Patch Management

Bekannte, gepatchte Schwachstellen sind für die überwiegende Mehrheit erfolgreicher Cyberangriffe verantwortlich. Das klingt paradox: Wenn ein Patch verfügbar ist, sollte das Problem doch gelöst sein. Die Realität in Unternehmensumgebungen sieht anders aus. Patch-Zyklen dauern Wochen oder Monate. Systemabhängigkeiten verzögern Updates. OT-Systeme können nicht einfach neu gestartet werden. Legacy-Systeme werden nicht mehr unterstützt. Und in vielen Organisationen fehlt der vollständige Überblick, welche Systeme überhaupt existieren.

Die Zahlen sind eindeutig: Laut Verizon Data Breach Investigations Report werden 40-60 % aller Datenpannen durch bekannte Schwachstellen verursacht, für die Patches bereits verfügbar waren. Das bedeutet: Ein erheblicher Teil der Security-Investitionen wird durch fehlende Grunddisziplin beim Patch Management aufgezehrt. Wer Sicherheit wirklich verbessern will, muss hier beginnen.

Die Herausforderung ist nicht mangelndes Bewusstsein, sondern fehlende Prozesse. In den meisten Unternehmen fehlt die strukturierte Kombination aus: vollständiger Asset-Inventarisierung, automatisiertem Schwachstellenscan, risikobasierter Priorisierung, definierten SLAs, Staging-Umgebungen für Tests, kontrolliertem Rollout und Nachverfolgung. Einzelne dieser Elemente existieren oft – das strukturelle Zusammenspiel fehlt.

Ein wirksamer Patch-Management-Prozess beginnt mit vollständiger Asset-Sichtbarkeit: Man kann nicht patchen, was man nicht kennt. Wir stellen sicher, dass Ihre Systeminventarisierung vollständig und aktuell ist – ein kritischer Schritt, der in vielen Projekten mehr Aufwand erfordert als erwartet. Auf dieser Grundlage wird ein kontinuierlicher Schwachstellenscan aufgebaut, der neue CVEs in Ihrer Umgebung innerhalb von Stunden identifiziert.

Die Priorisierung der identifizierten Schwachstellen ist das Herzstück des Prozesses. CVSS-Scores alleine sind nicht ausreichend: Eine kritische Schwachstelle (CVSS 9.8) in einem System ohne Netzwerkzugang ist weniger dringlich als eine mittlere Schwachstelle (CVSS 6.5) in einem öffentlich erreichbaren Webserver. Wir priorisieren nach Kombination aus CVSS-Score, Verfügbarkeit von Exploits (EPSS), Asset-Kritikalität und tatsächlicher Erreichbarkeit.

Auf Basis dieser Priorisierung definieren wir SLA-Klassen: Kritisch (CVSS 9+, aktiv exploitiert): 24-72 Stunden. Hoch (CVSS 7-9): 7-14 Tage. Mittel: 30 Tage. Niedrig: 90 Tage. Diese SLAs werden in einem Patch-Governance-Prozess verankert, der Verantwortlichkeiten, Eskalationswege und Ausnahmegenehmigungen definiert.

Die Wahl der richtigen Tools ist abhängig von Ihrer Infrastruktur und Ihrem Betriebsmodell. Für Windows-lastige Umgebungen bieten Microsoft Endpoint Configuration Manager (MECM/SCCM) oder Intune strukturierte Patch-Verteilung mit Gruppen-basierten Rollout-Ringen. Für heterogene Linux/Windows-Umgebungen sind Ansible oder Puppet leistungsstarke Automatisierungsplattformen. Für kontinuierliches Schwachstellen-Scanning setzen wir je nach Anforderung auf Tenable, Qualys, Rapid7 oder OpenVAS.

Entscheidend ist die Integration dieser Tools in einen kohärenten Workflow: Schwachstellenscanner identifiziert neue CVEs, liefert Ergebnisse an eine zentrale VM-Plattform, diese priorisiert und erstellt Tickets (Jira, ServiceNow), Patch-Management-Tool verteilt Updates nach definierten Ring-Gruppen (Test, Pilot, Produktion), Scanner verifiziert nach Deployment die erfolgreiche Behebung. Dieser Kreislauf soll ohne manuelle Eingriffe laufen – Ausnahmen für Risikoentscheidungen ausgenommen.

Notfall-Patch-Prozesse sind ein oft vergessenes Element. Wenn Zero-Day-Schwachstellen oder aktiv ausgenutzte kritische CVEs bekannt werden – wie bei Log4Shell, ProxyLogon oder PrintNightmare –, reichen normale Patch-Zyklen nicht aus. Wir definieren klare Eskalationsprozesse und Notfall-Rollout-Verfahren, die eine Reaktionszeit von wenigen Stunden ermöglichen.