{"id":3581,"date":"2024-01-18T09:00:00","date_gmt":"2024-01-18T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2023\/10\/13\/patch-management-2023-ungepatchte-systeme-sicherheitsrisiko\/"},"modified":"2026-04-15T10:15:13","modified_gmt":"2026-04-15T10:15:13","slug":"patch-management-2023-ungepatchte-systeme-sicherheitsrisiko","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2024\/01\/18\/patch-management-2023-ungepatchte-systeme-sicherheitsrisiko\/","title":{"rendered":"Patch-Management 2023: Ungepatchte Systeme als gr\u00f6\u00dftes Sicherheitsrisiko"},"content":{"rendered":"<p><strong>Laut Verizon Data Breach Investigations Report 2023 werden 74% aller Sicherheitsverletzungen durch bekannte, gepatchte Schwachstellen verursacht. Das bedeutet: Wer seine Systeme konsequent auf dem aktuellen Stand h\u00e4lt, eliminiert drei von vier realen Angriffsvektoren. Warum gelingt das den meisten Unternehmen trotzdem nicht?<\/strong><\/p>\n<h2>Das Wichtigste in K\u00fcrze<\/h2>\n<ul>\n<li><strong>74% der Angriffe nutzen bekannte Schwachstellen:<\/strong> F\u00fcr die meisten davon gibt es l\u00e4ngst Patches.<\/li>\n<li><strong>Durchschnittliches Patching-Fenster:<\/strong> 60-150 Tage von CVE-Ver\u00f6ffentlichung bis Patch-Deployment (branchenabh\u00e4ngig).<\/li>\n<li><strong>Kritische CVEs: 24-72 Stunden:<\/strong> CISA und BSI empfehlen f\u00fcr kritische Schwachstellen sehr kurze Reaktionszeiten.<\/li>\n<li><strong>Asset-Inventar ist Voraussetzung:<\/strong> Man kann nicht patchen, was man nicht kennt  &#8211;  ein vollst\u00e4ndiges Software-Inventar ist der erste Schritt.<\/li>\n<li><strong>Risikobasiertes Patching:<\/strong> Nicht alle Systeme sind gleich kritisch  &#8211;  Priorisierung nach CVSS-Score und Exposition ist entscheidend.<\/li>\n<\/ul>\n<h2>Warum Patches nicht installiert werden<\/h2>\n<p>Die Gr\u00fcnde sind bekannt: fehlende Ressourcen, unvollst\u00e4ndiges Asset-Inventar, Angst vor Systemausf\u00e4llen durch Updates, komplexe Abh\u00e4ngigkeiten zwischen Anwendungen und keine klaren Verantwortlichkeiten. In vielen Unternehmen gibt es keine Single Source of Truth, welche Software in welcher Version wo l\u00e4uft.<\/p>\n<p>Legacy-Systeme sind ein besonderes Problem: Software, die nicht mehr offiziell unterst\u00fctzt wird (End of Life), erh\u00e4lt keine Sicherheitspatches mehr. Windows Server 2012, RHEL 7, \u00e4ltere Java-Versionen  &#8211;  sie laufen in vielen Produktionsumgebungen und sind bekannte Einfallstore.<\/p>\n<h2>Risikobasiertes Patch-Management: So geht es<\/h2>\n<p><strong>Schritt 1  &#8211;  Inventar:<\/strong> Vollst\u00e4ndiges Software-Asset-Management (SAM) ist die Grundlage. Welche Systeme, Anwendungen und Bibliotheken laufen wo, in welcher Version? Tools wie SCCM, Lansweeper, Qualys CSAM oder Tenable.io helfen dabei.<\/p>\n<p><strong>Schritt 2  &#8211;  Priorisierung:<\/strong> Nicht alle CVEs sind gleich gef\u00e4hrlich. CVSS-Score gibt eine Baseline, aber EPSS (Exploit Prediction Scoring System) und die CISA KEV (Known Exploited Vulnerabilities) Katalog sind bessere Indikatoren f\u00fcr tats\u00e4chliche Ausnutzungswahrscheinlichkeit.