Zum Hauptinhalt springen
Informationssicherheit / NIS2

Patch-Management

Patch-Management ist der geordnete Prozess zum Identifizieren, Bewerten, Testen und Einspielen von Software-Updates und Sicherheitskorrekturen, um bekannte Schwachstellen in IT-Systemen zeitnah und kontrolliert zu beheben.

Patch-Management bezeichnet den strukturierten Lebenszyklus, mit dem Organisationen Software-Aktualisierungen für Betriebssysteme, Anwendungen, Firmware und Netzwerkkomponenten erfassen, bewerten, testen, freigeben und ausrollen. Ziel ist es, bekannt gewordene Schwachstellen zu schließen, bevor sie ausgenutzt werden können. Ein wirksames Patch-Management umfasst eine vollständige Bestandsaufnahme der eingesetzten Systeme (Asset-Inventar), eine kontinuierliche Beobachtung von Herstellermeldungen und Schwachstelleninformationen sowie eine risikobasierte Priorisierung, die kritische Sicherheitslücken vor weniger dringenden Updates behandelt.

Im Zentrum steht ein definierter Prozess: Nach der Identifikation eines Patches erfolgt eine Bewertung der Kritikalität – häufig anhand der CVSS-Bewertung der zugehörigen Schwachstelle – und der Auswirkungen auf den Geschäftsbetrieb. Vor dem produktiven Einsatz werden Patches in einer Testumgebung geprüft, um Stabilitäts- und Kompatibilitätsprobleme auszuschließen. Der Rollout erfolgt kontrolliert über definierte Wartungsfenster, begleitet von einem Change-Management, einer Dokumentation und einer Rückfallstrategie (Rollback) für den Fehlerfall. Festgelegte Fristen für das Einspielen besonders kritischer Patches stellen sicher, dass das Zeitfenster für Angreifer minimiert wird.

Patch-Management ist ein zentraler Baustein des Schwachstellenmanagements und damit der technischen Maßnahmen zur Risikobeherrschung. Aufsichts- und Standardrahmenwerke erwarten es ausdrücklich: Die NIS-2-Richtlinie und ihre nationale Umsetzung fordern angemessene technische Maßnahmen zur Beherrschung von Sicherheitsrisiken, einschließlich des Umgangs mit Schwachstellen und der Sicherheit von Lieferketten. Auch der BSI IT-Grundschutz (Baustein OPS.1.1.3 Patch- und Änderungsmanagement) sowie ISO/IEC 27001 (Anhang-A-Maßnahme 8.8 Management technischer Schwachstellen) verlangen einen dokumentierten, nachvollziehbaren und wiederkehrend überprüften Patch-Prozess.

Rechtliche Grundlage

Art. 21 Abs. 2 NIS-2-Richtlinie (EU) 2022/2555; § 30 BSIG (NIS2-Umsetzung); ISO/IEC 27001 Anhang A 8.8; BSI IT-Grundschutz OPS.1.1.3

Praxisbeispiel

Ein mittelständischer Maschinenbauer fällt unter die NIS-2-Pflichten als besonders wichtige Einrichtung. Die Informationssicherheitsbeauftragte etabliert ein zentrales Patch-Management: Ein Software-Verteilungswerkzeug inventarisiert alle Server, Clients und Netzwerkgeräte und gleicht sie täglich mit Herstellermeldungen und der BSI-Warnliste ab. Bei einer als kritisch eingestuften Schwachstelle (CVSS 9.8) in der eingesetzten VPN-Appliance löst sie den Notfall-Patch-Prozess aus: Der Patch wird binnen 24 Stunden in der Testumgebung geprüft, anschließend in einem außerplanmäßigen Wartungsfenster ausgerollt und mit Zeitstempel, Verantwortlichem und Rollback-Plan dokumentiert. Diese Nachweise legt sie dem nächsten Audit vor und belegt damit die Einhaltung der gesetzlich geforderten Reaktionsfristen.

Häufige Fragen

Schwachstellenmanagement ist der übergeordnete Prozess, der Schwachstellen kontinuierlich identifiziert, bewertet und priorisiert. Patch-Management ist eine zentrale Maßnahme daraus und konzentriert sich auf das geordnete Testen und Einspielen der vom Hersteller bereitgestellten Korrekturen. Nicht jede Schwachstelle lässt sich durch einen Patch beheben; manche erfordern kompensierende Maßnahmen.
Verbindliche feste Tagesfristen schreibt das Gesetz nicht starr vor; gefordert ist ein risikobasiertes, angemessenes und unverzügliches Vorgehen. In der Praxis empfehlen BSI und gängige Standards, kritische Patches je nach Risiko innerhalb weniger Tage, bei aktiv ausgenutzten Lücken möglichst innerhalb von 24 bis 72 Stunden einzuspielen. Die selbst festgelegten Fristen sollten dokumentiert und nachweisbar eingehalten werden.
Updates können Inkompatibilitäten, Fehlfunktionen oder Ausfälle in produktiven Systemen verursachen. Ein Test in einer repräsentativen Umgebung sowie ein vorbereiteter Rollback-Plan reduzieren das Risiko von Betriebsstörungen. So wird das Sicherheitsziel Verfügbarkeit gewahrt, während gleichzeitig die Schwachstelle geschlossen wird.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Schwachstellenmanagement Systemhärtung BSI IT-Grundschutz NIS-2-Richtlinie Asset-Management
Zurück zum Glossar