Inhalt in Kürze
- Feature Updates sind große Windows-Versionssprünge mit neuen Funktionen, Quality Updates sind monatliche Sicherheits- und Fehlerkorrekturen am Patch Tuesday.
- Seit dem Windows-10-Support-Ende am 14. Oktober 2025 bekommen Windows-10-Geräte ohne ESU-Lizenz keine Sicherheitspatches mehr — der Wechsel auf Windows 11 25H2 ist Pflicht.
- Microsoft hat die Kadenz für Feature Updates auf einmal pro Jahr umgestellt, das macht Update-Planung im KMU deutlich entspannter als noch 2019.
- Wer 20 oder mehr Geräte betreibt, sollte Updates zentral via Microsoft Intune steuern — manuell wird das schnell zu unkontrolliert.
- In unserem Managed Workplace übernehmen wir Patch-Tests, Pilotgruppen und Rollout für Hamburger KMU komplett.
Wenn ein Geschäftsführer in Hamburg uns anruft und sagt „Wir haben da ein Update-Problem”, liegt es in 9 von 10 Fällen an einer von zwei Sachen: Entweder weiß niemand im Unternehmen, ob die Maschinen überhaupt aktuell sind. Oder ein Update hat sich quer gestellt, und seit Tagen drucken halbe Abteilungen nicht mehr. Beides fällt unter das gleiche Thema — Windows-Updates richtig planen — und beides hat denselben Ursprung: Der Unterschied zwischen Feature- und Quality Updates ist im Mittelstand bis heute nicht klar.
Wir bringen Ordnung rein. In diesem Artikel erfahren Sie, wie sich die beiden Update-Typen unterscheiden, was sich nach dem Windows-10-EOL im Oktober 2025 für Sie ändert, wie der Update-Lifecycle bei Windows 11 funktioniert und wie KMU mit WSUS, Intune oder einem Managed-Service-Partner den Rollout sauber steuern.
- 14. Oktober 2025: offizielles Support-Ende von Windows 10 22H2 (Quelle: Microsoft Lifecycle).
- 61 USD: Preis für ein ESU-Jahr pro Windows-10-Gerät im ersten Jahr, danach Verdopplung pro Jahr (Quelle: Microsoft).
- 30. September 2025: Freigabe von Windows 11 Version 25H2 als aktuelles Feature Update.
- 1x pro Jahr: Frequenz für Windows-11-Feature-Updates seit 2022 — vorher zweimal jährlich bei Windows 10.
Was ist ein Windows-Feature-Update?
Ein Feature Update ist eine neue Hauptversion von Windows. Es bringt sichtbare Änderungen mit: neue Funktionen, oft auch ein erneuertes Design, andere Standard-Apps, neue Sicherheitsmechanismen und manchmal überarbeitete Treiber-Schichten. Die interne Build-Nummer ändert sich. Aus Windows 11 23H2 wird zum Beispiel Windows 11 25H2.
Bei Windows 10 hat Microsoft Feature Updates ab 2015 noch zweimal jährlich ausgeliefert (Frühjahr und Herbst, 1909, 2004, 21H1 und so weiter). Seit Windows 11 ist die Kadenz auf eine große Version pro Jahr reduziert, in der Regel im Oktober oder November. Das hat für den Mittelstand einen riesigen Vorteil: Statt alle sechs Monate eine Test- und Rollout-Welle zu fahren, reicht eine pro Jahr — und Sie haben Zeit, das Update vor Verteilung wirklich zu testen.
Die Download-Größe eines Feature Updates liegt heute zwischen 3 und 4 GB. Auf einem typischen Büro-Notebook dauert die Installation 30 bis 60 Minuten, inklusive Reboot. Genau deshalb gehören Feature Updates nicht in die Mittagspause, sondern in eine geplante Wartung — entweder am Wochenende oder nach Feierabend.
„Feature Updates sind kein Notfall. Sie haben in der Regel zwölf bis 24 Monate Zeit, bis Microsoft die nächste Version zur Pflicht macht. Wer im KMU jeden Herbst direkt auf das neueste Update springt, holt sich nur Ärger ins Haus. Wir warten meistens vier bis sechs Wochen, lassen die ersten Bug-Reports im Netz auflaufen — und rollen dann sauber aus."
Jens HagelGeschäftsführer, hagel IT-Services GmbHWas ist ein Windows-Quality-Update?
