Inhalt in Kürze
- Feature Updates sind grosse Windows-Versionsspruenge mit neuen Funktionen, Quality Updates sind monatliche Sicherheits- und Fehlerkorrekturen am Patch Tuesday.
- Seit dem Windows-10-Support-Ende am 14. Oktober 2025 bekommen Windows-10-Geraete ohne ESU-Lizenz keine Sicherheitspatches mehr — der Wechsel auf Windows 11 25H2 ist Pflicht.
- Microsoft hat die Kadenz fuer Feature Updates auf einmal pro Jahr umgestellt, das macht Update-Planung im KMU deutlich entspannter als noch 2019.
- Wer 20 oder mehr Geraete betreibt, sollte Updates zentral via Microsoft Intune steuern — manuell wird das schnell zu unkontrolliert.
- In unserem Managed Workplace uebernehmen wir Patch-Tests, Pilotgruppen und Rollout fuer Hamburger KMU komplett.
Wenn ein Geschaeftsfuehrer in Hamburg uns anruft und sagt „Wir haben da ein Update-Problem”, liegt es in 9 von 10 Faellen an einer von zwei Sachen: Entweder weiss niemand im Unternehmen, ob die Maschinen ueberhaupt aktuell sind. Oder ein Update hat sich quer gestellt, und seit Tagen drucken halbe Abteilungen nicht mehr. Beides faellt unter das gleiche Thema — Windows-Updates richtig planen — und beides hat denselben Ursprung: Der Unterschied zwischen Feature- und Quality Updates ist im Mittelstand bis heute nicht klar.
Wir bringen Ordnung rein. In diesem Artikel erfahren Sie, wie sich die beiden Update-Typen unterscheiden, was sich nach dem Windows-10-EOL im Oktober 2025 fuer Sie aendert, wie der Update-Lifecycle bei Windows 11 funktioniert und wie KMU mit WSUS, Intune oder einem Managed-Service-Partner den Rollout sauber steuern.
- 14. Oktober 2025: offizielles Support-Ende von Windows 10 22H2 (Quelle: Microsoft Lifecycle).
- 61 USD: Preis fuer ein ESU-Jahr pro Windows-10-Geraet im ersten Jahr, danach Verdopplung pro Jahr (Quelle: Microsoft).
- 30. September 2025: Freigabe von Windows 11 Version 25H2 als aktuelles Feature Update.
- 1x pro Jahr: Frequenz fuer Windows-11-Feature-Updates seit 2022 — vorher zweimal jaehrlich bei Windows 10.
Was ist ein Windows-Feature-Update?
Ein Feature Update ist eine neue Hauptversion von Windows. Es bringt sichtbare Aenderungen mit: neue Funktionen, oft auch ein erneuertes Design, andere Standard-Apps, neue Sicherheitsmechanismen und manchmal ueberarbeitete Treiber-Schichten. Die interne Build-Nummer aendert sich. Aus Windows 11 23H2 wird zum Beispiel Windows 11 25H2.
Bei Windows 10 hat Microsoft Feature Updates ab 2015 noch zweimal jaehrlich ausgeliefert (Fruehjahr und Herbst, 1909, 2004, 21H1 und so weiter). Seit Windows 11 ist die Kadenz auf eine grosse Version pro Jahr reduziert, in der Regel im Oktober oder November. Das hat fuer den Mittelstand einen riesigen Vorteil: Statt alle sechs Monate eine Test- und Rollout-Welle zu fahren, reicht eine pro Jahr — und Sie haben Zeit, das Update vor Verteilung wirklich zu testen.
Die Download-Groesse eines Feature Updates liegt heute zwischen 3 und 4 GB. Auf einem typischen Buero-Notebook dauert die Installation 30 bis 60 Minuten, inklusive Reboot. Genau deshalb gehoeren Feature Updates nicht in die Mittagspause, sondern in eine geplante Wartung — entweder am Wochenende oder nach Feierabend.
„Feature Updates sind kein Notfall. Sie haben in der Regel zwoelf bis 24 Monate Zeit, bis Microsoft die naechste Version zur Pflicht macht. Wer im KMU jeden Herbst direkt auf das neueste Update springt, holt sich nur Aerger ins Haus. Wir warten meistens vier bis sechs Wochen, lassen die ersten Bug-Reports im Netz auflaufen — und rollen dann sauber aus."Jens Hagel, Geschaeftsfuehrer hagel IT-Services GmbH
Was ist ein Windows-Quality-Update?
