Patch-Management für KMU: Warum automatisch updaten nicht reicht
„Updates laufen automatisch“ klingt erst einmal beruhigend. Windows zieht seine Patches, der Browser aktualisiert sich selbst, viele Anwendungen melden neue Versionen oder installieren sie im Hintergrund. Für Privatrechner ist das oft besser als nichts. Für ein Unternehmen reicht es nicht.
Patch-Management bedeutet nicht nur, dass Updates irgendwann installiert werden. Es bedeutet, dass klar ist, welche Systeme existieren, welche Updates kritisch sind, wann sie installiert werden, wer die Verantwortung trägt und was passiert, wenn ein Update etwas kaputt macht.
Gerade kleine Unternehmen haben hier oft eine gefährliche Lücke. Nicht, weil niemand das Thema ernst nimmt, sondern weil Updates im Tagesgeschäft nebenbei laufen. Bis eine Sicherheitslücke aktiv ausgenutzt wird oder eine wichtige Fachanwendung nach einem Update nicht mehr startet.
Warum automatische Updates trotzdem wichtig sind
Automatische Updates sind keine schlechte Idee. Im Gegenteil: Für Standardsoftware, Browser, PDF-Reader, Office-Komponenten und viele Endgeräte sind sie ein wichtiger Grundschutz. Viele Angriffe funktionieren nur deshalb, weil bekannte Sicherheitslücken wochen- oder monatelang offen bleiben.
Das Problem ist nicht die Automatik selbst, sondern der Glaube, sie sei ein vollständiger Prozess.
Automatische Updates beantworten zum Beispiel nicht:
- Welche Geräte wurden seit Wochen nicht neu gestartet?
- Welche Server bekommen Updates, aber keine Firmware-Aktualisierungen?
- Welche Drittsoftware ist installiert und wird gar nicht zentral verwaltet?
- Welche Systeme sind geschäftskritisch und brauchen vorher einen Test?
- Welche Sicherheitslücke muss sofort behandelt werden und welche kann bis zum nächsten Wartungsfenster warten?
Ohne Überblick bleibt Patchen reaktiv. Man hofft, dass alles irgendwie aktuell ist.
Der erste Schritt: Inventar
Patch-Management beginnt nicht mit einem Update-Tool, sondern mit einer Liste.
Jedes Unternehmen sollte wissen:
- Welche Clients, Server, Firewalls, Switches, Access Points und NAS-Systeme im Einsatz sind
- Welche Betriebssysteme und Firmwarestände laufen
- Welche Fachanwendungen kritisch für den Betrieb sind
- Welche Systeme aus dem Internet erreichbar sind
- Welche Geräte nicht mehr vom Hersteller unterstützt werden
Besonders wichtig sind Geräte, die oft vergessen werden: Telefonanlagen, Zeiterfassung, Kameras, Drucker, VPN-Gateways, alte Windows-Server, Management-Interfaces von Switches oder Web-Oberflächen von NAS-Systemen.
Ein ungepatchter Client ist problematisch. Ein ungepatchtes VPN-Gateway mit Internetzugang ist kritisch.
Nicht jede Lücke ist gleich dringend
Viele Unternehmen orientieren sich nur am CVSS-Wert einer Schwachstelle. Der ist hilfreich, aber nicht ausreichend. Eine Lücke mit CVSS 9.8 wirkt dramatisch, kann aber ein Produkt betreffen, das im Unternehmen gar nicht vorhanden ist. Eine Lücke mit niedrigerem Score kann dagegen akut gefährlich sein, wenn sie aktiv ausgenutzt wird und ein öffentlich erreichbares System betrifft.
Sinnvoll ist eine Priorisierung nach mehreren Fragen:
- Ist das betroffene System bei uns vorhanden?
- Ist es aus dem Internet erreichbar?
- Wird die Lücke bereits aktiv ausgenutzt?
- Gibt es öffentlich verfügbare Exploits?
- Welche Rechte erhält ein Angreifer?
