Compliance-Lexikon · Praxis
Patch Management – Praxis
Patch Management ist im Audit einer der am häufigsten geprueften Punkte – und einer der häufigsten Befundpunkte. Was Auditoren konkret verlangen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Prüfung des Patch Managements prüft der Auditor den Prozess, den Compliance-Report und die Ausnahmebehandlung. Das BAM-Objekt TECH-PM-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Patch-Compliance-Report zeigt >90 Tage alte kritische Patches – keine Fristen eingehalten
- Drittanbieter-Software nicht im Scope des Patch-Prozesses
- Legacy-Systeme ohne Patch-Möglichkeit ohne dokumentierte Kompensationsmassnahmen
- Keine Eskalation bei Überschreitung der Patch-Fristen
Praxis-Tipp
Für Patch Management gilt: Ein Patch-Compliance-Report ist erst dann aussagekräftig, wenn er alle Systeme enthält – nicht nur die vom Patch-Tool bekannten. Blinde Flecken (nicht verwaltete Systeme, Cloud-Assets) sind regelmässig die Quelle der kritischsten Schwachstellen.
Umsetzung Schritt für Schritt
Erster Schritt: Vollständiges Asset-Inventar – Patch Management beginnt mit Sichtbarkeit. Zweiter Schritt: Patch-Richtlinie mit Fristen pro Kritikalitätsklasse und Ausnahmeprozess erstellen. Dritter Schritt: Schwachstellen-Scanner auf alle Systeme ausrichten – authentifiziert. Vierter Schritt: Patch-Deployment automatisieren, wo möglich. Fünfter Schritt: Wöchentlichen Patch-Compliance-Report für alle Systemkategorien erzeugen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte Patch-Management-Richtlinie mit Fristen, aktuellen Patch-Compliance-Report fuer alle Systemkategorien, Ausnahmeliste mit Risikoakzeptanz und Kompensationsmassnahmen sowie Eskalationsnachweis bei Überschreitungen.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.