Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Patching

Was ist Patching?

Patching beschreibt das gezielte Einspielen von Software-Updates, um Fehler, Sicherheitslücken oder Performance-Probleme zu beheben. Es ist ein integraler Bestandteil des Vulnerability Managements und stellt sicher, dass Systeme stets auf einem aktuellen, stabilen und sicheren Stand betrieben werden. Im Gegensatz zu vollständigen Upgrades beschränkt sich Patching auf selektive Änderungen einzelner Komponenten.

Aufbau & Methoden

Ein typischer Patching-Prozess umfasst folgende Schritte:

  • Systeminventarisierung: Erfassen aller eingesetzten Systeme, Dienste und Software-Versionen

  • Risikobewertung: Priorisierung von Patches anhand von CVSS-Scores, Asset-Kritikalität und Exploit-Verfügbarkeit

  • Staging & Test: Absicherung der Update-Kompatibilität in isolierten Umgebungen

  • Gestaffelter Rollout: Zeitlich gesteuerte und priorisierte Verteilung auf Produktivsysteme

  • Rollback-Strategien: Vorbereitung auf Rücknahme bei Fehlverhalten oder Inkompatibilitäten

  • Patch-Compliance-Reporting: Nachweis über installierte Patches, Erfolg/Fehlschlag, offene Risiken

Genutzte Tools (je nach Umgebung):

  • Windows: WSUS, SCCM

  • Linux: Ansible, Chef, Puppet

  • Container: Kubernetes mit Kured, Kustomize oder ArgoCD

Einsatz in der Praxis

Patching wird in allen Bereichen der IT-Infrastruktur eingesetzt – von Desktops über Server bis zu ICS/OT-Umgebungen. Typische Praxisbeispiele:

  • Schließen kritischer Schwachstellen bei Zero Day-Angriffen

  • Patchen von Drittanbieter-Software (z. B. Apache, OpenSSL, Exchange)

  • Integration in automatisierte DevSecOps-Pipelines

  • Vorbereitung auf Audits im Rahmen von ISO 27001, PCI DSS etc.

  • Patch-Management in verteilten Umgebungen (z. B. Hybrid-Cloud, Container-Cluster)

Standardbezug

  • ISO 27001 – A.12.6.1: Schwachstellen im Softwarebestand sind zeitnah zu beheben

  • BSI Grundschutz – SYS.1.2.A15: Sicherheitsrelevante Patches priorisieren

  • PCI DSS – Abschnitt 6.2: Kritische Updates müssen innerhalb eines Monats eingespielt werden

Verwandte Begriffe

Beispiel aus der Praxis

In einem ICS-Netzwerk wurden mehrere ungepatchte Steuerungskomponenten mit bekanntem Zero Day-Exploit identifiziert.
Das IT-Team koordinierte gemeinsam mit der Produktion ein 4-stündiges Wartungsfenster, in dem getestete Patches unter hoher Verfügbarkeit ausgerollt wurden.
Durch gezielte Configuration Reviews konnten weitere Schwachstellen ausgeschlossen werden – der Audit wurde erfolgreich bestanden.

zum Glossar