Patch Management

Was ist Patch Management?

Patch Management bezeichnet den strukturierten Prozess zur Verwaltung von Software-Updates – mit dem Ziel, bekannte Schwachstellen (Vulnerabilities) zeitnah zu schließen, Systemstabilität zu gewährleisten und regulatorische Anforderungen (z. B. PCI DSS, ISO 27001) zu erfüllen. Dieser Prozess umfasst das Identifizieren, Testen, Planen, Verteilen und Überwachen von Software-Patches für Betriebssysteme, Anwendungen und Firmware.

Aufbau & Methoden

Typische Bestandteile eines effektiven Patch-Managements:

• Patch Scanning: Erkennung fehlender oder veralteter Patches auf Clients und Servern

• Priorisierung: Risikobewertung z. B. anhand CVSS-Werten oder Systemkritikalität

• Testphase: Absicherung der Kompatibilität in isolierten Staging-Umgebungen

• Rollout-Strategie: Automatisierte Verteilung (z. B. per WSUS, SCCM, Intune) mit definierten Wartungsfenstern

• Rollback-Planung: Notfallstrategien bei fehlerhaften Updates zur Sicherstellung der Business Continuity

• Berichtswesen & Auditfähigkeit: Dokumentation von Status, Erfolgs- und Fehlerquoten zur Nachvollziehbarkeit und Compliance

Einsatz in der Praxis

Patch Management ist ein zentraler Bestandteil jeder Sicherheitsstrategie – sowohl in On-Premise- als auch Cloud-Umgebungen.
Typische Anwendungsfelder:

• Absicherung geschäftskritischer Systeme gegen Zero-Day-Exploits

• Vorbereitung auf externe Audits durch vollständige Nachweise von Patch-Zyklen

• Reaktion auf veröffentlichte Schwachstellen in Drittanbieter-Software (z. B. Exchange, Apache, OpenSSL)

• Integration in DevSecOps-Pipelines zur automatisierten Behandlung von Container- oder OS-Schwachstellen

Standardbezug

• ISO 27001 – A.12.6.1: Management von technischen Schwachstellen

• PCI DSS – Anforderung 6.2: Kritische Patches müssen innerhalb eines Monats implementiert werden

• BSI IT-Grundschutz – SYS.1.2.A15: Sicherheitsrelevante Updates zeitnah einspielen

Verwandte Begriffe

• Vulnerability

• Vulnerability Assessment

• Security Scan

• Configuration Review

• Business Continuity

Beispiel aus der Praxis

Nach der Veröffentlichung eines kritischen Exchange-Patches in 2024 identifizierte das interne Vulnerability Assessment des Unternehmens über 200 ungepatchte Systeme.
Mithilfe automatisierter Verteilung via SCCM und vorkonfiguriertem Rollback-Mechanismus konnte der Patch innerhalb von 48 Stunden flächendeckend ausgerollt werden – ohne produktive Ausfälle. Die erfolgreiche Umsetzung floss als Nachweis in den jährlichen ISO-27001-Audit ein.