- Welche Geschäftsprozesse hängen an dem System?
Für die Praxis heißt das: Ein Patch für ein extern erreichbares VPN-System kann dringender sein als ein Patch für eine interne Anwendung, selbst wenn beide als „kritisch“ eingestuft werden.
Wartungsfenster statt Zufallsprinzip
Updates sollten nicht irgendwann passieren. Es braucht planbare Wartungsfenster.
Für viele KMU funktioniert ein einfaches Modell:
- Clients: Automatisch installieren, aber Neustarts klar kommunizieren
- Server: Monatliches Wartungsfenster, vorher Backup und kurzer Funktionstest
- Firewalls/VPN/NAS: Separat behandeln, weil Ausfall direkte Auswirkungen hat
- Kritische Notfall-Patches: Außerhalb des normalen Zyklus mit klarer Freigabe
Wichtig ist, dass der Prozess wiederholbar ist. Wer jeden Monat neu überlegen muss, wann und wie gepatcht wird, hat kein Patch-Management, sondern Improvisation.
Testen: nicht perfekt, aber vorhanden
Viele kleine Unternehmen haben keine vollständige Testumgebung. Das ist verständlich. Trotzdem sollte es wenigstens einen Minimaltest geben.
Nach Updates sollte geprüft werden:
- Starten die wichtigsten Fachanwendungen?
- Funktioniert Anmeldung an Domäne, Microsoft 365 oder VPN?
- Sind Datei- und Druckdienste erreichbar?
- Laufen Backup-Jobs weiterhin?
- Funktionieren Schnittstellen zu Warenwirtschaft, Zeiterfassung oder Buchhaltung?
Bei Servern und Firewalls sollte vor größeren Updates klar sein, wie ein Rollback funktioniert. Gibt es ein aktuelles Backup? Gibt es einen Export der Firewall-Konfiguration? Ist dokumentiert, wie man im Notfall wieder auf den vorherigen Zustand kommt?
Patchen ohne Rückweg ist unnötig riskant.
Drittsoftware ist oft die größere Lücke
Windows Update kümmert sich nicht um alles. In vielen Umgebungen laufen zusätzlich:
- PDF-Tools
- Browser-Erweiterungen
- Java- oder .NET-basierte Fachanwendungen
- VPN-Clients
- Fernwartungssoftware
- Drucker- und Scantools
- Backup-Agenten
Gerade Fernwartung, VPN und Browser-nahe Komponenten sind sicherheitsrelevant. Sie sollten zentral verwaltet oder zumindest regelmäßig inventarisiert werden. Wenn niemand weiß, welche Version eines VPN-Clients auf den Geräten läuft, kann auch niemand zuverlässig sagen, ob eine kritische Lücke geschlossen ist.
Dokumentation macht den Unterschied
Ein guter Patch-Prozess muss nicht kompliziert sein. Aber er sollte dokumentiert sein.
Mindestens festhalten sollte man:
- Datum des Wartungsfensters
- Aktualisierte Systeme
- Auffälligkeiten oder Fehler
- Verantwortliche Person
- Offene Nacharbeiten
- Systeme, die bewusst nicht gepatcht wurden
Gerade der letzte Punkt ist wichtig. Es gibt legitime Gründe, einen Patch kurzfristig zurückzustellen. Aber dann muss klar sein: warum, bis wann und mit welchem Risiko.
Fazit
Automatische Updates sind wichtig, aber sie ersetzen keinen Prozess. Patch-Management heißt: Überblick schaffen, Risiken priorisieren, Updates geplant installieren, Funktion prüfen und Ausnahmen dokumentieren.
Für kleine Unternehmen muss das nicht schwergewichtig sein. Schon ein schlankes monatliches Wartungsfenster, eine aktuelle Systemliste und klare Zuständigkeiten senken das Risiko erheblich.
Wenn Sie wissen möchten, wie ein pragmatischer Patch-Prozess für Ihr Unternehmen aussehen kann, sprechen Sie mich gerne an.