Compliance-Lexikon · Technik
Patch Management
[pætʃ ˈmænɪdʒmənt] · auch: Schwachstellenbehebung, Update-Management, Patch-Prozess
Patch Management bezeichnet den systematischen Prozess der Identifikation, Bewertung, Priorisierung und zeitgerechten Installation von Sicherheits-Updates fuer alle Systeme und Software – als Grundlage der Cyber Hygiene und als explizite Anforderung aller wesentlichen Compliance-Frameworks.
Warum Patch Management Pflichtprogramm und kein optionales Extra ist
Die großen Cyberangriffe der letzten Jahre – WannaCry, NotPetya, Log4Shell – haben eines gemeinsam: Sie nutzten bekannte Schwachstellen aus, für die Patches bereits verfügbar waren. Das Problem war nicht das Fehlen eines Patches, sondern die fehlende oder zu langsame Anwendung. NIS-2 und BSI IT-Grundschutz machen Patch Management zur expliziten Pflicht – mit der Erwartung, dass kritische Patches innerhalb definierter Fristen eingespielt werden.
Wo Patch Management gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.8 | Management von technischen Schwachstellen: Patch Management als explizite Kontrollanforderung. |
| NIS-2 / BSIG | § 30 Abs. 2 | Patch Management als Teil der Cyber-Hygiene-Anforderungen fuer wesentliche Einrichtungen. |
| DORA | Art. 9 | Schwachstellenmanagement und Patching als IKT-Sicherheitsanforderung im Finanzsektor. |
| BSI IT-Grundschutz | SYS.1.1 / APP.1.1 | Allgemeiner Server und Allgemeiner Client: Regelmässiges Patching als Grundschutz-Pflicht. |
| CIS Controls v8 | Control 7 | Continuous Vulnerability Management: Patch Management als einer der wirkungsvollsten CIS-Controls. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Kein dokumentierter Patch-Prozess mit definierten Fristen
- Patch-Compliance-Berichte fehlen – kein Nachweis der Einhaltung
- Ausnahmen (Legacy-Systeme, Produktionssysteme) ohne dokumentierte Risikoakzeptanz
- Nur Betriebssysteme gepatcht – Drittanbieter-Software (Browser, Java, PDF-Reader) vergessen
Patch-Priorisierung nach Kritikalität
Nicht alle Patches sind gleich dringend. Die Priorisierung orientiert sich am CVSS-Score und der Ausnutzbarkeit: Kritisch (CVSS 9.0-10.0, aktiv ausgenutzt): Sofortmassnahme, Patch innerhalb von 24-72 Stunden. Hoch (CVSS 7.0-8.9): Patch innerhalb von 7 Tagen. Mittel (CVSS 4.0-6.9): Patch im nächsten Maintenance-Window, spätestens 30 Tage. Niedrig (CVSS <4.0): Patch im nächsten Release-Zyklus, spätestens 90 Tage. Diese Fristen müssen in einer Patch-Management-Richtlinie dokumentiert und technisch überprueft werden.
Patch Management für verschiedene Systemkategorien
Patch Management ist keine Einheitslösung: Workstations und Laptops lassen sich meist automatisiert patchen (WSUS, Intune, JAMF). Server erfordern Change-Management-Prozesse und geplante Maintenance-Windows. Produktions-OT-Systeme haben oft lange Patch-Zyklen und erfordern spezifische Risikoabwägungen. Cloud-Ressourcen nutzen Immutable-Infrastructure-Ansätze (Container, AMIs) statt traditionellem Patching. Jede Kategorie braucht eine spezifische Strategie – dokumentiert und regelmässig geprueft.
Nächste Ebene
Patch Management in der Praxis: Prozess, Compliance und Evidence
Was Auditoren bei Patch Management konkret pruefen und welche Evidence benoetigt wird.