Wenn die Software auf dem Notebook der Vertriebsmitarbeiterin im Homeoffice veraltet ist, reiben sich Trojaner, Viren & Co. die Hände. Besonders perfide: Solche offenen Flanken bleiben der zentralen IT oft verborgen – Stichwort dezentrale Strukturen und Personalmangel. Die Lösung? Automatisiertes Patch-Management über Unified-Endpoint-Management-Lösungen (UEM).
Früher reichte es, im Büro alle Rechner zu patchen. Heute verteilt sich das Unternehmen über Städte, Länder, Kontinente. Unified Endpoint Management ist der unsichtbare Dirigent, der trotz dezentraler Arbeitsmodelle für Sicherheit sorgt.
(Bild: KI-generiert)
Software-Updates sind umfassende Aktualisierungen, die verschiedene Verbesserungen und Änderungen enthalten. Ein Patch hingegen dient der gezielten Behebung eines bestimmten Problems oder einer Schwachstelle. Beides ist essenziell für die IT-Sicherheit eines Unternehmens. Die individuellen Anforderungen an die eigene Sicherheit, rechtliche Vorgaben, Unternehmensgröße und Ausgestaltung der Softwarelandschaft sind hierbei natürlich bestimmende Faktoren.
Gleichwohl sollten Patches und Updates regelmäßig eingespielt werden – mit definierter Priorisierung und Reporting. Jede Organisation sollte sich zudem vorab ein Vorgehen für das Notfall-Patching zurechtlegen und dies dann auch umfassend dokumentieren können. Tests vor dem Rollout eines Updates sind unerlässlich, ebenso wie ein zuverlässiges Backup für ein eventuelles Rollback.
Vorteile der Automatisierung
Nächste Stufe wäre dann die Automatisierung der Patch-Vorgänge. Sie hat zwei wesentliche Vorteile gegenüber dem manuellen Procedere: Zum einen werden menschliche Fehler minimiert und zum anderen nimmt der Automatismus auf Urlaub oder Krankheit keine Rücksicht, es treten also keine Verzögerungen ein.
Zunächst ist dabei zu definieren, welche Updates in welcher Geschwindigkeit und in welcher Reihenfolge eingespielt werden sollen. Kritische und sicherheitsrelevante Updates sollten stets Priorität vor reinen Feature-Updates haben. Hilfreich für eine durchgehende Erfolgskontrolle ist die Verknüpfung des Patch Managements mit einem Schwachstellenmanagement.
Eine erfolgreiche Automatisierung des Patch Managements kann sich an Konzepten wie SOAR (Security Orchestration and Response) orientieren, die bewährte Prozesse bereitstellen. Eine zentrale Voraussetzung für die Automatisierung sind vollständige Inventardaten, denn nur bekannte Geräte lassen sich schützen. Schatten-IT muss daher vermieden werden.
Neue Arbeitswelten, neue Herausforderungen
Früher lautete die vergleichsweise einfache Aufgabe: Patche 50 personalisierte Windows-Rechner in der Firma! Mittlerweile greift heute Kollege A, morgen Kollegin B auf ein Notebook zu und arbeitet damit an beliebigen Orten. Die veränderten Arbeitsbedingungen, insbesondere durch Homeoffice und dezentrale Arbeitsplätze, stellen demnach neue Herausforderungen für Admins dar. Patchen fand früher während der klassischen Bürozeiten statt, heute müssen individuelle Lösungen gefunden und die Mitarbeitenden in den Prozess einbezogen werden.
Zeitnahes und sicheres Patchen unter Einbeziehung der Mitarbeitenden heißt also das Ziel. Die IT sollte diese stets über die Bedeutung des jeweiligen Patches/Updates informieren. Je größer das Unternehmen, desto wichtiger die Einbeziehung. Denn mit der Größe steigt üblicherweise auch die Individualität von Anwesenheiten. Es muss also genauer und auf den Einzelfall heruntergebrochen definiert werden, wann der oder die Einzelne am Arbeitsplatz ist, so dass sich Updates und Patches unterbrechungsfrei installieren lassen.
Die Startseite der ACMP Suite gibt einen Überblick über die Struktur der Clients und aktuell gelaufene Jobs. Von hier ist ein Absprung in die einzelnen Module möglich.
(Bild: Aagon)
UEM-Lösungen als zentrales Werkzeug
Moderne UEM-Lösungen bieten Kiosksysteme, in denen Nutzer ihre Software auch selbst zum gewünschten Zeitpunkt installieren können. Alternativ erhalten sie Hinweise auf anstehende Updates und können diese eigenständig einplanen. Dadurch gewinnen Prozessüberwachung und Reporting weiter an Bedeutung. UEM- und Secure-UEM-Systeme kombinieren dabei nicht nur automatisierte Updates, sondern auch Schwachstellen-, Verschlüsselungs- und Antivirenmanagement in einem zentralen System.
