# Patch-Management und Updates

**Was ist Patch-Management?**

Patch-Management ist der geregelte Umgang mit Sicherheitsupdates. Ein Patch ist die Korrektur, mit der ein Hersteller eine bekannt gewordene Sicherheitslücke schließt. Geregelt heißt: Sie wissen, welche Systeme laufen, erfahren von neuen Updates und spielen sie in einer festgelegten Frist ein.

Sicherheitslücken werden häufig in dem Moment öffentlich, in dem der Hersteller den Patch bereitstellt. Ab diesem Zeitpunkt wissen auch Angreifer, wo die Lücke sitzt, und automatisierte Suchprogramme durchkämmen das Internet nach Systemen, die das Update noch nicht erhalten haben. Die Zeitspanne zwischen der Veröffentlichung eines Updates und dem Einspielen im Betrieb ist damit ein offen stehendes Fenster. Wer diese Spanne kurz hält, nimmt einem großen Teil der automatisierten Angriffe die Grundlage.

Windows und Office aktualisieren sich meist von selbst. Die Aufmerksamkeit gehört den Geräten, an die im Alltag niemand denkt: die Firmware, also die fest im Gerät verbaute Steuersoftware, von Firewall und Router, der Netzwerkspeicher, die Netzwerkdrucker, die Kameras der Videoüberwachung, die Zeiterfassung, das Kassensystem, die Steuerungsrechner an Maschinen, die Fernwartungssoftware, die Erweiterungen der Firmenwebsite. Besonders dringlich sind Systeme, die aus dem Internet erreichbar sind, weil sie ununterbrochen gefunden und abgeklopft werden.

Ein eigener Fall ist Software am Ende ihres Lebenszyklus, also Programme und Geräte, für die der Hersteller keine Sicherheitsupdates mehr liefert. Eine Lücke, die danach bekannt wird, bleibt dauerhaft offen. Das betrifft alte Betriebssystemversionen, ältere Netzwerkspeicher und Telefonanlagen ebenso wie Fachsoftware, deren Anbieter den Betrieb eingestellt hat. Für solche Systeme brauchen Sie einen Plan mit Termin und Budget. Ist eine Ablöse kurzfristig unmöglich, wird das Gerät in einen abgetrennten Netzbereich gestellt und vom Internet ferngehalten.

Der erste sinnvolle Schritt ist ein Verzeichnis: Welche Geräte, Betriebssysteme und Programme laufen im Betrieb, in welcher Version, wer ist dafür zuständig, und bis wann liefert der Hersteller Updates? Auf dieser Grundlage legen Sie je Kategorie eine Regel fest. Wer prüft in welchem Abstand auf Updates, in welcher Frist werden sie eingespielt, welche Systeme werden vorher in einem Wartungsfenster getestet, und wer hält das Ergebnis fest? Automatische Updates sind dort die einfachste Lösung, wo ein Neustart keinen Produktionsausfall auslöst.

Der IT-Check erhebt vor Ort den Versions- und Updatestand der eingesetzten Systeme und sucht in einem leichten Penetrationstest, also einem bewusst zurückhaltend geführten Angriffsversuch von außen, nach Diensten mit veralteten Versionen. Den Befund mit Maßnahmenplan erhalten Sie innerhalb von 14 Werktagen.

## Verwandte Begriffe
- [Schwachstelle und Schwachstellenanalyse](https://vetosec.at/it-sicherheit/schwachstelle/)
- [Schwachstellenscan](https://vetosec.at/it-sicherheit/schwachstellenscan/)
- [IT-Inventar](https://vetosec.at/it-sicherheit/it-inventar/)
- [Zero-Day-Lücke](https://vetosec.at/it-sicherheit/zero-day/)

## Quelle
https://vetosec.at/it-sicherheit/patch-management/ (vetosec, schutz)