Quality Updates — auch kumulative Updates oder cumulative updates genannt — sind das, was die meisten Anwender mit „Windows-Update” meinen. Microsoft veroeffentlicht sie an jedem zweiten Dienstag im Monat. Dieser Termin heisst seit den fruehen 2000ern Patch Tuesday. Inhalt sind:
- Sicherheitspatches (CVEs) fuer Windows-Komponenten, Edge, .NET und Office
- Bugfixes fuer bekannte Probleme der laufenden Version
- Korrekturen an Treibern und Systemkomponenten
- gelegentlich neue Sicherheitsfunktionen, die Microsoft ueber die Servicing-Schiene nachschiebt
Anders als Feature Updates aendern Quality Updates nicht die Hauptversion. Aus Windows 11 25H2 Build 26200 wird durch das Quality Update aus November 2025 zum Beispiel Windows 11 25H2 Build 26200.6899. Sie sind klein (zwischen 100 MB und 1,5 GB), und die Installation dauert meistens unter 15 Minuten.
Wichtig: „Kumulativ” bedeutet, dass jedes neue Quality Update alle vorherigen Patches der laufenden Hauptversion enthaelt. Wenn ein Geraet vier Monate offline war, reicht das aktuellste Quality Update, um es wieder auf Stand zu bringen. Sie muessen nicht alle dazwischenliegenden Pakete einzeln installieren.
Verwechseln Sie ein Out-of-Band-Update nicht mit einem regulaeren Patch. Out-of-Band-Updates erscheinen ausserhalb des Patch-Tuesday-Rhythmus und reagieren meist auf akute Sicherheitsluecken (Zero-Day) oder schwere Stoerungen. Microsoft markiert sie deutlich. Im Managed Workplace pruefen wir taeglich, ob ein OOB-Patch da ist — und entscheiden binnen Stunden ueber Rollout.
Feature- vs. Quality Updates: Vergleich auf einen Blick
| Merkmal | Feature Update | Quality Update |
|---|---|---|
| Frequenz | 1x pro Jahr (Windows 11) | monatlich am Patch Tuesday |
| Inhalt | neue Funktionen, neues Design, neue Komponenten | Sicherheitspatches, Bugfixes, kleine Verbesserungen |
| Versions-Sprung | Hauptversion (z. B. 23H2 → 25H2) | nur Build-/Revision-Nummer |
| Download-Groesse | 3–4 GB | 100 MB – 1,5 GB |
| Installationsdauer | 30–60 Minuten + Reboot | meist unter 15 Minuten |
| Risiko-Profil | mittelhoch — App-Kompatibilitaet pruefen | niedrig bis mittel — Pilotgruppe empfohlen |
| Pflicht? | innerhalb der Support-Phase ja, sonst kein Service | bei Nicht-Installation droht Sicherheitsluecke |
| Steuerung im KMU | manuell freigeben (Intune Feature Update Profile) | zeitversetzt rollen lassen (Update-Ringe) |
Wer im Mittelstand einen Managed-IT-Service hat, muss diese Tabelle nicht selbst auswendig kennen. Aber als Geschaeftsfuehrer sollten Sie wissen, dass Ihr Dienstleister beide Update-Typen getrennt plant und dokumentiert. Ein guter Patch-Bericht enthaelt fuer jedes Geraet die installierte Hauptversion und das letzte Quality-Update-Datum.
Was sich seit dem Windows-10-EOL geaendert hat
Am 14. Oktober 2025 hat Microsoft den regulaeren Support fuer Windows 10 22H2 beendet. Fuer KMU heisst das konkret:
- Keine kostenlosen Quality Updates mehr — auch keine Sicherheitspatches.
- Keine neuen Treiber-Updates ueber Windows Update.
- Microsoft 365 Apps laufen zwar weiter, bekommen aber bis Oktober 2028 nur eingeschraenkten Support.
- Versicherungen und Cyber-Versicherer pruefen, ob das Unternehmen ein „dem Stand der Technik entsprechendes” Patch-Niveau haelt — bei Windows 10 ohne ESU ist das ab November 2025 schwer argumentierbar.
Wer den Wechsel auf Windows 11 verpasst hat, kann uebergangsweise ESU-Lizenzen kaufen. Microsoft veranschlagt im ersten Jahr rund 61 USD pro Geraet, im zweiten Jahr 122 USD und im dritten 244 USD. Das ist eine Brueckenloesung, keine Strategie. Nach drei Jahren ist endgueltig Schluss.
- Bestandsliste aller Windows-10-Geraete ziehen (z. B. via Intune-Inventur oder Powershell-Skript).
