Rexoma IT· Rexoma Team · IT-Sicherheit · 5 min read
Patch Management für KMU: Sicherheitsupdates richtig umsetzen
Veraltete Software ist eines der größten Einfallstore für Cyberangriffe. So bauen KMU ein strukturiertes Patch Management auf – ohne großen Aufwand.
Veraltete Software ist kein Randproblem – sie ist einer der häufigsten Angriffsvektoren bei Cyberattacken auf Unternehmen. Der WannaCry-Angriff von 2017 hat das eindrücklich gezeigt: Die ausgenutzte Windows-Schwachstelle war zum Zeitpunkt der Attacke bereits seit Wochen gepatcht. Trotzdem traf es Tausende Unternehmen weltweit, weil Updates schlicht nicht eingespielt worden waren. Ein durchdachtes Patch Management für KMU hätte den Schaden in den meisten Fällen verhindert.
Warum Patch Management in KMU so oft scheitert
Die meisten kleinen und mittleren Unternehmen wissen, dass Updates wichtig sind. Trotzdem bleiben Systeme oft monatelang ungepatchtes – aus nachvollziehbaren Gründen.
Fehlende Übersicht über die IT-Landschaft
Wer nicht weiß, welche Software in welcher Version auf welchem Gerät läuft, kann auch keine gezielten Updates einspielen. In vielen KMU fehlt ein aktuelles IT-Inventar. Drucker-Firmware, Router-Betriebssysteme, Server-Anwendungen – all das gerät schnell aus dem Blick.
Angst vor kaputten Systemen
Updates können Abhängigkeiten brechen. Ein ERP-System, das nach einem Windows-Update plötzlich nicht mehr läuft, kostet im schlimmsten Fall einen halben Arbeitstag. Diese Erfahrung machen KMU einmal – und schieben Updates danach lieber auf. Ein strukturierter Test-Prozess würde das Problem lösen, existiert aber selten.
Kein definierter Verantwortlicher
„Das macht irgendwie die IT” – aber die IT ist oft eine einzelne Person oder ein externer Dienstleister ohne klaren Auftrag für proaktives Update-Management. Ohne klare Zuständigkeit passiert im Zweifel nichts.
Was gutes Patch Management ausmacht
Patch Management ist mehr als „Updates installieren, wenn Windows nervt”. Es ist ein geregelter Prozess, der sicherstellt, dass Schwachstellen schnell und kontrolliert geschlossen werden.
Vollständige Inventarisierung
Ausgangspunkt ist ein aktuelles Inventar aller IT-Komponenten: Server, Workstations, Laptops, Netzwerkgeräte, IoT-Geräte. Für jede Komponente wird festgehalten: Betriebssystem, installierte Software, aktuell laufende Version. Tools wie Lansweeper (kostenlose Community-Edition), OCS Inventory oder Snipe-IT helfen dabei, auch in einer heterogenen IT-Landschaft den Überblick zu behalten.
Risiko-basierte Priorisierung
Nicht jeder Patch ist gleich dringend. Ein kritisches Update für einen öffentlich erreichbaren Webserver hat höhere Priorität als ein Feature-Update für ein internes Designprogramm. Eine einfache Einstufung in drei Klassen reicht für die meisten KMU aus:
- Kritisch (CVSS Score ≥ 9): Innerhalb von 24–72 Stunden einspielen
- Hoch (CVSS Score 7–8,9): Innerhalb von 7–14 Tagen
- Normal: Im nächsten regulären Wartungsfenster
Den CVSS-Score (Common Vulnerability Scoring System) veröffentlichen Hersteller und das BSI für bekannte Schwachstellen. Das Bundesamt für Sicherheit in der Informationstechnik bietet unter bsi.bund.de regelmäßig aktuelle Warnmeldungen.
Test vor dem Rollout
Kritische Systeme sollten nicht direkt mit ungetesteten Patches versorgt werden. Wer die Möglichkeit hat, sollte Updates zunächst auf einem Test-System oder einer kleinen Gerätegruppe einspielen und 24–48 Stunden beobachten, bevor der breite Rollout erfolgt. Für viele KMU ist eine einfache Virtualisierungsumgebung (z. B. Proxmox) ausreichend.
Schritt-für-Schritt: Patch Management aufbauen
Hier ein pragmatisches Vorgehen, das auch mit begrenzten Ressourcen funktioniert:
1. IT-Inventar erstellen Erfasst alle Geräte und Systeme mit Betriebssystem und Softwareversionen. Ein Spreadsheet reicht als Einstieg, ein Inventarisierungstool spart langfristig Zeit.
2. Wartungsfenster definieren Legt feste Zeitfenster für Updates fest – zum Beispiel jeden zweiten Dienstag (orientiert an Microsofts „Patch Tuesday”). Außerhalb dieser Fenster werden nur kritische Sicherheitslücken sofort gepatcht.
