Inhalt in Kürze
- Ungepatchte Software ist 2026 das häufigste Einfallstor für Ransomware. Laut BSI werden täglich rund 119 neue Schwachstellen veröffentlicht.
- 80 Prozent der Cyberangriffe in Deutschland richten sich laut BSI-Lagebericht 2025 gegen kleine und mittlere Unternehmen.
- Wer Patches manuell „bei Gelegenheit” einspielt, hat keinen Patch-Prozess — sondern ein Sicherheitstheater.
- Mit zentralem Patch-Management, Wartungsfenstern und dokumentierten Rollback-Routen erfüllen KMU NIS2-Pflichten und reduzieren das Angriffsrisiko massiv.
- hagel IT übernimmt Patch-Management im Managed-IT-Festpreis ab 50 Euro pro Arbeitsplatz und Monat.
Softwareupdates sind lästig. Sie kommen immer zur falschen Zeit, dauern länger als versprochen und brauchen einen Neustart. Trotzdem entscheiden sie 2026 über Ihre Existenz: Wer nicht patcht, wird angegriffen. Nicht „eventuell”. Sondern garantiert. Die Frage ist nur, wann.
Warum Softwareupdates wichtig sind — die nüchternen Zahlen
Das BSI veröffentlicht im Lagebericht 2025 drei Kennzahlen, die Geschäftsführer kennen sollten:
Jede dieser Schwachstellen ist ein potenzielles Einfallstor. Cyberkriminelle nutzen Schwachstellen-Datenbanken, scannen das Internet automatisiert und greifen alles an, was nicht gepatcht ist. Egal, ob Sie 5 oder 500 Mitarbeiter haben.
Eine kritische Lücke ist im Schnitt binnen weniger Stunden öffentlich bekannt — und binnen Tagen wird sie aktiv ausgenutzt. „Wir patchen quartalsweise" reicht nicht mehr. Patch-Management ist heute ein Wochenrhythmus, bei kritischen Lücken ein Tagesrhythmus.
Was bei Softwareupdates wirklich passiert
Ein Update ist mehr als ein lästiger Neustart. Hinter jedem Patch steckt:
- Sicherheitslücke schließen. Eine bekannte Schwachstelle wird behoben — bevor Angreifer sie nutzen.
- Stabilität verbessern. Bekannte Abstürze, Speicherlecks, Inkompatibilitäten werden gefixt.
- Funktionen ergänzen. Microsoft 365, Browser, Branchensoftware bekommen neue Features.
- Compliance erfüllen. NIS2, DSGVO und Cyberversicherung verlangen aktuellen Patch-Stand.
- Performance steigern. Optimierungen senken Speicher- und CPU-Bedarf.
Wer das ignoriert, sammelt mit jedem Tag mehr offene Lücken. Genau das sehen wir bei Neukunden regelmäßig: Server, der seit zehn Monaten nicht gepatcht wurde. Firewall mit Firmware aus 2022. Branchensoftware, die der Hersteller längst nicht mehr unterstützt.
Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Die typischen Patch-Probleme im KMU
Warum patchen so viele Unternehmen schlecht? Wir hören immer wieder dieselben Gründe — und alle sind lösbar:
„Wir trauen den Updates nicht.” Berechtigt. Microsoft hat schon Updates ausgeliefert, die Drucker oder Branchensoftware lahmgelegt haben. Lösung: Testumgebung plus gestufter Rollout. Wer alles gleichzeitig patcht, riskiert auch alles gleichzeitig.
„Im Update-Fenster läuft die Produktion.” Klar. Lösung: definierte Wartungsfenster außerhalb der Produktionszeiten, vorab kommuniziert. Bei 24/7-Betrieben mit Cluster-Setup, sodass immer eine Hälfte läuft.
„Wir wissen nicht, was alles im Netz hängt.” Sehr häufig. Lösung: Asset-Inventar. Ohne Inventar kein Patch-Management — Sie wissen sonst nicht einmal, was patchbar ist.
„Niemand fühlt sich zuständig.” Klassiker. Lösung: schriftliche Verantwortlichkeit. Ein Mitarbeiter ist Patch-Verantwortlicher, ein Vertreter ist benannt, beide sind im Plan dokumentiert.
Wie professionelles Patch-Management funktioniert
Patch-Management ist kein Tool — es ist ein Prozess. So sieht er bei hagel IT konkret aus:
- Inventarisierung. Zentrales Tool erfasst alle Geräte: Server, Clients, Firewalls, Switches, Drucker, mobile Geräte.