- Pruefen, welche Geraete die Mindestanforderungen fuer Windows 11 25H2 erfuellen (TPM 2.0, Secure Boot, kompatible CPU).
- Geraete ohne TPM 2.0 in den naechsten 12 Monaten austauschen oder per ESU absichern.
- Eine Rollout-Reihenfolge nach Risiko festlegen: erst Power-User und IT, dann Verwaltung, dann der Rest.
- Branchenspezifische Anwendungen (DATEV, RA-Micro, Branchen-ERPs) auf Windows-11-Kompatibilitaet pruefen — meist gibt es Hersteller-Tabellen.
- Backup vor jedem Feature-Update sicherstellen — Stichwort Backup-Konzept.
Windows 11 Update-Lifecycle: So plant ein gut gefuehrtes KMU
Der grosse Unterschied zur Windows-10-Aera: Windows 11 ist als kontinuierliche Plattform gedacht. Microsoft veroeffentlicht im Herbst eine neue Version (24H2, 25H2, mutmasslich 26H2), und die jeweilige Vorgaenger-Version bekommt 24 Monate Sicherheitsupdates fuer Pro/Home und 36 Monate fuer Enterprise/Education. Sie haben also realistisch ein bis zwei Jahre Zeit, um das Feature Update zu testen und auszurollen — keinen Druck.
- Beobachten (Wochen 1–4 nach Release): Nichts tun. Bug-Reports im Microsoft Release Health Dashboard verfolgen. Pruefen, ob Software-Hersteller ihre Apps freigegeben haben.
- Pilotgruppe (Woche 5–8): Update auf 5–10 % der Geraete ausrollen — ideal IT, Power-User, technikaffine Kollegen. Mindestens vier Wochen laufen lassen.
- Erste Welle (Woche 9–14): Verwaltung, Vertrieb, normale Office-Mitarbeiter. Kein Update am Freitagmittag — niemand will das Wochenende mit einem rebootenden Notebook beginnen.
- Zweite Welle (Woche 15–20): Geraete in Spezialrollen — Buchhaltung, Konstruktion, Produktion. Vorher Branchen-Software pruefen.
- Nachzuegler (Woche 21+): Geraete im Aussendienst, Homeoffice-Maschinen mit langsamer Anbindung, Notebooks die selten online sind. Hier reicht ein Stichtag.
- Dokumentation: In Intune oder im Patch-Bericht festhalten, welche Geraete welche Hauptversion haben. Nach 12 Monaten muss alles auf der aktuellen Version sein.
Bei Quality Updates ist der Rhythmus enger. Die meisten unserer Managed-Workplace-Kunden fahren ein 3-Ringe-Modell:
- Ring 1 (Pilot): rund 5 % der Geraete, Update am Patch Tuesday selbst (Mittwoch frueh).
- Ring 2 (Pilot+): rund 25 % der Geraete, Rollout 48 Stunden nach Tuesday.
- Ring 3 (Standard): alle restlichen Geraete, Rollout 7 Tage nach Tuesday.
So fangen Sie 90 % der Update-Stoerungen ab, bevor sie das gesamte Unternehmen erreichen.
WSUS, Intune oder Managed-Service: Wer steuert was?
Im Mittelstand sehen wir drei Setups. Welches passt, haengt von Geraete-Anzahl, Cloud-Reife und Personal-Kapazitaet ab.
WSUS (Windows Server Update Services)
WSUS ist die klassische On-Premise-Loesung. Ein Server im eigenen Netz zieht die Updates von Microsoft, der Admin gibt sie frei, die Clients holen sie sich aus dem internen LAN. Das spart Bandbreite und gibt volle Kontrolle. Aber: Microsoft hat WSUS 2024 offiziell als deprecated eingestuft. Es funktioniert weiter, bekommt aber keine neuen Funktionen mehr. Fuer Neuprojekte ist das keine sinnvolle Wahl mehr — fuer existierende WSUS-Setups gilt: Migration einplanen, am besten innerhalb der naechsten 24 Monate.
Microsoft Intune
Intune ist Teil von Microsoft 365 Business Premium und Enterprise und ist heute fuer 80 % der KMU die richtige Antwort. Es steuert nicht nur Updates, sondern auch Anwendungs-Deployment, Konfigurations-Profile, Compliance-Regeln und Conditional Access. Update-Ringe lassen sich graphisch definieren, Rollback ist moeglich, das Reporting ist sauber.
Wer schon einen Microsoft-365-Tenant hat, sollte Intune nutzen — wenn niemand intern damit umgehen kann, am besten ueber einen Partner. In unserer Cloud- und Microsoft-365-Beratung richten wir Intune-Update-Profile als festen Baustein ein.
Managed-Service-Modell
Fuer Unternehmen mit 10 bis 100 Geraeten ist das oft die wirtschaftlichste Loesung: Patch-Management, Pilotgruppen-Tests, Rollout, Stoerungs-Eskalation und monatlicher Bericht laufen ueber den Dienstleister. Sie zahlen einen festen Monatsbetrag pro Arbeitsplatz und bekommen dafuer eine Updatestrategie, die nicht auf der internen IT lastet. Das ist der Kern unseres Managed-Workplace-Angebots.
Update-Stress in Ihrem Unternehmen?
Wir schauen uns Ihre Patch-Lage in einem 15-Minuten-Erstgespraech an — kostenlos, ohne Vertriebsdruck.
Erstgespraech buchen →Typische Probleme bei Windows-Updates — und wie wir sie vermeiden
Windows-Updates sind kein Selbstgaenger. Auch 2026 fuehren sie regelmaessig zu Stoerungen, die ohne Plan teuer werden.
- Drucker-Probleme nach Quality Update. Microsoft hat 2024 mehrfach Drucker-Treiber-Issues ausgeloest, vor allem bei Konica-Minolta-Geraeten. Loesung: Pilotgruppe, in der mindestens ein Drucker pro Modell laeuft.
- Bluetooth-Audio faellt aus. Auch das gab es 2024 nach einem Quality Update. Wer Headsets fuer Teams braucht, sollte die Pilot-Phase ernst nehmen.
- Festplatten-Vollmeldung. Feature Updates legen einen Roll-Back-Ordner (Windows.old) an. Bei Notebooks mit kleinen SSDs (128 oder 256 GB) wird das eng. Pruefen, ob mindestens 25 GB frei sind.
- VPN bricht ab. Manche VPN-Clients (Cisco AnyConnect, Forticlient) brauchen nach grossen Feature Updates ein eigenes Update. Vor Rollout pruefen.
- DATEV oder andere Branchen-Software bricht. Fast jeder Hersteller pflegt eine Kompatibilitaets-Liste — ein Blick lohnt sich, bevor 50 Steuerberater-Arbeitsplaetze abends nicht mehr arbeiten.
- Reboots in Meetings. Wenn Updates ohne zentrale Steuerung laufen, rebootet die Maschine im falschen Moment. Loesung: Wartungsfenster in Intune definieren.
Geraete, die selten ins Firmen-LAN kommen und nur ueber Mobilfunk online sind, fallen oft aus dem Patch-Rhythmus. Wir pruefen das im Managed Workplace per Intune-Compliance-Report — ohne diesen Check schlummert ein Patch-Stand von 60 oder 90 Tagen oft monatelang im Aussendienst.
Cybersecurity und Updates: Warum Patch-Disziplin Pflicht ist
Microsoft schliesst mit jedem Patch Tuesday im Schnitt 60 bis 100 Sicherheitsluecken. Einige davon sind kritisch — also aus der Ferne ausnutzbar, oft schon vor dem Patch in Hacker-Kreisen bekannt (Zero-Day). Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) verweist in seinem Lagebericht 2024 bei vielen erfolgreichen Cyberangriffen auf KMU auf veraltete Patch-Staende als Eintrittstor.
Die wichtigsten Spielregeln:
- CVEs ueber CVSS 7.0 sollten binnen 7 Tagen gepatcht sein — das ist auch der Massstab in NIS2- und ISO-27001-Audits.
- CVEs ueber CVSS 9.0 (Critical) gehoeren in 24 bis 72 Stunden ausgerollt.
- Out-of-Band-Patches gehoeren noch am Tag der Veroeffentlichung in den Pilot-Ring.
Wer das selbst stemmt, braucht eine klar dokumentierte Update-Policy und Bereitschaft am Patch Tuesday. In unserer Cybersecurity-Beratung ist Patch-Management deshalb fester Baustein — nicht weil es spannend ist, sondern weil es 80 % der erfolgreichen Standard-Angriffe auf Hamburger KMU verhindert.
„Drei Monate lang konnten wir nicht arbeiten. Alles verschluesselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiss ich: IT-Sicherheit ist kein Luxus, sondern Ueberlebensfrage."Bernd Kuehn, Geschaeftsfuehrer Sanitaerbetrieb, 20–25 Mitarbeiter
Windows-Updates und NIS2: Was Unternehmen ab 50 Mitarbeitern wissen muessen
Mit der NIS2-Richtlinie wird ein dokumentiertes Patch-Management ab Mitte 2026 fuer viele KMU verpflichtend. Wer in einer der 18 Sektoren der Richtlinie taetig ist (z. B. Logistik, IT-Dienstleister, Lebensmittel, Wasser), muss nachweisen koennen, dass Sicherheitsupdates nicht zufaellig, sondern strukturiert eingespielt werden.
Ein praxistauglicher Mindeststandard:
- schriftliche Patch-Policy mit Fristen, Verantwortlichen und Eskalationspfaden
- monatlicher Patch-Bericht mit Status pro Geraet
- Risiko-Bewertung neuer CVEs vor Rollout
- Notfall-Plan fuer den Fall, dass ein Update Stoerungen ausloest
Das klingt aufwendig — laesst sich aber sauber in einen Managed-Workplace-Vertrag oder in unsere NIS2- und Compliance-Beratung integrieren. Sie bekommen dann eine Audit-fertige Patch-Doku, ohne sich selbst um die Reports kuemmern zu muessen.
Hamburger Praxis: Was wir am haeufigsten finden
Wir machen jeden Monat 3 bis 5 IT-Audits in Hamburg und Umland. Die typischen Bilder beim Thema Updates:
- „Wir haben WSUS, aber niemand schaut drauf.” Server laeuft seit Jahren auf Auto-Pilot. Approval-Queue ist auf rund 12.000 ungenehmigte Updates angewachsen. Reset und Migration auf Intune sind hier oft die schnellste Loesung.
- „Updates installiert das ja jeder selber.” Hoert sich vernuenftig an, ist es nicht. Im Schnitt sind 30 % der Geraete drei oder mehr Monate hinterher. Genau diese Maschinen werden zuerst kompromittiert.
- „Wir patchen, wenn was ausfaellt.” Reaktiv statt aktiv. Funktioniert genau bis zum ersten Ransomware-Vorfall.
- „Windows 11? Das brauchen wir nicht.” Das war 2024 vielleicht noch eine Meinung. Seit Oktober 2025 ist es ein konkretes Sicherheits-Risiko und Versicherungs-Thema.
In Hamburger Branchen wie Anwaltskanzleien, Steuerkanzleien, Architekturbueros und Logistikern sehen wir denselben Bedarf — und steuern Patches deshalb fuer mehrere Hamburger Steuerberater, Logistik-Unternehmen und Architekturbueros zentral aus unserem Eilbeker Buero.
Was hat sich seit 2019 geaendert?
Zur Einordnung — als wir diesen Artikel ursprünglich geschrieben haben (2019), galten andere Regeln:
- Damals: zwei Feature Updates pro Jahr (Fruehjahr und Herbst, „SAC”, semi-annual channel).
- Heute: ein Feature Update pro Jahr fuer Windows 11.
- Damals: Windows 10 in vielen Versionen parallel.
- Heute: Windows 10 ohne Support, Windows 11 in zwei oder drei aktuellen Hauptversionen.
- Damals: WSUS galt als Standard.
- Heute: WSUS ist deprecated, Intune ist Standard.
- Damals: Patch-Management war IT-Hygiene.
- Heute: Patch-Management ist Compliance-Pflicht (NIS2, DORA, ISO 27001).
Wer als KMU-Geschaeftsfuehrer das Thema „Windows-Updates” noch nach den Spielregeln von 2019 fuehrt, geht heute ein deutlich groesseres Risiko ein. Die gute Nachricht: Mit einer einmal sauber aufgesetzten Update-Strategie — oder einem Managed Workplace — ist das Thema in 30 Minuten pro Monat erledigt.
Fazit
Feature Updates sind die grossen Versionsspruenge — einmal pro Jahr, mit Tests, Pilot und sauberem Rollout. Quality Updates sind der monatliche Patch-Tuesday-Rhythmus — mit Update-Ringen und kurzer Pufferzeit zwischen Pilot und Massen-Rollout. Beides muss zentral gesteuert werden, auch in einem 25-Mitarbeiter-Unternehmen. Mit dem Windows-10-EOL im Oktober 2025 ist das Thema von „nice to have” auf „muss” gerueckt — sowohl aus Sicherheitssicht als auch fuer Cyberversicherung und NIS2-Compliance.
Wenn Sie nicht sicher sind, ob Ihre Patch-Lage stimmt: Wir schauen uns das in einem kostenlosen 15-Minuten-Erstgespraech an — Ergebnis: Sie wissen, ob Ihre Maschinen aktuell sind, und welche zwei oder drei Schritte als naechstes Sinn machen. Wenn Sie lieber schreiben, antworten wir innerhalb eines Werktags.
