Zum Inhalt springen
NeoGuard

Patch Management

Der Prozess, Software-Updates, die Sicherheitslücken schliessen, zu identifizieren, zu testen und einzuspielen, um Systeme vor bekannten Exploits zu schützen.

Patch Management ist der Prozess, Software durch das Einspielen von Sicherheitsupdates (Patches) aktuell zu halten. Wenn eine Schwachstelle entdeckt und ein Patch veröffentlicht wird, ist jeder Tag Verzögerung ein Tag, an dem Angreifer die Lücke ausnutzen können. Die meisten erfolgreichen Cyberangriffe nutzen bekannte, bereits gepatchte Schwachstellen in Organisationen, die zu langsam beim Aktualisieren waren.

Warum Patching kritisch ist

Die Zahl der veröffentlichten Schwachstellen (CVEs) beschleunigt sich: über 48’000 im Jahr 2025, und 2026 liegt bereits über dem Vorjahrestempo. Jede ist ein potenzieller Einstiegspunkt für Malware, Ransomware oder Datendiebstahl. Während Zero-Day-Exploits die Schlagzeilen machen, nutzt die grosse Mehrheit der Angriffe Schwachstellen aus, für die seit Wochen oder Monaten ein Patch verfügbar ist.

Was gepatcht werden muss

Es sind nicht nur Betriebssysteme:

  • Betriebssysteme: Windows, macOS, Linux
  • Browser: Chrome, Firefox, Edge, Safari
  • Business-Software: Microsoft 365, Adobe, Zoom, Slack
  • Server-Software: Webserver, Datenbanken, CMS-Plattformen
  • Netzwerkgeräte: Router-Firmware, Firewall-Software, Switch-Firmware
  • Bibliotheken und Abhängigkeiten: Drittanbieter-Code, von dem Ihre Anwendungen abhängen (ein häufiges Supply-Chain-Risiko)

Häufige Fehler

  • «Es könnte etwas kaputtmachen»: Teams verzögern Patches aus Angst vor Kompatibilitätsproblemen. Das Risiko einer bekannten, ausnutzbaren Schwachstelle überwiegt fast immer das Risiko einer Patch-bedingten Störung.
  • Schatten-IT: Software, die ohne Wissen der IT installiert wurde, wird nicht gepatcht.
  • End-of-Life-Software: Produkte, die der Hersteller nicht mehr unterstützt, erhalten keine Patches mehr und haben dauerhaft offene Schwachstellen.
  • Manuelle Prozesse: Sich darauf zu verlassen, dass Einzelpersonen Updates prüfen und einspielen, führt zu Inkonsistenzen und Lücken.

Einen Patch-Management-Prozess aufbauen

  1. Inventar: Liste aller Software und Geräte pflegen (was man nicht kennt, kann man nicht patchen)
  2. Priorisieren: Kritische und hochschwere CVEs auf internetfähigen Systemen zuerst
  3. Automatisieren: Endpoint-Protection-Tools oder dedizierte Patch-Management-Software für Updates nutzen
  4. Testen: Für kritische Geschäftsanwendungen Patches in einer Staging-Umgebung testen, bevor sie breit ausgerollt werden
  5. Überwachen: Patch-Compliance über alle Geräte verfolgen und Geräte flaggen, die zurückfallen
  6. Dokumentieren: Festhalten, was wann gepatcht wurde und welche Ausnahmen bestehen, als Nachweis für nDSG-Compliance

Patch Management und Schweizer Compliance

Sowohl das nDSG als auch FINMA-Richtlinien erwarten, dass Organisationen bekannte Schwachstellen zeitnah beheben. Das BACS veröffentlicht regelmässig Warnungen zu aktiv ausgenutzten Schwachstellen, die Schweizer Organisationen betreffen. Ein dokumentierter Patching-Prozess belegt die vom Gesetz geforderten «angemessenen technischen Massnahmen».

Verwandte Begriffe

Zero-DayMalwareRansomwareEndpoint Protection