3. Automatisierung einrichten
- Windows-Umgebungen: Windows Server Update Services (WSUS) oder Microsoft Intune für zentrale Steuerung
- Linux-Server: Ansible-Playbooks oder einfache Cron-Jobs für
apt upgrademit anschließendem Reboot - Netzwerkgeräte: Firmware-Update-Benachrichtigungen des Herstellers abonnieren (OPNsense, Ubiquiti, Netgear)
4. Nachweis führen Dokumentiert, wann welche Updates auf welchen Systemen eingespielt wurden. Das ist nicht nur für die eigene Kontrolle wichtig, sondern auch für Versicherungen (Cyberversicherung) und im Falle einer NIS2-Prüfung.
5. Kritische Updates sofort behandeln Wenn das BSI oder ein Hersteller eine Schwachstelle mit CVSS ≥ 9 meldet, gilt das Wartungsfenster nicht. Ein definierter Notfall-Patch-Prozess muss vorhanden sein.
Patch Management und NIS2
Seit Oktober 2024 gilt die NIS2-Richtlinie auch in Deutschland. Viele KMU in Sachsen unterschätzen noch, wie weitreichend die Anforderungen sind. NIS2 schreibt explizit vor, dass betroffene Einrichtungen ein Schwachstellenmanagement betreiben und Patches zeitnah einspielen müssen. Wer das nicht nachweisen kann, riskiert empfindliche Bußgelder.
Ob Ihr Unternehmen unter NIS2 fällt, hängt von Branche und Größe ab. Unser Artikel zu NIS2 für KMU erklärt die wichtigsten Punkte.
Tools im Überblick
| Tool | Einsatzbereich | Kosten |
|---|---|---|
| WSUS | Windows-Domänen | Kostenlos (Windows Server) |
| Ansible | Linux-Server | Open Source |
| Lansweeper | Inventarisierung + Patch-Tracking | Freemium |
| GFI LanGuard | Windows/Linux/macOS, zentral | Kostenpflichtig |
| Heimdal Security | Endpoint Patch Management | Kostenpflichtig |
Für KMU mit bis zu 50 Geräten ist die Kombination aus WSUS (Windows) und einfachen Ansible-Playbooks (Linux) oft der kosteneffizienteste Einstieg.
Fazit
Patch Management für KMU muss kein aufwändiges Projekt sein. Mit einem aktuellen IT-Inventar, klar definierten Wartungsfenstern und einem Notfall-Prozess für kritische Lücken lässt sich das Risiko ungepatchter Systeme erheblich reduzieren. Die aktuelle Nachrichtenlage – allein in dieser Woche gab es kritische Patches für Chrome, Firefox, Nvidia-Grafiktreiber und mehrere Atlassian-Produkte – zeigt, dass kein Unternehmen es sich leisten kann, Updates auf die lange Bank zu schieben.
Sie suchen Unterstützung in Dresden? Rexoma IT hilft KMU und Startups dabei, ein strukturiertes Patch Management einzurichten – von der Inventarisierung über die Tool-Auswahl bis zur Automatisierung. Wir kennen die typischen IT-Umgebungen ostdeutscher KMU und finden pragmatische Lösungen, die in der Praxis funktionieren. Jetzt Kontakt aufnehmen und in 30 Minuten erfahren, wo Ihre größten Lücken liegen.
Häufige Fragen zum Patch Management für KMU
Wie oft sollten KMU ihre Systeme patchen? Kritische Sicherheitsupdates (CVSS ≥ 9) sollten innerhalb von 72 Stunden eingespielt werden. Für alle anderen Updates empfehlen sich feste Wartungsfenster alle zwei Wochen – orientiert am Microsoft Patch Tuesday.
Muss ich als kleines Unternehmen in Sachsen ein Patch Management nachweisen? Unter NIS2 sind viele Unternehmen zu einem nachweisbaren Schwachstellenmanagement verpflichtet. Auch ohne NIS2-Pflicht ist eine Dokumentation für Cyberversicherungen und im Schadensfall wichtig.
Kann ich Patches für alle Systeme automatisch einspielen? Für Workstations und Browser ja – dort überwiegt der Nutzen die geringe Ausfallgefahr. Bei Produktionssystemen, ERPs oder Datenbanken empfiehlt sich immer ein vorheriger Test in einer isolierten Umgebung.
Was ist der Unterschied zwischen Patch Management und Vulnerability Management? Patch Management ist der operative Prozess: Updates beschaffen, testen, einspielen. Vulnerability Management ist der strategische Rahmen: Schwachstellen identifizieren, priorisieren, beheben und den Status kontinuierlich überwachen. Gutes Patch Management ist ein Teil eines vollständigen Vulnerability Managements.
Welche Systeme werden am häufigsten durch ungepatchte Software angegriffen? Besonders häufig betroffen sind: VPN-Gateways und Firewalls, Exchange-Server, öffentlich erreichbare Web-Anwendungen sowie Windows-Workstations mit veralteten Browsern. Diese Systeme sollten bei der Priorisierung immer ganz oben stehen.