Patch-Management 2023: Ungepatchte Systeme als größtes Sicherheitsrisiko

Laut Verizon Data Breach Investigations Report 2023 werden 74% aller Sicherheitsverletzungen durch bekannte, gepatchte Schwachstellen verursacht. Das bedeutet: Wer seine Systeme konsequent auf dem aktuellen Stand hält, eliminiert drei von vier realen Angriffsvektoren. Warum gelingt das den meisten Unternehmen trotzdem nicht?

Das Wichtigste in Kürze

• 74% der Angriffe nutzen bekannte Schwachstellen: Für die meisten davon gibt es längst Patches.
• Durchschnittliches Patching-Fenster: 60-150 Tage von CVE-Veröffentlichung bis Patch-Deployment (branchenabhängig).
• Kritische CVEs: 24-72 Stunden: CISA und BSI empfehlen für kritische Schwachstellen sehr kurze Reaktionszeiten.
• Asset-Inventar ist Voraussetzung: Man kann nicht patchen, was man nicht kennt – ein vollständiges Software-Inventar ist der erste Schritt.
• Risikobasiertes Patching: Nicht alle Systeme sind gleich kritisch – Priorisierung nach CVSS-Score und Exposition ist entscheidend.

Warum Patches nicht installiert werden

Die Gründe sind bekannt: fehlende Ressourcen, unvollständiges Asset-Inventar, Angst vor Systemausfällen durch Updates, komplexe Abhängigkeiten zwischen Anwendungen und keine klaren Verantwortlichkeiten. In vielen Unternehmen gibt es keine Single Source of Truth, welche Software in welcher Version wo läuft.

Legacy-Systeme sind ein besonderes Problem: Software, die nicht mehr offiziell unterstützt wird (End of Life), erhält keine Sicherheitspatches mehr. Windows Server 2012, RHEL 7, ältere Java-Versionen – sie laufen in vielen Produktionsumgebungen und sind bekannte Einfallstore.

Risikobasiertes Patch-Management: So geht es

Schritt 1 – Inventar: Vollständiges Software-Asset-Management (SAM) ist die Grundlage. Welche Systeme, Anwendungen und Bibliotheken laufen wo, in welcher Version? Tools wie SCCM, Lansweeper, Qualys CSAM oder Tenable.io helfen dabei.

Schritt 2 – Priorisierung: Nicht alle CVEs sind gleich gefährlich. CVSS-Score gibt eine Baseline, aber EPSS (Exploit Prediction Scoring System) und die CISA KEV (Known Exploited Vulnerabilities) Katalog sind bessere Indikatoren für tatsächliche Ausnutzungswahrscheinlichkeit.

Schritt 3 – SLAs definieren: Kritisch (CVSS 9+, KEV): 24-72h. Hoch (CVSS 7-8): 7-14 Tage. Mittel: 30 Tage. Niedrig: 90 Tage. Diese SLAs müssen verbindlich sein und gemessen werden.

Schritt 4 – Testen und Ausrollen: Patches testen (Staging-Umgebung), dann rolling deployment – nicht alle Systeme gleichzeitig, um Ausfallrisiken zu minimieren.

Tools und Automatisierung

Manuelles Patch-Management skaliert nicht. Automatisierung ist der Schlüssel – besonders für Standard-Betriebssysteme und Anwendungen. Microsoft WSUS/SCCM für Windows, Ansible/Chef/Puppet für Linux, Intune für mobile Geräte.

Für Drittanbieter-Software (Adobe, Java, VPN-Clients, Browser) eignen sich Tools wie Ivanti Patch for Endpoint, Automox oder ManageEngine. Die meisten modernen Vulnerability-Management-Plattformen (Tenable, Qualys, Rapid7) bieten Patch-Orchestrierung an.

Key Facts auf einen Blick

Angriffe mit bekannten Schwachstellen: 74% aller Breaches (Verizon DBIR 2023)

Durchschnittliches Patch-Fenster: 60-150 Tage (je nach Branche)

CISA KEV Katalog: Über 1.000 aktiv ausgenutzte Schwachstellen – Pflichtlektüre

Empfohlenes SLA für kritische CVEs: 24-72 Stunden (BSI / CISA)

EoL-Systeme: Schätzungsweise 20-30% aller Enterprise-Systeme laufen ohne Sicherheits-Support

Fakt: Die Zahl der täglich neu entdeckten Malware-Varianten liegt laut AV-TEST bei über 450.000.

Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.

Häufige Fragen

Was ist der CISA KEV Katalog?

Der CISA Known Exploited Vulnerabilities Katalog ist eine von der US-Behörde CISA geführte Liste von Schwachstellen, die aktiv in Angriffen ausgenutzt werden. Er ist kostenlos verfügbar und gibt bessere Prioritätssignale als der CVSS-Score alleine.

Wie unterscheidet sich CVSS von EPSS?

CVSS bewertet die theoretische Schwere einer Schwachstelle. EPSS (Exploit Prediction Scoring System) schätzt die Wahrscheinlichkeit, dass eine Schwachstelle in den nächsten 30 Tagen aktiv ausgenutzt wird. EPSS ist oft handlungsrelevanter.

Was tun mit End-of-Life-Systemen, die nicht abgelöst werden können?

Kompensatorische Maßnahmen: Netzwerksegmentierung (EoL-System isolieren), zusätzliche Monitoring-Layer, Whitelist statt Blacklist für erlaubte Prozesse, und einen klaren Migrationsplan mit konkretem Datum.

Wer ist für Patch-Management verantwortlich?

Das sollte klar geregelt sein: typischerweise der IT-Betrieb für OS und Middleware, Anwendungseigner für ihre Software. Ein zentrales Vulnerability-Management-Team koordiniert, priorisiert und misst die SLA-Einhaltung.

Wie schnell muss Log4Shell gepatcht werden?

Log4Shell (CVE-2021-44228) war CVSS 10.0 und wurde sofort aktiv ausgenutzt. Solche Schwachstellen sollten innerhalb von 24 Stunden adressiert werden – entweder durch Patch, Workaround oder Isolation des Systems.

Weitere Artikel zum Thema

→ Cybersecurity 2023: Die 7 wichtigsten Bedrohungen für Unternehmen

→ Zero Trust für den Mittelstand: Einstieg in 5 Schritten

Weiterführende Lektüre im Netzwerk

IT-Sicherheit für Unternehmen: cloudmagazin.com

Security-Strategie für C-Level: digital-chiefs.de

Artículos relacionados

• Passkeys 2025: Der praktische Leitfaden für die Unternehmenseinführung
• CrowdStrike-Ausfall Juli 2024: Lektionen für Business Continuity und Vendor Risk
• Passwortsicherheit 2024: Passkeys, MFA und das Ende des klassischen Passworts

Fuente de la imagen: Pexels / Field Engineer

Sobre el autor: Benedikt Langer

Más artículos de Benedikt Langer