Patch – Definition, Arten & Patch-Management

Q: Was ist ein Patch-Day und was ist der Microsoft Patch Tuesday?

Microsoft veröffentlicht Sicherheitspatches jeden zweiten Dienstag im Monat – bekannt als „Patch Tuesday". IT-Abteilungen weltweit planen ihre Patch-Rollouts um dieses Datum herum. Im Durchschnitt veröffentlicht Microsoft pro Patch-Tuesday 70–100 Sicherheitsupdates für Windows, Office und andere Produkte.

Q: Was ist ein CVE und wie hilft er beim Patch-Management?

CVE (Common Vulnerabilities and Exposures) ist ein öffentliches Verzeichnis bekannter Sicherheitslücken, betrieben von MITRE. Jede Schwachstelle erhält eine eindeutige CVE-ID (z. B. CVE-2021-44228 für Log4Shell) und einen CVSS-Score. IT-Teams nutzen CVE-Datenbanken, um zu prüfen, ob ihre Systeme betroffen sind und mit welcher Priorität zu patchen ist.

Q: Warum sollte ich Patches nicht sofort auf Produktivsystemen einspielen?

Schlecht getestete Patches können neue Probleme verursachen: Inkompatibilitäten mit anderen Systemen, Anwendungsabstürze oder gar System-Instabilität. Best Practice: 1) In Testumgebung deployen, 2) Funktionsfähigkeit prüfen, 3) Rollback-Plan bereithalten, 4) Produktiv-Rollout mit Wartungsfenster. Bei kritischen Sicherheitspatches wiegen die Risiken eines ungepatchten Systems schwerer als das Testrisiko.

Q: Was ist Virtual Patching?

Virtual Patching ist eine Überbrückungslösung: Wenn ein Hersteller-Patch noch nicht verfügbar ist oder nicht sofort eingespielt werden kann (z. B. auf Legacy-Systemen), übernimmt eine WAF (Web Application Firewall) oder ein IPS (Intrusion Prevention System) den Schutz, indem es bekannte Exploit-Muster blockiert. Dies ist besonders relevant für Zero-Day-Schwachstellen.

Q: Wie automatisiere ich Patch-Management in meinem Unternehmen?

Gängige Tools: Windows WSUS (kostenlos für Windows-Umgebungen), Microsoft SCCM/Intune (Enterprise), Ivanti Patch Management, Qualys Patch Management, ManageEngine Patch Manager Plus. Diese Tools inventarisieren automatisch alle Systeme, laden Patches herunter und deployen sie nach konfigurierbaren Zeitplänen.

Was ist ein Patch?

Ein Patch (englisch: Flicken) ist eine gezielte Softwareaktualisierung, die eine spezifische Schwachstelle behebt, einen Fehler korrigiert oder eine kleine Verbesserung einführt – ohne die gesamte Software neu zu installieren. Im Gegensatz zu einem vollständigen Update (das breite Verbesserungen und neue Funktionen umfasst) ist ein Patch eine chirurgische Korrektur. Patches sind die wichtigste präventive Maßnahme in der IT-Sicherheit: Laut dem Verizon Data Breach Investigations Report 2023 nutzten 82 % aller erfolgreichen Cyberangriffe bekannte Schwachstellen aus, für die zum Zeitpunkt des Angriffs bereits ein Patch verfügbar war. Das BSI empfiehlt, kritische Sicherheitspatches innerhalb von 24 Stunden einzuspielen.

Ein ungepatchtes System ist wie ein Haus mit gebrochenen Schlössern: Die Einbrecher kennen die Schwachstelle, der Bewohner nicht – und jeden Tag wächst die Chance, dass jemand einbricht.

Auf einen Blick – Key Facts

Kennzahl	Wert	Quelle
Angriffe auf bekannte, gepatchte Schwachstellen	82 % aller Breaches	Verizon DBIR 2023
Empfohlene Zeit bis zur Einspielung kritischer Patches	< 24 Stunden	BSI IT-Grundschutz
Durchschnittliche Zeit zwischen Patch-Release und erstem Exploit	15 Tage	Ponemon Institute 2023
Unternehmen mit automatisiertem Patch-Management	~43 %	Ivanti Patch-Management-Studie 2023
Monatliche Microsoft Patch-Days (Ø)	70–100 Patches	Microsoft Security Response Center

Patch vs. Update vs. Upgrade – Die Unterschiede

Begriff	Umfang	Typischer Anlass	Beispiel
Patch / Hotfix	Klein, gezielt	Sicherheitslücke, kritischer Bugfix	MS-Sicherheitspatch für IE
Update / Service Pack	Mittel–Groß	Viele Bugfixes, kleine Features	Windows Update KB5034843
Upgrade	Sehr groß	Neue Hauptversion, neue Features	Windows 10 → Windows 11