Effizienz durch automatisiertes Schwachstellenmanagement
Dass IT-Abteilungen über keine üppigen Personalressourcen verfügen, ist bekannt. Daher ist eine Kombination aus automatisiertem Patch- und Schwachstellenmanagement sinnvoll, um Patches gezielt priorisieren zu können. Dadurch werden hoch bewertete Schwachstellen, die ein tatsächliches Unternehmensrisiko darstellen, schon einmal als erstes geschlossen. Der Automatismus sollte immer aus einer gefundenen Schwachstelle heraus gestartet werden. So ist es ideal, dass eine Unified-Endpoint-Management-Lösung betroffene Geräte automatisch erkennt. Dies gilt auch für neu hinzukommende oder wiederauftauchende Geräte mit bekannten Schwachstellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Kosten-Narrativ aufbrechen: Angriff ist teurer als Prävention
Oft vernachlässigen es Unternehmen, ein stringentes Berichtswesen rund um das Patch Management aufzubauen, sowohl beim Asset Management im Vorfeld als auch bei der Erfolgskontrolle nach dem Rollout. Dashboards und automatische Reports bieten hier eine wertvolle Unterstützung. Dort kann der Admin eine selbst generierte Benachrichtigung einrichten, die das UEM-System nur dann ersetzt, wenn ein Gerät nach einer festgelegten Zeit noch nicht aktualisiert wurde. Große Unternehmen führen häufig eine doppelte Erfolgskontrolle mit Hilfe eines zweiten Schwachstellenmanagements durch, um sicherzustellen, dass alle Sicherheitslücken tatsächlich geschlossen sind.
Hürden für ein professionelles Patch Management sind immer wieder die angeblich hohen Kosten. IT-Verantwortliche sollten der Geschäftsführung daher verdeutlichen, dass potenzielle Schäden durch Cyberangriffe im Endeffekt viel teurer sind als das Aufsetzen eines ordentlichen Patch Managements. Nicht nur die Schäden eines Angriffs zu beheben, auch die folgende Handlungsunfähigkeit über Tage oder Wochen hinweg ist hier in die Rechnung aufzunehmen. Zudem spart eine automatisierte Lösung wertvolle Arbeitszeit und steigert die Effizienz der IT-Abteilung. Beispiele gehackter Unternehmen aus der gleichen Branche eignen sich in solchen Gesprächen immer hervorragend als Abschreckung.
In der ACMP Console lässt sich detailliert einrichten, an welche Testringe neue Patches als erstes ausgespielt werden, bevor der unternehmensweite Rollout startet.
(Bild: Aagon)
Test- und Rolloutprozesse: Vertrauen ist gut, Testen ist besser
Einige Anbieter von Patch-Management-Lösungen stellen ihren Kunden mittlerweile getestete Patches zur Verfügung. Dennoch sollte sich ein IT-Verantwortlicher nie zu 100 Prozent darauf verlassen. Auch von Herstellern wie Microsoft veröffentlichte Patches können in bestimmten Konstellationen zu Problemen führen.
Daher sollte ein Unternehmen immer definierte Prozesse für das Testen neuer Patches etablieren. Diese können so aussehen, dass Updates zunächst in einer Testumgebung installiert werden. Treten dort keine Probleme auf, erfolgt der Rollout auf eine kleine Gruppe unkritischer Geräte, bevor das Update unternehmensweit ausgespielt wird. Moderne UEM-Lösungen wie etwa ACMP von Aagon bieten auch hierfür wiederum Automatismen. Die Administrationsabteilung muss den Prozess lediglich überwachen und nur bei Problemen eingreifen.
Fazit
Ein professionelles Patch Management ist ein essenzieller Bestandteil der IT-Sicherheit und trägt maßgeblich zur Stabilität und Sicherheit der Unternehmens-IT bei. Durch Automatisierung, Schwachstellenmanagement und klare Prozesse lassen sich Risiken minimieren und die Effizienz der IT-Abteilung steigern.
Sebastian Weber.
(Bild: Aagon)
Über den Autor
Sebastian Weber ist Chief Evangelist bei der Aagon GmbH in Soest. Aagon entwickelt und vertreibt seit rund 30 Jahren Lösungen für unternehmensweite Betriebssystemstandards auf Clients und Servern sowie für das effektive Client Management.
Weber ist als Experte für Client- und Unified-Endpoint-Management-Systeme sowohl von Aagon-Kunden und -Partnern als auch von Medien häufig zu aktuellen unternehmensrelevanten IT-Themen gefragt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2b/3a/2b3a50378904cf4ad1026c40fdc2b0b6/0125338953v1.jpeg "Die Vielfalt und Verteilung von Endgeräten machen das Endpoint-Management zu einer großen Herausforderung. (Bild: Kaseya)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")