Wenn Unternehmen nach einem Cyberangriff die Ursache suchen, landen sie erschreckend oft an der gleichen Stelle: eine bekannte Schwachstelle, für die seit Wochen oder Monaten ein Patch verfügbar war. Nicht fehlende Technologie, nicht besonders raffinierte Angreifer. Ein Update, das nicht eingespielt wurde.
Das ist keine Ausnahme. Es ist das häufigste Angriffsmuster im Mittelstand.
Warum ungepatchte Systeme so gefährlich sind
Wenn ein Softwarehersteller eine Sicherheitslücke schließt, veröffentlicht er den Patch zusammen mit einer Beschreibung der Schwachstelle. Diese Beschreibung landet gleichzeitig bei Systemadministratoren, die patchen können, und bei Angreifern, die jetzt wissen, wo genau sie ansetzen müssen.
Der Wettlauf beginnt in dem Moment, in dem der Patch erscheint. Wer ihn zuerst einspielt, ist geschützt. Wer wartet, läuft zunehmend Gefahr, weil die Schwachstelle nun öffentlich bekannt ist und aktiv ausgenutzt wird.
Sicherheitsforscher beobachten regelmäßig, dass nach der Veröffentlichung kritischer Patches innerhalb von 24 bis 72 Stunden automatisierte Angriffe auf ungepatchte Systeme beginnen. Angreifer scannen das Internet systematisch nach Systemen, die die bekannte Lücke noch nicht geschlossen haben.
Der Begriff "Zero-Day-Angriff" beschreibt Angriffe auf Schwachstellen, die noch nicht öffentlich bekannt sind. Diese sind gefährlich, aber selten. Die deutlich häufigere Variante ist der "N-Day-Angriff": ein Angriff auf eine Schwachstelle, für die längst ein Patch existiert, der nur nicht eingespielt wurde.
Was alles gepatcht werden muss
In vielen Unternehmen läuft Windows-Update auf den Arbeitsplätzen automatisch, und damit fühlt sich das Thema erledigt an. Das ist ein Trugschluss.
Betriebssysteme: Windows, macOS, Linux auf Servern und Workstations. Windows-Update deckt das für Microsoft-Produkte ab, aber nur wenn es aktiv konfiguriert ist und nicht durch Gruppenrichtlinien blockiert wird.
Drittanbieter-Software: Hier liegt in vielen KMU das größte Problem. Browser (Chrome, Firefox, Edge), PDF-Reader (Adobe Acrobat, Foxit), Office-Pakete, Archivierungstools (7-Zip, WinRAR), Java, .NET-Laufzeitumgebungen. Diese Programme werden nicht durch Windows-Update aktualisiert. Sie haben eigene Update-Mechanismen, die oft deaktiviert sind oder nur bei aktiver Nutzung des Programms anstoßen.
Netzwerkgeräte: Router, Switches, Firewalls, WLAN-Access-Points haben eigene Firmware, die regelmäßig aktualisiert werden muss. Viele laufen jahrelang mit veralteter Firmware, weil der initiale Einrichter das System nie wieder angefasst hat.
Server-Software: Webserver (IIS, Apache, nginx), Datenbankserver, E-Mail-Server, Remote-Desktop-Dienste. Diese Komponenten sind häufig von außen erreichbar und damit besonders attraktive Angriffsziele.
Anwendungen mit Netzwerkzugang: Jede Software, die Netzwerkverbindungen herstellt oder Daten von außen empfängt, ist ein potenzieller Angriffsvektor. Das schließt Videokonferenz-Tools, VPN-Clients und Remote-Support-Software ein.
Patch-Zyklen: Wie oft und wie schnell
Nicht jeder Patch hat dieselbe Dringlichkeit. Professionelles Patch-Management unterscheidet nach Kritikalität.
Kritisch (CVSS-Score 9 bis 10): Schwachstellen, die ohne Nutzerinteraktion aus der Ferne ausgenutzt werden können. Patching-Frist: 24 bis 72 Stunden nach Veröffentlichung. Diese Patches können nicht auf das nächste Wartungsfenster warten.
Hoch (CVSS-Score 7 bis 8.9): Ernstzunehmende Schwachstellen, für die ein Angriff wahrscheinlich ist. Patching-Frist: 7 bis 14 Tage.
Mittel und niedrig: Regulärer monatlicher Patch-Zyklus. Microsoft veröffentlicht Patches für Windows traditionell am zweiten Dienstag im Monat (Patch Tuesday), andere Hersteller nach eigenen Zeitplänen.
Diese Dringlichkeitsstufen sind nicht nur interne Richtlinie. Sie werden von Versicherern und Auditoren geprüft. Wer einen kritischen Patch drei Monate nach Veröffentlichung noch nicht eingespielt hat, hat ein erklärbares Problem.
Test vor Produktiv: Warum das wichtig ist
Das Argument, warum viele Unternehmen mit Updates zögern, ist nicht unbegründet: Patches können Probleme verursachen. Ein fehlerhafter Windows-Update kann Anwendungen inkompatibel machen, ein Treiber-Update kann Hardware-Probleme auslösen.
Das ist ein reales Risiko, aber die Antwort darauf ist nicht, Patches zu verzögern. Die Antwort ist eine strukturierte Test- und Rollout-Strategie.
In einer professionellen Umgebung gibt es drei Phasen:
Testumgebung: Neue Patches werden zunächst auf Testsystemen eingespielt, die dem Produktivbetrieb ähneln, aber nicht betriebskritisch sind. Dort zeigt sich, ob der Patch Probleme verursacht.