Quality Updates — auch kumulative Updates oder cumulative updates genannt — sind das, was die meisten Anwender mit „Windows-Update” meinen. Microsoft veröffentlicht sie an jedem zweiten Dienstag im Monat. Dieser Termin heißt seit den frühen 2000ern Patch Tuesday. Inhalt sind:
- Sicherheitspatches (CVEs) für Windows-Komponenten, Edge, .NET und Office
- Bugfixes für bekannte Probleme der laufenden Version
- Korrekturen an Treibern und Systemkomponenten
- gelegentlich neue Sicherheitsfunktionen, die Microsoft über die Servicing-Schiene nachschiebt
Anders als Feature Updates ändern Quality Updates nicht die Hauptversion. Aus Windows 11 25H2 Build 26200 wird durch das Quality Update aus November 2025 zum Beispiel Windows 11 25H2 Build 26200.6899. Sie sind klein (zwischen 100 MB und 1,5 GB), und die Installation dauert meistens unter 15 Minuten.
Wichtig: „Kumulativ” bedeutet, dass jedes neue Quality Update alle vorherigen Patches der laufenden Hauptversion enthält. Wenn ein Gerät vier Monate offline war, reicht das aktuellste Quality Update, um es wieder auf Stand zu bringen. Sie müssen nicht alle dazwischenliegenden Pakete einzeln installieren.
Verwechseln Sie ein Out-of-Band-Update nicht mit einem regulären Patch. Out-of-Band-Updates erscheinen außerhalb des Patch-Tuesday-Rhythmus und reagieren meist auf akute Sicherheitslücken (Zero-Day) oder schwere Störungen. Microsoft markiert sie deutlich. Im Managed Workplace prüfen wir täglich, ob ein OOB-Patch da ist — und entscheiden binnen Stunden über Rollout.
Feature- vs. Quality Updates: Vergleich auf einen Blick
| Merkmal | Feature Update | Quality Update |
|---|---|---|
| Frequenz | 1x pro Jahr (Windows 11) | monatlich am Patch Tuesday |
| Inhalt | neue Funktionen, neues Design, neue Komponenten | Sicherheitspatches, Bugfixes, kleine Verbesserungen |
| Versions-Sprung | Hauptversion (z. B. 23H2 → 25H2) | nur Build-/Revision-Nummer |
| Download-Größe | 3–4 GB | 100 MB – 1,5 GB |
| Installationsdauer | 30–60 Minuten + Reboot | meist unter 15 Minuten |
| Risiko-Profil | mittelhoch — App-Kompatibilität prüfen | niedrig bis mittel — Pilotgruppe empfohlen |
| Pflicht? | innerhalb der Support-Phase ja, sonst kein Service | bei Nicht-Installation droht Sicherheitslücke |
| Steuerung im KMU | manuell freigeben (Intune Feature Update Profile) | zeitversetzt rollen lassen (Update-Ringe) |
Wer im Mittelstand einen Managed-IT-Service hat, muss diese Tabelle nicht selbst auswendig kennen. Aber als Geschäftsführer sollten Sie wissen, dass Ihr Dienstleister beide Update-Typen getrennt plant und dokumentiert. Ein guter Patch-Bericht enthält für jedes Gerät die installierte Hauptversion und das letzte Quality-Update-Datum.
Was sich seit dem Windows-10-EOL geändert hat
Am 14. Oktober 2025 hat Microsoft den regulären Support für Windows 10 22H2 beendet. Für KMU heißt das konkret:
- Keine kostenlosen Quality Updates mehr — auch keine Sicherheitspatches.
- Keine neuen Treiber-Updates über Windows Update.
- Microsoft 365 Apps laufen zwar weiter, bekommen aber bis Oktober 2028 nur eingeschränkten Support.
- Versicherungen und Cyber-Versicherer prüfen, ob das Unternehmen ein „dem Stand der Technik entsprechendes” Patch-Niveau hält — bei Windows 10 ohne ESU ist das ab November 2025 schwer argumentierbar.
Wer den Wechsel auf Windows 11 verpasst hat, kann übergangsweise ESU-Lizenzen kaufen. Microsoft veranschlagt im ersten Jahr rund 61 USD pro Gerät, im zweiten Jahr 122 USD und im dritten 244 USD. Das ist eine Brückenlösung, keine Strategie. Nach drei Jahren ist endgültig Schluss.
- Bestandsliste aller Windows-10-Geräte ziehen (z. B. via Intune-Inventur oder Powershell-Skript).
- Prüfen, welche Geräte die Mindestanforderungen für Windows 11 25H2 erfüllen (TPM 2.0, Secure Boot, kompatible CPU).
- Geräte ohne TPM 2.0 in den nächsten 12 Monaten austauschen oder per ESU absichern.
- Eine Rollout-Reihenfolge nach Risiko festlegen: erst Power-User und IT, dann Verwaltung, dann der Rest.
- Branchenspezifische Anwendungen (DATEV, RA-Micro, Branchen-ERPs) auf Windows-11-Kompatibilität prüfen — meist gibt es Hersteller-Tabellen.
- Backup vor jedem Feature-Update sicherstellen — Stichwort Backup-Konzept.
Windows 11 Update-Lifecycle: So plant ein gut geführtes KMU
Der große Unterschied zur Windows-10-Ära: Windows 11 ist als kontinuierliche Plattform gedacht. Microsoft veröffentlicht im Herbst eine neue Version (24H2, 25H2, mutmaßlich 26H2), und die jeweilige Vorgänger-Version bekommt 24 Monate Sicherheitsupdates für Pro/Home und 36 Monate für Enterprise/Education. Sie haben also realistisch ein bis zwei Jahre Zeit, um das Feature Update zu testen und auszurollen — keinen Druck.
- Beobachten (Wochen 1–4 nach Release): Nichts tun. Bug-Reports im Microsoft Release Health Dashboard verfolgen. Prüfen, ob Software-Hersteller ihre Apps freigegeben haben.
- Pilotgruppe (Woche 5–8): Update auf 5–10 % der Geräte ausrollen — ideal IT, Power-User, technikaffine Kollegen. Mindestens vier Wochen laufen lassen.
- Erste Welle (Woche 9–14): Verwaltung, Vertrieb, normale Office-Mitarbeiter. Kein Update am Freitagmittag — niemand will das Wochenende mit einem rebootenden Notebook beginnen.
- Zweite Welle (Woche 15–20): Geräte in Spezialrollen — Buchhaltung, Konstruktion, Produktion. Vorher Branchen-Software prüfen.
- Nachzügler (Woche 21+): Geräte im Außendienst, Homeoffice-Maschinen mit langsamer Anbindung, Notebooks die selten online sind. Hier reicht ein Stichtag.
- Dokumentation: In Intune oder im Patch-Bericht festhalten, welche Geräte welche Hauptversion haben. Nach 12 Monaten muss alles auf der aktuellen Version sein.
Bei Quality Updates ist der Rhythmus enger. Die meisten unserer Managed-Workplace-Kunden fahren ein 3-Ringe-Modell:
- Ring 1 (Pilot): rund 5 % der Geräte, Update am Patch Tuesday selbst (Mittwoch früh).
- Ring 2 (Pilot+): rund 25 % der Geräte, Rollout 48 Stunden nach Tuesday.
- Ring 3 (Standard): alle restlichen Geräte, Rollout 7 Tage nach Tuesday.
So fangen Sie 90 % der Update-Störungen ab, bevor sie das gesamte Unternehmen erreichen.
WSUS, Intune oder Managed-Service: Wer steuert was?
Im Mittelstand sehen wir drei Setups. Welches passt, hängt von Geräte-Anzahl, Cloud-Reife und Personal-Kapazität ab.
WSUS (Windows Server Update Services)
WSUS ist die klassische On-Premise-Lösung. Ein Server im eigenen Netz zieht die Updates von Microsoft, der Admin gibt sie frei, die Clients holen sie sich aus dem internen LAN. Das spart Bandbreite und gibt volle Kontrolle. Aber: Microsoft hat WSUS 2024 offiziell als deprecated eingestuft. Es funktioniert weiter, bekommt aber keine neuen Funktionen mehr. Für Neuprojekte ist das keine sinnvolle Wahl mehr — für existierende WSUS-Setups gilt: Migration einplanen, am besten innerhalb der nächsten 24 Monate.
Microsoft Intune
Intune ist Teil von Microsoft 365 Business Premium und Enterprise und ist heute für 80 % der KMU die richtige Antwort. Es steuert nicht nur Updates, sondern auch Anwendungs-Deployment, Konfigurations-Profile, Compliance-Regeln und Conditional Access. Update-Ringe lassen sich graphisch definieren, Rollback ist möglich, das Reporting ist sauber.
Wer schon einen Microsoft-365-Tenant hat, sollte Intune nutzen — wenn niemand intern damit umgehen kann, am besten über einen Partner. In unserer Cloud- und Microsoft-365-Beratung richten wir Intune-Update-Profile als festen Baustein ein.
Managed-Service-Modell
Für Unternehmen mit 10 bis 100 Geräten ist das oft die wirtschaftlichste Lösung: Patch-Management, Pilotgruppen-Tests, Rollout, Störungs-Eskalation und monatlicher Bericht laufen über den Dienstleister. Sie zahlen einen festen Monatsbetrag pro Arbeitsplatz und bekommen dafür eine Updatestrategie, die nicht auf der internen IT lastet. Das ist der Kern unseres Managed-Workplace-Angebots.
Update-Stress in Ihrem Unternehmen?
Wir schauen uns Ihre Patch-Lage in einem 15-Minuten-Erstgespräch an — kostenlos, ohne Vertriebsdruck.
Erstgespräch buchen →Typische Probleme bei Windows-Updates — und wie wir sie vermeiden
Windows-Updates sind kein Selbstgänger. Auch 2026 führen sie regelmäßig zu Störungen, die ohne Plan teuer werden.
- Drucker-Probleme nach Quality Update. Microsoft hat 2024 mehrfach Drucker-Treiber-Issues ausgelöst, vor allem bei Konica-Minolta-Geräten. Lösung: Pilotgruppe, in der mindestens ein Drucker pro Modell läuft.
- Bluetooth-Audio fällt aus. Auch das gab es 2024 nach einem Quality Update. Wer Headsets für Teams braucht, sollte die Pilot-Phase ernst nehmen.
- Festplatten-Vollmeldung. Feature Updates legen einen Roll-Back-Ordner (Windows.old) an. Bei Notebooks mit kleinen SSDs (128 oder 256 GB) wird das eng. Prüfen, ob mindestens 25 GB frei sind.
- VPN bricht ab. Manche VPN-Clients (Cisco AnyConnect, Forticlient) brauchen nach großen Feature Updates ein eigenes Update. Vor Rollout prüfen.
- DATEV oder andere Branchen-Software bricht. Fast jeder Hersteller pflegt eine Kompatibilitäts-Liste — ein Blick lohnt sich, bevor 50 Steuerberater-Arbeitsplätze abends nicht mehr arbeiten.
- Reboots in Meetings. Wenn Updates ohne zentrale Steuerung laufen, rebootet die Maschine im falschen Moment. Lösung: Wartungsfenster in Intune definieren.
Geräte, die selten ins Firmen-LAN kommen und nur über Mobilfunk online sind, fallen oft aus dem Patch-Rhythmus. Wir prüfen das im Managed Workplace per Intune-Compliance-Report — ohne diesen Check schlummert ein Patch-Stand von 60 oder 90 Tagen oft monatelang im Außendienst.
Cybersecurity und Updates: Warum Patch-Disziplin Pflicht ist
Microsoft schließt mit jedem Patch Tuesday im Schnitt 60 bis 100 Sicherheitslücken. Einige davon sind kritisch — also aus der Ferne ausnutzbar, oft schon vor dem Patch in Hacker-Kreisen bekannt (Zero-Day). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in seinem Lagebericht 2024 bei vielen erfolgreichen Cyberangriffen auf KMU auf veraltete Patch-Stände als Eintrittstor.
Die wichtigsten Spielregeln:
- CVEs über CVSS 7.0 sollten binnen 7 Tagen gepatcht sein — das ist auch der Maßstab in NIS2- und ISO-27001-Audits.
- CVEs über CVSS 9.0 (Critical) gehören in 24 bis 72 Stunden ausgerollt.
- Out-of-Band-Patches gehören noch am Tag der Veröffentlichung in den Pilot-Ring.
Wer das selbst stemmt, braucht eine klar dokumentierte Update-Policy und Bereitschaft am Patch Tuesday. In unserer Cybersecurity-Beratung ist Patch-Management deshalb fester Baustein — nicht weil es spannend ist, sondern weil es 80 % der erfolgreichen Standard-Angriffe auf Hamburger KMU verhindert.
„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage."
Windows-Updates und NIS2: Was Unternehmen ab 50 Mitarbeitern wissen müssen
Mit der NIS2-Richtlinie wird ein dokumentiertes Patch-Management ab Mitte 2026 für viele KMU verpflichtend. Wer in einer der 18 Sektoren der Richtlinie tätig ist (z. B. Logistik, IT-Dienstleister, Lebensmittel, Wasser), muss nachweisen können, dass Sicherheitsupdates nicht zufällig, sondern strukturiert eingespielt werden.
Ein praxistauglicher Mindeststandard:
- schriftliche Patch-Policy mit Fristen, Verantwortlichen und Eskalationspfaden
- monatlicher Patch-Bericht mit Status pro Gerät
- Risiko-Bewertung neuer CVEs vor Rollout
- Notfall-Plan für den Fall, dass ein Update Störungen auslöst
Das klingt aufwendig — lässt sich aber sauber in einen Managed-Workplace-Vertrag oder in unsere NIS2- und Compliance-Beratung integrieren. Sie bekommen dann eine Audit-fertige Patch-Doku, ohne sich selbst um die Reports kümmern zu müssen.
Hamburger Praxis: Was wir am häufigsten finden
Wir machen jeden Monat 3 bis 5 IT-Audits in Hamburg und Umland. Die typischen Bilder beim Thema Updates:
- „Wir haben WSUS, aber niemand schaut drauf.” Server läuft seit Jahren auf Auto-Pilot. Approval-Queue ist auf rund 12.000 ungenehmigte Updates angewachsen. Reset und Migration auf Intune sind hier oft die schnellste Lösung.
- „Updates installiert das ja jeder selber.” Hört sich vernünftig an, ist es nicht. Im Schnitt sind 30 % der Geräte drei oder mehr Monate hinterher. Genau diese Maschinen werden zuerst kompromittiert.
- „Wir patchen, wenn was ausfällt.” Reaktiv statt aktiv. Funktioniert genau bis zum ersten Ransomware-Vorfall.
- „Windows 11? Das brauchen wir nicht.” Das war 2024 vielleicht noch eine Meinung. Seit Oktober 2025 ist es ein konkretes Sicherheits-Risiko und Versicherungs-Thema.
In Hamburger Branchen wie Anwaltskanzleien, Steuerkanzleien, Architekturbüros und Logistikern sehen wir denselben Bedarf — und steuern Patches deshalb für mehrere Hamburger Steuerberater, Logistik-Unternehmen und Architekturbüros zentral aus unserem Eilbeker Büro.
Was hat sich seit 2019 geändert?
Zur Einordnung — als wir diesen Artikel ursprünglich geschrieben haben (2019), galten andere Regeln:
- Damals: zwei Feature Updates pro Jahr (Frühjahr und Herbst, „SAC”, semi-annual channel).
- Heute: ein Feature Update pro Jahr für Windows 11.
- Damals: Windows 10 in vielen Versionen parallel.
- Heute: Windows 10 ohne Support, Windows 11 in zwei oder drei aktuellen Hauptversionen.
- Damals: WSUS galt als Standard.
- Heute: WSUS ist deprecated, Intune ist Standard.
- Damals: Patch-Management war IT-Hygiene.
- Heute: Patch-Management ist Compliance-Pflicht (NIS2, DORA, ISO 27001).
Wer als KMU-Geschäftsführer das Thema „Windows-Updates” noch nach den Spielregeln von 2019 führt, geht heute ein deutlich größeres Risiko ein. Die gute Nachricht: Mit einer einmal sauber aufgesetzten Update-Strategie — oder einem Managed Workplace — ist das Thema in 30 Minuten pro Monat erledigt.
Fazit
Feature Updates sind die großen Versionssprünge — einmal pro Jahr, mit Tests, Pilot und sauberem Rollout. Quality Updates sind der monatliche Patch-Tuesday-Rhythmus — mit Update-Ringen und kurzer Pufferzeit zwischen Pilot und Massen-Rollout. Beides muss zentral gesteuert werden, auch in einem 25-Mitarbeiter-Unternehmen. Mit dem Windows-10-EOL im Oktober 2025 ist das Thema von „nice to have” auf „muss” gerückt — sowohl aus Sicherheitssicht als auch für Cyberversicherung und NIS2-Compliance.
Wenn Sie nicht sicher sind, ob Ihre Patch-Lage stimmt: Wir schauen uns das in einem kostenlosen 15-Minuten-Erstgespräch an — Ergebnis: Sie wissen, ob Ihre Maschinen aktuell sind, und welche zwei oder drei Schritte als nächstes Sinn machen. Wenn Sie lieber schreiben, antworten wir innerhalb eines Werktags.