- Schwachstellen-Scan. Wöchentlich automatisiert, mit Priorisierung nach CVSS-Score und Ausnutzbarkeit.
- Test in Pilotgruppe. Patches werden zuerst auf 10 Prozent der Geräte ausgerollt — typischerweise IT-affine Mitarbeiter.
- Wartungsfenster. Server nachts, Clients über Mittag, Firewalls am Wochenende — vorab kommuniziert.
- Rollout in Wellen. Nach erfolgreichem Test 25 Prozent, dann 50, dann 100. Bei Problemen sofortiger Rollback.
- Reporting. Wöchentlicher Status-Bericht für die Geschäftsführung — ohne Fachjargon.
Bei kritischen Zero-Day-Lücken (z. B. Microsoft Exchange, VPN-Gateways) gilt eine Sonderprozedur: Bewertung binnen 4 Stunden, Patch oder kompensierende Maßnahme binnen 24 Stunden, Dokumentation für die Cyberversicherung. Wer das nicht hat, riskiert im Schadensfall den Versicherungsschutz.
Updates für unterschiedliche Systeme
Patch-Management ist nicht überall gleich:
- Windows Server und Clients. Über WSUS oder Microsoft Intune zentral gesteuert. Mehr dazu im Beitrag Windows 10 Feature- und Quality-Updates.
- Microsoft 365. Update-Kanäle definieren (Current, Monthly Enterprise, Semi-Annual). Details: Update-Kanäle für Unternehmen.
- Branchensoftware. Manuell mit Hersteller-Release-Notes, in Testumgebung geprüft.
- Firewalls und Switches. Quartalsweise plus Zero-Day-Sonderprozedur.
- Mobile Geräte. Über Microsoft Intune oder MDM, mit Compliance-Policies.
Was passiert, wenn Sie nicht patchen
Ein Hamburger Maschinenbauer, 35 Mitarbeiter — bei uns letztes Jahr im Erstgespräch. Der vorherige IT-Dienstleister hatte „bei Gelegenheit” gepatcht. Auf dem File-Server lag ein 14 Monate alter Patchstand. Wir haben das Risiko in 30 Minuten dokumentiert. Drei Wochen später kam der Anruf: Verschlüsselungsangriff über genau diese Lücke. Das Backup war ebenfalls betroffen.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Solche Fälle sind keine Ausnahme. Laut Bitkom-Studie 2025 erleidet jedes dritte Unternehmen pro Jahr einen Ransomware-Angriffsversuch — siehe auch unsere Übersicht aktueller Cybersicherheitsbedrohungen.
Patch-Management und NIS2
Seit dem NIS2-Umsetzungsgesetz (Dezember 2025) ist Patch-Management nicht mehr optional. Wer als wichtige oder besonders wichtige Einrichtung gilt, muss nachweisen:
- Aktuelle Patch-Stände auf allen relevanten Systemen
- Dokumentierte Schwachstellen-Bewertung
- Zero-Day-Reaktionsprozess mit Eskalationswegen
- Audit-fähige Reports
Genau diese Dokumentation verlangen auch Cyberversicherer im Compliance-Audit. Wer ohne Patch-Management durch eine Schadensbearbeitung muss, riskiert die Auszahlung.
Wie hagel IT Patch-Management bei KMU einrichtet
In drei Wochen aus dem Patch-Chaos:
Woche 1 — Inventar und Bewertung. Alle Geräte erfassen, Schwachstellen scannen, Risiken priorisieren. Ergebnis: Liste mit Sofort-Fixes, Quick Wins und langfristigen Aufgaben.
Woche 2 — Tooling und Wartungsfenster. Patch-Management-Tool ausrollen, Wartungsfenster mit der Geschäftsführung abstimmen, Pilotgruppe definieren.
Woche 3 — Erster Roll-out und Reporting. Patches ausspielen in Wellen, dokumentierter Status-Report, Übergabe an den laufenden Managed-IT-Service.
Ab dann läuft Patch-Management automatisiert im Hintergrund — Sie merken es nur am sauberen Wochenreport.
Bei [Hamburger KMU](/standorte/hamburg "IT-Service Hamburg — hagel IT-Services GmbH") koordinieren wir die Wartungsfenster typischerweise zwischen 22 und 6 Uhr — kombiniert mit der nächtlichen Backup-Routine. So merkt der Arbeitsalltag von Patch-Management praktisch nichts.
Wann wurde Ihr Server zuletzt gepatcht?
15 Minuten Erstgespräch. Kostenlos. Wir prüfen Ihre Patch-Lage und sagen ehrlich, wie groß das Risiko gerade ist.
Erstgespräch buchen →
