Patch-Management · Zum Mitnehmen

Patch-Management-Checkliste: Ist Ihr Update-Prozess sicher?

Zehn Prüfpunkte für ein kontrolliertes Patch-Management — in rund 15 Minuten. Haken Sie ab, was erfüllt ist; jede offene Stelle ist ein konkreter nächster Schritt.

• 01Vollständiges Inventar — sind alle Systeme, Anwendungen und Geräte erfasst, für die Updates verwaltet werden?Ein Patch-Konzept kann nur greifen, was es kennt. Prüfen Sie, ob auch Firewalls, WLAN-APs und Drittanwendungen im Inventar stehen.
• 02Kritische Patches in < 72 h — gibt es einen definierten Prozess für sicherheitsrelevante Updates außer der Reihe?Sicherheitslücken, die aktiv ausgenutzt werden, dulden keinen Aufschub bis zum nächsten Wartungsfenster. Prüfen Sie, ob Ihr Prozess das abbildet.
• 03Testen vor Rollout — werden Updates in einer Testumgebung oder Pilotgruppe geprüft, bevor sie alle Systeme erreichen?Ein Update, das den Betrieb stört, ist schlimmer als keines. Eine Pilotgruppe lässt Probleme auffallen, bevor alle Systeme betroffen sind.
• 04Definierte Wartungsfenster — werden Updates zu festen Zeiten eingespielt, die den Betrieb möglichst wenig stören?Updates mitten im Arbeitstag ohne Vorwarnung kosten Nerven und Helpdesk-Zeit. Feste Wartungsfenster (z. B. freitags 20–22 Uhr) schaffen Verlässlichkeit.
• 05Rollback-Verfahren — ist klar, wie bei einem fehlgeschlagenen Update auf den letzten stabilen Stand zurückgekehrt wird?Wie lange dauert ein Rollback, wer führt ihn durch? Ohne definiertes Verfahren dauert es in der Krise dreimal so lang.
• 06Mehr als Windows — werden auch Server, Firewalls, Netzwerk-Geräte und Drittanwendungen gepatcht?Angreifer nutzen gezielt Lücken in Firmware und Drittanwendungen — oft, weil diese seltener gepatcht werden als das Betriebssystem.
• 07Dokumentation — wird festgehalten, welches System wann auf welchen Stand gebracht wurde?Ohne Protokoll können Sie bei einem Sicherheitsvorfall nicht nachweisen, dass Sie gehandelt haben. Für Audits, Versicherungen und NIS2 ist der Nachweis Pflicht.
• 08Security-Advisories — werden BSI-Warnmeldungen und Hersteller-CVEs aktiv verfolgt und bewertet?Wer nur auf automatische Update-Benachrichtigungen wartet, reagiert zu spät. Aktives Verfolgen von Security-Feeds verkürzt die Reaktionszeit erheblich.
• 09Verantwortlichkeit — ist klar geregelt, wer für den Patch-Prozess zuständig ist und wer Freigaben erteilt?Fehlende Verantwortlichkeit ist einer der häufigsten Gründe, warum Patches verschleppt werden. Benennen Sie einen Owner — intern oder extern.
• 10Regelmäßiger Review — wird der Patch-Status mindestens monatlich überprüft und berichtet?Ein Patch-Prozess ohne Reporting ist blind. Monatliche Berichte zeigen, ob der Prozess funktioniert — und liefern Nachweise für Audits und Versicherungen.