs erfüllt das Patch-Management einen doppelten Zweck: Es schützt die Kundenumgebungen vor Sicherheitslücken und belegt diesen Schutz durch dokumentierte Compliance-Daten, die den Anforderungen der Kunden an Berichterstattung und Audits gerecht werden.

Für das MSP -Management ist Folgendes erforderlich:

Es gelten einheitliche Standardrichtlinien, die in allen Kundenumgebungen konsequent angewendet werden, wobei bei Bedarf kundenspezifische Anpassungen vorgenommen werden (Wartungsfenster, geschäftskritische Anwendungen, die vor dem Patch-Einsatz getestet werden müssen).

Compliance-Berichte pro Client, die den Patch-Status, offene Sicherheitslücken und Abhilfemaßnahmen für jeden Client einzeln aufzeigen.

SLA-konforme Patch-Zeitpläne, die bestimmte Fristen für die Fehlerbehebung vorgeben und belegen, dass diese Fristen eingehalten werden.

Eskalationsverfahren für Fälle, in denen vor der Installation von Patches die Zustimmung des Kunden erforderlich ist und sich diese verzögert, um sicherzustellen, dass offene Sicherheitslücken während der Wartezeit auf die Freigabe durch den Kunden nicht übersehen werden.

Messung der Patch-Compliance

Die Wirksamkeit des Patch-Managements lässt sich messen, und es lohnt sich, die entsprechenden Kennzahlen regelmäßig zu verfolgen:

Durchschnittliche Zeit bis zur Installation eines Patches (MTTP) – die durchschnittliche Zeitspanne zwischen der Veröffentlichung eines Patches und dessen Installation, aufgeschlüsselt nach Schweregrad. Die MTTP-Trends zeigen, ob sich das Programm im Laufe der Zeit verbessert oder verschlechtert.

Patch-Konformitätsrate – der Prozentsatz der erforderlichen Patches, die innerhalb festgelegter SLA-Fenster installiert wurden. Verfolgen Sie diese Kennzahl nach Schweregrad und nach Asset-Gruppe, um festzustellen, wo tatsächlich Lücken bestehen.

Dauer der offenen kritischen Sicherheitslücke – wie lange kritische Sicherheitslücken ungepatcht bleiben. Jede kritische Sicherheitslücke, die älter als 7 Tage ist und nicht im Rahmen eines genehmigten Ausnahmeverfahrens behandelt wird, stellt ein Risiko dar, das eskaliert werden muss.

Ausnahmerate und Alter – Ausnahmen (die sich aufgrund von Kompatibilitätstests, geschäftlichen Einschränkungen oder Genehmigungsverfahren beim Kunden verzögern) sollten mithilfe von Alterungswarnungen nachverfolgt werden. Eine alte Ausnahme ist entweder ein dokumentiertes, kontrolliertes Risiko oder eine vergessene Lücke.