Patch-Management
Was ist Patch-Management?
Patch-ManagementEnd-to-End-Prozess, der Software-Updates zur Behebung von Schwachstellen oder Fehlern identifiziert, testet, ausrollt und verifiziert.
Patch-Management umfasst den gesamten Lebenszyklus von der Veröffentlichung einer Schwachstelle bis zur verifizierten Behebung – über Betriebssysteme, Firmware, Anwendungen, Container und Abhängigkeiten hinweg. Reife Programme priorisieren Patches anhand von Exploitability-Daten (CVSS, EPSS, KEV), Geschäftskritikalität und kompensierenden Kontrollen und rollen sie in gestaffelten Ringen aus, um das Betriebsrisiko zu begrenzen. Automatisierung, Change-Windows, Rollback-Pläne und SLAs nach Schweregrad sind essenziell.
Das tödliche Zeitfenster liegt zwischen Patch und Rollout
Dass ein Patch existiert, schützt niemanden; ihn zu installieren schon – und die Lücke dazwischen ist, wo Breaches passieren.
- Equifax (2017): Die Apache-Struts-Lücke CVE-2017-5638 wurde am 7. März 2017 gepatcht; Angreifer begannen um den 10. März, Equifax' ungepatchtes Portal auszunutzen, und exfiltrierten bis Ende Juli Daten von rund 147 Millionen Menschen, weil der Fix nie eingespielt wurde.
- WannaCry (Mai 2017): Microsoft veröffentlichte MS17-010 am 14. März 2017 und behob die SMBv1-Lücke (CVE-2017-0144), die der geleakte EternalBlue-Exploit missbrauchte. Zwei Monate später wurden Organisationen, die es nicht ausgerollt hatten – darunter Teile des britischen NHS –, von wurmartig verbreiteter Ransomware lahmgelegt.
- Log4Shell (CVE-2021-44228, 2021): Eine trivial ausnutzbare RCE in einer allgegenwärtigen Logging-Bibliothek zeigte, warum ein lebendes Software-Inventar (SBOM) heute Teil des Patch-Managements ist.
Wie reife Programme priorisieren
Da kein Team alles auf einmal patchen kann, ordnen moderne Programme die Arbeit nach Ausnutzungswahrscheinlichkeit, nicht nur nach CVSS-Schweregrad. Der Known-Exploited-Vulnerabilities-(KEV)-Katalog der CISA (gestartet im November 2021) und die EPSS-Werte von FIRST lassen die kleine Menge aktiv angegriffener Lücken vorziehen, während Routine-Fixes durch gestaffelte Ringe mit Rollback-Plänen laufen.
flowchart LR A[Schwachstelle veröffentlicht / CVE] --> B[Asset-Inventar + SBOM:<br/>sind wir betroffen?] B --> C[Priorisieren: CVSS + EPSS + KEV<br/>+ Geschäftskritikalität] C --> D[Im Pilotring testen] D --> E[Gestaffelter Rollout:<br/>breit, dann Produktion] E --> F[Per Re-Scan verifizieren] F -->|Fehlschlag / Regression| G[Rollback + kompensierende Kontrolle] G --> D
● Beispiele
- 01
Außerplanmäßiger Notfall-Patch-Zyklus für eine im CISA-KEV-Katalog gelistete RCE.
- 02
Monatliche Windows-Patches in Ringen ausrollen: Pilot, breite Welle, Produktion.
● Häufige Fragen
Was ist Patch-Management?
End-to-End-Prozess, der Software-Updates zur Behebung von Schwachstellen oder Fehlern identifiziert, testet, ausrollt und verifiziert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Patch-Management?
End-to-End-Prozess, der Software-Updates zur Behebung von Schwachstellen oder Fehlern identifiziert, testet, ausrollt und verifiziert.
Wie schützt man sich gegen Patch-Management?
Schutzmaßnahmen gegen Patch-Management kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Patch-Management?
Übliche alternative Bezeichnungen: Update-Management.