<\/p>\n<p><strong>Schritt 3  &#8211;  SLAs definieren:<\/strong> Kritisch (CVSS 9+, KEV): 24-72h. Hoch (CVSS 7-8): 7-14 Tage. Mittel: 30 Tage. Niedrig: 90 Tage. Diese SLAs m\u00fcssen verbindlich sein und gemessen werden.<\/p>\n<p><strong>Schritt 4  &#8211;  Testen und Ausrollen:<\/strong> Patches testen (Staging-Umgebung), dann rolling deployment  &#8211;  nicht alle Systeme gleichzeitig, um Ausfallrisiken zu minimieren.<\/p>\n<h2>Tools und Automatisierung<\/h2>\n<p>Manuelles Patch-Management skaliert nicht. Automatisierung ist der Schl\u00fcssel  &#8211;  besonders f\u00fcr Standard-Betriebssysteme und Anwendungen. Microsoft WSUS\/SCCM f\u00fcr Windows, Ansible\/Chef\/Puppet f\u00fcr Linux, Intune f\u00fcr mobile Ger\u00e4te.<\/p>\n<p>F\u00fcr Drittanbieter-Software (Adobe, Java, VPN-Clients, Browser) eignen sich Tools wie Ivanti Patch for Endpoint, Automox oder ManageEngine. Die meisten modernen Vulnerability-Management-Plattformen (Tenable, Qualys, Rapid7) bieten Patch-Orchestrierung an.<\/p>\n<h2>Key Facts auf einen Blick<\/h2>\n<p><strong>Angriffe mit bekannten Schwachstellen:<\/strong> 74% aller Breaches (Verizon DBIR 2023)<\/p>\n<p><strong>Durchschnittliches Patch-Fenster:<\/strong> 60-150 Tage (je nach Branche)<\/p>\n<p><strong>CISA KEV Katalog:<\/strong> \u00dcber 1.000 aktiv ausgenutzte Schwachstellen  &#8211;  Pflichtlekt\u00fcre<\/p>\n<p><strong>Empfohlenes SLA f\u00fcr kritische CVEs:<\/strong> 24-72 Stunden (BSI \/ CISA)<\/p>\n<p><strong>EoL-Systeme:<\/strong> Sch\u00e4tzungsweise 20-30% aller Enterprise-Systeme laufen ohne Sicherheits-Support<\/p>\n<p><strong>Fakt:<\/strong> Die Zahl der t\u00e4glich neu entdeckten Malware-Varianten liegt laut AV-TEST bei \u00fcber 450.000.<\/p>\n<p><strong>Fakt:<\/strong> 95 Prozent aller Cybersecurity-Vorf\u00e4lle sind laut IBM auf menschliche Fehler zur\u00fcckzuf\u00fchren.<\/p>\n<h2>H\u00e4ufige Fragen<\/h2>\n<h3>Was ist der CISA KEV Katalog?<\/h3>\n<p>Der CISA Known Exploited Vulnerabilities Katalog ist eine von der US-Beh\u00f6rde CISA gef\u00fchrte Liste von Schwachstellen, die aktiv in Angriffen ausgenutzt werden. Er ist kostenlos verf\u00fcgbar und gibt bessere Priorit\u00e4tssignale als der CVSS-Score alleine.<\/p>\n<h3>Wie unterscheidet sich CVSS von EPSS?<\/h3>\n<p>CVSS bewertet die theoretische Schwere einer Schwachstelle. EPSS (Exploit Prediction Scoring System) sch\u00e4tzt die Wahrscheinlichkeit, dass eine Schwachstelle in den n\u00e4chsten 30 Tagen aktiv ausgenutzt wird. EPSS ist oft handlungsrelevanter.<\/p>\n<h3>Was tun mit End-of-Life-Systemen, die nicht abgel\u00f6st werden k\u00f6nnen?<\/h3>\n<p>Kompensatorische Ma\u00dfnahmen: Netzwerksegmentierung (EoL-System isolieren), zus\u00e4tzliche Monitoring-Layer, Whitelist statt Blacklist f\u00fcr erlaubte Prozesse, und einen klaren Migrationsplan mit konkretem Datum.<\/p>\n<h3>Wer ist f\u00fcr Patch-Management verantwortlich?<\/h3>\n<p>Das sollte klar geregelt sein: typischerweise der IT-Betrieb f\u00fcr OS und Middleware, Anwendungseigner f\u00fcr ihre Software. Ein zentrales Vulnerability-Management-Team koordiniert, priorisiert und misst die SLA-Einhaltung.