Pilotgruppe: Eine kleine Gruppe von Arbeitsplätzen im Echtbetrieb, deren Nutzer kurzfristig Feedback geben können. Hier wird geprüft, ob Alltagsanwendungen weiterhin funktionieren.
Breiter Rollout: Erst nach erfolgreicher Pilotphase wird der Patch auf alle Systeme verteilt.
Für kleine und mittlere Unternehmen ist dieses dreistufige Modell oft überdimensioniert. Eine pragmatische Alternative: Patches werden zunächst auf weniger kritischen Systemen eingespielt und nach 48 Stunden, sofern keine Probleme aufgetreten sind, auf die restlichen Systeme verteilt.
Wichtig in jedem Fall: Vor einem größeren Patch-Rollout ein Backup, das ein Rollback ermöglicht.
Drittanbieter-Software: Das unterschätzte Problem
Betriebssysteme werden in den meisten Unternehmen halbwegs regelmäßig aktualisiert. Bei Drittanbieter-Software sieht es deutlich schlechter aus.
Das Problem hat mehrere Ursachen. Drittanbieter-Updates kommen nicht zu einem festen Zeitpunkt. Sie erscheinen wenn der Hersteller fertig ist, mal wöchentlich, mal ohne erkennbares Muster. Es gibt kein zentrales Update-System für alle Drittanbieter-Programme. Jede Software hat ihre eigene Update-Logik, und viele aktualisieren sich nur, wenn das Programm aktiv gestartet ist.
Ein PDF-Reader, der seit zwei Jahren nicht mehr geöffnet wurde, aktualisiert sich in dieser Zeit nicht. Gleichzeitig wurden in diesen zwei Jahren vielleicht ein Dutzend kritische Schwachstellen entdeckt und gepatcht.
Managed-Service-Anbieter setzen für Drittanbieter-Patches spezialisierte Tools ein, die eine Inventarliste aller installierten Anwendungen führen und Patches automatisiert verteilen, unabhängig davon, ob das Programm gerade läuft oder nicht.
Automatisiertes Patch-Management über Managed Services
Für Unternehmen, die kein eigenes IT-Personal haben, ist manuelles Patch-Management nicht praktikabel. Die Alternative ist die Auslagerung an einen Managed-Service-Anbieter.
Was das konkret bedeutet: Der Dienstleister übernimmt die Inventarisierung aller Systeme und Software, die Überwachung auf neue Patches, die Priorisierung nach Kritikalität, die gesteuerte Verteilung und das Reporting.
Der Vorteil für das Unternehmen: Patches werden eingespielt, ohne dass ein Mitarbeitender aktiv werden muss, und ohne dass der laufende Betrieb gestört wird. Updates werden typischerweise außerhalb der Arbeitszeiten oder in definierten Wartungsfenstern eingespielt.
Der Vorteil für Audits und Versicherungen: Es gibt dokumentierte Nachweise über den Patch-Stand aller Systeme zu jedem Zeitpunkt.
Reporting und Nachweis für Audits
Patch-Management ohne Dokumentation ist halb so gut. Für drei wichtige Bereiche wird ein belegbarer Patch-Status benötigt:
Versicherungen: Cyberversicherer fragen beim Abschluss und bei Schadensfällen nach dem Patch-Status. Wer keine Nachweise liefern kann, hat ein Problem, wenn der Angriff über eine ungepatchte Schwachstelle erfolgt ist.
Zertifizierungen (ISO 27001, SOC 2): Beide Frameworks verlangen ein nachweisliches Vulnerability- und Patch-Management als Pflichtmaßnahme.
Eigene Haftungsabsicherung: Wenn ein Datenschutzvorfall auf eine ungepatchte Schwachstelle zurückgeht, ist die Dokumentation des Patch-Managements ein Nachweis, dass das Unternehmen angemessene Schutzmaßnahmen ergriffen hat. Das ist relevant für DSGVO-Bußgeldverfahren.
Ein gutes Patch-Management-Tool erzeugt automatisch Reports: welche Systeme haben welchen Patch-Stand, welche Patches wurden zu welchem Datum eingespielt, welche Systeme sind derzeit ungeschützt und warum.
Wer das alles manuell verfolgt, verliert früher oder später den Überblick. Insbesondere dann, wenn die Anzahl der Systeme wächst oder mehrere Standorte betreut werden müssen.
Wenn Sie wissen möchten, wie der aktuelle Patch-Status in Ihrem Unternehmen aussieht, oder wenn Sie Patch-Management systematisch aufbauen wollen: sprechen Sie uns an.
Beratungsgespräch vereinbaren: Kontakt zu ITCC
Häufige Fragen
Verwandte Themen
- SpezialfälleE-Mail-Sicherheit: SPF, DKIM und DMARC verständlich erklärt
Was SPF, DKIM und DMARC tun, wie sie CEO-Fraud und Spoofing verhindern, und warum fehlende DNS-Einträge Ihre E-Mails im Spam-Ordner landen lassen.
- SpezialfälleFirewall und Netzwerksicherheit für KMU
Was eine moderne Firewall leistet, warum der Router vom Provider nicht reicht, und wie ein sicheres KMU-Netz mit Segmentierung, VPN und Monitoring aufgebaut ist.
- SpezialfälleHomeoffice sicher anbinden: VPN und Zero Trust für KMU
Risiken bei Remote-Arbeit, VPN vs. Zero Trust Network Access, Gerätemanagement, MFA und Richtlinien für ein sicheres Homeoffice im KMU.