Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Security Operations Glossar

Patch Management

Systematischer Prozess zum Identifizieren, Testen, Genehmigen und Einspielen von Software-Updates (Patches) zur Behebung von Sicherheitslücken in IT-Systemen.

Patch Management ist der strukturierte Prozess, mit dem Unternehmen Software-Updates (Patches) für ihre IT-Systeme identifizieren, bewerten, testen und einspielen - mit dem Ziel, bekannte Sicherheitslücken zu schließen bevor Angreifer sie ausnutzen.

Der Patch-Management-Prozess

  1. Erkennung: Automatische Überwachung auf neue Patches (Hersteller-Benachrichtigungen, CVE-Feeds, WSUS, SCCM, MDM)
  2. Bewertung: Ist der Patch relevant? Welche Systeme sind betroffen? CVSS-Score und EPSS-Wahrscheinlichkeit prüfen
  3. Test: Patch in Test/Staging-Umgebung einspielen, Funktionalität und Kompatibilität prüfen
  4. Genehmigung: Formeller Change-Management-Prozess (CAB-Freigabe bei kritischen Systemen)
  5. Deployment: Ausrollen auf Produktionssysteme - gestaffelt nach Risikoklassen
  6. Verifizierung: Bestätigung der erfolgreichen Installation, Re-Scan

Patch-Priorisierung nach SLA

Empfohlene SLAs basierend auf CVSS + EPSS:

  • Critical + aktiv ausgenutzt (KEV): 24-48 Stunden
  • Critical (CVSS ≥ 9.0): 7 Tage
  • High (CVSS 7.0-8.9): 14 Tage
  • Medium (CVSS 4.0-6.9): 30 Tage
  • Low (CVSS < 4.0): 90 Tage

Patch-Management in der Praxis

Herausforderungen:

  • Abhängigkeiten: Patch A bricht Anwendung B
  • Verfügbarkeit: Produktionssysteme dürfen nicht einfach neu gestartet werden
  • End-of-Life-Software: Kein Hersteller-Support mehr, keine offiziellen Patches
  • Komplexität: Tausende von Systemen und Anwendungen in größeren Unternehmen

Werkzeuge:

  • Microsoft: WSUS, SCCM, Windows Update for Business, Intune
  • Linux: Ansible, Chef, Puppet, apt/yum-automatisierung
  • Enterprise: Qualys VMDR, Tenable, Ivanti Patch Management, ManageEngine

Compliance-Relevanz

BSI IT-Grundschutz OPS.1.1.3 fordert explizit einen Patch- und Änderungsmanagement-Prozess.

ISO 27001 A.12.6.1 verlangt zeitnahes Management technischer Schwachstellen.

NIS2 Art. 21 schreibt Schwachstellen- und Patch-Management als Bestandteil des Risikomanagements vor.

Wichtigste Kennzahl

Patch Compliance Rate: Anteil der Systeme, die innerhalb des SLA-Zeitrahmens gepatcht wurden. Ziel: >95% für kritische und hochkritische Schwachstellen.

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

BSI IT-Grundschutz

8 Min. Lesezeit

Enterprise Patch Management: Systematische Schwachstellenbehebung

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Verwandte Begriffe

CVE CVSS Exploit Zero-Day
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung