Ungepatchte Software ist für über 60% aller erfolgreichen Cyberangriffe verantwortlich. Trotzdem bleibt Patch-Management in vielen KMU ein vernachlässigtes Thema. Warum – und wie Sie das ändern.
Eine bekannte Sicherheitslücke in Windows. Ein Patch, der seit drei Wochen verfügbar ist. Ein Angreifer, der genau weiss, welche Unternehmen den Patch noch nicht eingespielt haben. So beginnen die meisten Cyberangriffe auf KMU – nicht mit ausgeklügelten Hacking-Methoden, sondern mit dem Ausnutzen bekannter, längst behobener Schwachstellen.
Patch-Management ist die systematische Verwaltung von Software-Updates. Es klingt nach einer Selbstverständlichkeit. In der Praxis ist es eine der häufigsten Schwachstellen in KMU. Ungepatchte Systeme sind auch der häufigste Einstiegsweg für <a href='/it-wissen/ransomware-schutz-kmu-schweiz' class='kpx-inline-link'>Ransomware-Angriffe</a>.
Warum Patch-Management in KMU scheitert
Die meisten KMU wissen, dass Updates wichtig sind. Trotzdem werden sie nicht konsequent eingespielt. Die Gründe sind nachvollziehbar – aber keine Entschuldigung.
- 1
Angst vor Kompatibilitätsproblemen: Ein Update könnte eine wichtige Anwendung zum Absturz bringen. Diese Angst ist verständlich, führt aber dazu, dass Updates monatelang aufgeschoben werden.
- 2
Fehlende Übersicht: Ohne zentrale Verwaltung weiss niemand genau, welche Systeme welche Versionen laufen. Manche Geräte werden schlicht vergessen.
- 3
Zeitdruck: Updates müssen oft manuell angestossen werden und unterbrechen die Arbeit. Im Alltag wird das immer wieder verschoben.
- 4
Fehlende Verantwortlichkeit: Wenn niemand explizit für Patch-Management zuständig ist, macht es niemand.
- 5
Drittanbieter-Software: Windows-Updates laufen oft automatisch. Aber was ist mit dem PDF-Reader, dem VPN-Client, dem ERP-System? Diese werden häufig vergessen.
Laut einer Studie des Ponemon Institute sind ungepatchte Schwachstellen für 60% aller Datenverletzungen verantwortlich. Die durchschnittliche Zeit zwischen der Veröffentlichung eines Patches und einem Angriff, der diese Lücke ausnutzt, beträgt weniger als 15 Tage.
Was gutes Patch-Management leisten muss
Effektives Patch-Management ist mehr als das gelegentliche Klicken auf 'Jetzt aktualisieren'. Es ist ein strukturierter Prozess mit klaren Verantwortlichkeiten.
- 1
Vollständige Inventarisierung: Alle Geräte, Betriebssysteme und Anwendungen müssen erfasst sein – auch Heimarbeitsplätze und mobile Geräte.
- 2
Priorisierung nach Kritikalität: Sicherheits-Patches für kritische Schwachstellen (CVSS-Score ≥ 7.0) müssen innerhalb von 72 Stunden eingespielt werden.
- 3
Testumgebung: Kritische Updates werden zuerst in einer Testumgebung geprüft, bevor sie auf Produktivsystemen ausgerollt werden.
- 4
Automatisierung: Routinemässige Updates laufen automatisch, ausserhalb der Geschäftszeiten, ohne manuelle Eingriffe.
- 5
Reporting und Nachweis: Wer welchen Patch wann eingespielt hat, muss dokumentiert sein – für interne Audits und Versicherungsanforderungen.
Server und Clients: Unterschiedliche Anforderungen
Patch-Management für Server und für Endgeräte folgt unterschiedlichen Logiken. Server laufen oft rund um die Uhr und können nicht einfach neu gestartet werden. Endgeräte sind mobil und nicht immer im Firmennetzwerk.
Für Server empfiehlt sich ein geregeltes Wartungsfenster – typischerweise nachts oder am Wochenende – mit automatischem Neustart und anschliessender Verfügbarkeitsprüfung. Für Endgeräte ist eine Mobile Device Management (MDM)-Lösung ideal: Sie spielt Updates auch dann ein, wenn das Gerät nicht im Büronetzwerk ist, und erzwingt Neustarts nach einem definierten Zeitfenster.
Praxistipp: Definieren Sie zwei Patch-Kategorien: Sicherheits-Patches (höchste Priorität, schnelle Einspielung) und Funktions-Updates (niedrigere Priorität, grösseres Testfenster). Das reduziert das Risiko von Kompatibilitätsproblemen erheblich.
KPX-Services für Patch-Management
Wir übernehmen das vollständige Patch-Management für Ihre Server und Endgeräte – automatisiert, dokumentiert und ohne Unterbrechung des Betriebs:
Managed Client
Automatisches Patch-Management für alle Endgeräte inkl. EDR. Updates laufen im Hintergrund – ohne Unterbrechung, ohne vergessene Geräte.
Managed Server
Regelmässige Server-Patches mit definierten Wartungsfenstern, automatischen Neustarts und Verfügbarkeitsprüfung danach.
Wissen Sie, welche Ihrer Systeme heute ungepatchte Sicherheitslücken haben? Wir prüfen das für Sie – kostenlos und ohne Verpflichtung.
Jetzt Ihre individuelle ErstanalyseThemen