<\/p>\n<h3>Wie schnell muss Log4Shell gepatcht werden?<\/h3>\n<p>Log4Shell (CVE-2021-44228) war CVSS 10.0 und wurde sofort aktiv ausgenutzt. Solche Schwachstellen sollten innerhalb von 24 Stunden adressiert werden  &#8211;  entweder durch Patch, Workaround oder Isolation des Systems.<\/p>\n<h2>Weitere Artikel zum Thema<\/h2>\n<p>\u2192 Cybersecurity 2023: Die 7 wichtigsten Bedrohungen f\u00fcr Unternehmen<\/p>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/22\/zero-trust-pymes-inicio-5-pasos\/\">Zero Trust f\u00fcr den Mittelstand: Einstieg in 5 Schritten<\/a><\/p>\n<h2>Weiterf\u00fchrende Lekt\u00fcre im Netzwerk<\/h2>\n<p>IT-Sicherheit f\u00fcr Unternehmen: <a href=\"https:\/\/www.cloudmagazin.com\" target=\"_blank\" rel=\"noopener\">cloudmagazin.com<\/a><\/p>\n<p>Security-Strategie f\u00fcr C-Level: <a href=\"https:\/\/www.digital-chiefs.de\" target=\"_blank\" rel=\"noopener\">digital-chiefs.de<\/a><\/p>\n<h2>Verwandte Artikel<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2025\/05\/08\/passkeys-2025-guia-practica-empresas\/\">Passkeys 2025: Der praktische Leitfaden f\u00fcr die Unternehmenseinf\u00fchrung<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2024\/09\/06\/crowdstrike-ausfall-2024-lektionen-business-continuity\/\">CrowdStrike-Ausfall Juli 2024: Lektionen f\u00fcr Business Continuity und Vendor Risk<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2024\/05\/09\/post_id-3590\/\">Passwortsicherheit 2024: Passkeys, MFA und das Ende des klassischen Passworts<\/a><\/li>\n<\/ul>\n<p style=\"text-align: right;\"><em>Fuente de la imagen: Pexels \/ Field Engineer<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Die meisten erfolgreichen Cyberangriffe nutzen bekannte Schwachstellen aus, f\u00fcr die Patches seit Wochen oder Monaten verf\u00fcgbar sind. Warum Unternehmen","protected":false},"author":50,"featured_media":3580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Patch-Management","_yoast_wpseo_title":"","_yoast_wpseo_metadesc":"Die meisten erfolgreichen Cyberangriffe nutzen bekannte Schwachstellen aus, f\u00fcr die Patches seit Wochen oder Monaten verf\u00fcgbar sind. Warum Unternehmen ...","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","footnotes":""},"categories":[253],"tags":[26,120,49,112],"class_list":["post-3581","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","tag-cybersecurity","tag-it-security","tag-it-sicherheit","tag-sicherheitsstrategie"],"wpml_language":"es","wpml_translation_of":null,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/3581","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=3581"}],"version-history":[{"count":7,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/3581\/revisions"}],"predecessor-version":[{"id":12470,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/3581\/revisions\/12470"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/3580"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=3581"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=3581"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=3581"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}