Patch-Arten im Überblick

Typ	Zweck	Priorität
Sicherheitspatch	Schließt CVE-gemeldete Sicherheitslücken	Kritisch – sofortige Einspielung
Bugfix-Patch	Behebt Funktionsfehler (keine Sicherheitsrelevanz)	Mittel – nächstes Wartungsfenster
Hotfix	Notfallpatch für kritische, akute Probleme	Kritisch – sofort
Rollup-Patch	Sammlung aller bisherigen Patches (kumulativ)	Hoch – bei Neuinstallationen
Feature-Patch	Kleine Funktionserweiterungen	Niedrig

Der Patch-Management-Prozess

Inventarisierung: Vollständiges Asset-Management – welche Software läuft in welcher Version auf welchem System?
Monitoring: Kontinuierliche Überwachung auf neue CVEs (Common Vulnerabilities and Exposures) und Hersteller-Bulletins.
Bewertung & Priorisierung: CVSS-Score (Common Vulnerability Scoring System) bestimmt Kritikalität: 9–10 = kritisch, 7–8,9 = hoch, 4–6,9 = mittel.
Testen: Patches in Staging-Umgebung testen, bevor sie produktiv eingespielt werden.
Rollout: Deployment via Patch-Management-Tool (WSUS, SCCM, Ivanti, Qualys).
Verifikation: Überprüfung der erfolgreichen Installation auf allen Zielsystemen.
Dokumentation: Nachverfolgung aller Patches für Compliance und Audit-Zwecke.

Häufig gestellte Fragen (FAQ)

Was ist ein Patch-Day und was ist der Microsoft Patch Tuesday?
Microsoft veröffentlicht Sicherheitspatches jeden zweiten Dienstag im Monat – bekannt als „Patch Tuesday". IT-Abteilungen weltweit planen ihre Patch-Rollouts um dieses Datum herum. Im Durchschnitt veröffentlicht Microsoft pro Patch-Tuesday 70–100 Sicherheitsupdates für Windows, Office und andere Produkte.

Was ist ein CVE und wie hilft er beim Patch-Management?
CVE (Common Vulnerabilities and Exposures) ist ein öffentliches Verzeichnis bekannter Sicherheitslücken, betrieben von MITRE. Jede Schwachstelle erhält eine eindeutige CVE-ID (z. B. CVE-2021-44228 für Log4Shell) und einen CVSS-Score. IT-Teams nutzen CVE-Datenbanken, um zu prüfen, ob ihre Systeme betroffen sind und mit welcher Priorität zu patchen ist.

Warum sollte ich Patches nicht sofort auf Produktivsystemen einspielen?
Schlecht getestete Patches können neue Probleme verursachen: Inkompatibilitäten mit anderen Systemen, Anwendungsabstürze oder gar System-Instabilität. Best Practice: 1) In Testumgebung deployen, 2) Funktionsfähigkeit prüfen, 3) Rollback-Plan bereithalten, 4) Produktiv-Rollout mit Wartungsfenster. Bei kritischen Sicherheitspatches wiegen die Risiken eines ungepatchten Systems schwerer als das Testrisiko.

Was ist Virtual Patching?
Virtual Patching ist eine Überbrückungslösung: Wenn ein Hersteller-Patch noch nicht verfügbar ist oder nicht sofort eingespielt werden kann (z. B. auf Legacy-Systemen), übernimmt eine WAF (Web Application Firewall) oder ein IPS (Intrusion Prevention System) den Schutz, indem es bekannte Exploit-Muster blockiert. Dies ist besonders relevant für Zero-Day-Schwachstellen.

Wie automatisiere ich Patch-Management in meinem Unternehmen?
Gängige Tools: Windows WSUS (kostenlos für Windows-Umgebungen), Microsoft SCCM/Intune (Enterprise), Ivanti Patch Management, Qualys Patch Management, ManageEngine Patch Manager Plus. Diese Tools inventarisieren automatisch alle Systeme, laden Patches herunter und deployen sie nach konfigurierbaren Zeitplänen.

Fazit

Konsequentes Patch-Management ist die effektivste und kostengünstigste Cybersecurity-Maßnahme. Die meisten erfolgreichen Angriffe nutzen keine ausgefeilten Zero-Days, sondern bekannte, längst gepatchte Schwachstellen. Ein strukturierter Patch-Prozess mit klaren Priorisierungen, automatisierten Deployments und Compliance-Tracking schließt diese Angriffsfläche nachhaltig.