Inhalt in Kürze
- 60 % aller erfolgreichen Ransomware-Angriffe nutzen Schwachstellen, für die es längst Patches gibt — das BSI nennt Software-Updates „die wichtigste Säule der IT-Sicherheit”.
- Die Zeit zwischen Veröffentlichung einer Schwachstelle und aktivem Angriff ist von 771 Tagen (2018) auf nur 5 Tage (2025) gesunken — Zeit, die manuelles Patchen nicht mehr hat.
- Seit NIS-2 haften Geschäftsführer persönlich für mangelndes Patch-Management — betroffen: rund 30.000 Unternehmen in Deutschland ab ~50 Mitarbeitern oder 10 Mio. € Umsatz.
- Professionelles Patch-Management kostet als Teil von Managed IT ab 50 € pro Arbeitsplatz/Monat — ein Ransomware-Schaden im Mittelstand liegt laut Bitkom im Schnitt bei 266.000 €.
- Die vier bewährtesten Tools für KMU: Microsoft Intune, WSUS, ManageEngine Patch Manager Plus und NinjaOne — welches passt, hängt von der bestehenden IT-Infrastruktur ab.
Sie kennen diese Meldung: „Ein Update ist verfügbar.” Sie klicken „Später erinnern” und denken, Sie kommen nachher darauf zurück. Tun Sie aber meistens nicht. Was 2019 noch ein Komfort-Thema war, ist 2026 ein Haftungs-Thema.
Angreifer scannen das Internet heute permanent nach veralteten Systemen. Wer spät patcht, wird früh getroffen. Und „spät” bedeutet nicht mehr Monate, sondern Tage. Dieser Artikel zeigt Ihnen, warum Software-Updates kritisch sind, wie professionelles Patch-Management im Mittelstand aussieht und welche Konsequenzen auf Geschäftsführer zukommen, die das Thema weiter liegenlassen.
Warum Software-Updates 2026 kritischer sind als je zuvor
Jede neu entdeckte Sicherheitslücke bekommt eine CVE-Nummer (Common Vulnerabilities and Exposures). Der Hersteller veröffentlicht einen Patch. Ab diesem Moment läuft eine Uhr: Angreifer analysieren den Patch, finden die Lücke, bauen einen Exploit — und greifen Unternehmen an, die noch nicht installiert haben.
Diese Uhr tickt heute viel schneller als früher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Software-Updates deshalb als eine der wichtigsten Säulen der IT-Sicherheit ein — noch vor Firewall und Virenscanner.
Zum Vergleich: 2018 lag die Median-Zeit zwischen CVE-Veröffentlichung und erstem Exploit noch bei 771 Tagen. Heute sind es 5 Tage. Das Google Threat Intelligence Team dokumentierte für 2025 insgesamt 90 aktiv ausgenutzte Zero-Day-Schwachstellen — Lücken, die ausgenutzt wurden, bevor überhaupt ein Patch verfügbar war.
Das BSI hat allein im April 2026 mehrfach kritische Schwachstellen gemeldet — darunter eine ungepatchte Lücke im Active Directory von Windows Server 2025 mit der Höchstbewertung 9,9 von 10. Wer solche Lücken nicht binnen Tagen schließt, steht offen für automatisierte Massenangriffe.
Ein Software-Update — oder konkreter ein Sicherheits-Patch — ist eine vom Hersteller bereitgestellte Korrektur, die eine bekannte Schwachstelle in einer Anwendung oder einem Betriebssystem schließt. Ohne Patch bleibt die Lücke offen. Mit Patch ist sie zu — aber nur auf den Systemen, auf denen er wirklich installiert wurde.
Die drei Arten von Software-Updates — und warum der Unterschied zählt
Nicht jedes Update hat dieselbe Dringlichkeit. Wer zwischen den Arten unterscheiden kann, patcht sinnvoller.
| Typ | Ziel | Dringlichkeit | Beispiel |
|---|---|---|---|
| Sicherheits-Patch | Schließt konkrete Lücke | Höchste — 48 Std. bei CVSS ≥ 9 | Microsoft Patchday (zweiter Dienstag im Monat), BSI-Warnung |
| Bugfix-Update | Behebt Funktionsfehler | Mittel — 1–4 Wochen | Outlook-Versand-Bug, Teams-Audio-Probleme |
| Feature-Update | Neue Funktionen | Niedrig — Wartungsfenster | Windows 11 Jahres-Release, neue M365-Features |
Sicherheits-Patches sind die Kategorie, bei der Geschwindigkeit zählt. Feature-Updates können und sollten geplant werden — ein fehlerhaftes Windows-Feature-Update hat schon ganze Unternehmen lahmgelegt, das gilt es zu vermeiden. Aber wenn das BSI einen Sicherheitspatch als „kritisch” einstuft, ist kein Abwarten mehr drin.
Was passiert, wenn Sie nicht patchen — drei Praxisfälle
Wir sehen als IT-Dienstleister für Unternehmen in Hamburg und Norddeutschland immer wieder dieselben Muster, wenn Software-Updates vernachlässigt werden:
Fall 1 — Ransomware-Einbruch über veralteten VPN-Zugang: Ein Mittelständler aus der HafenCity hatte einen Remote-Access-Server, der seit 14 Monaten keine Firmware-Updates bekommen hatte. Die Lücke war bekannt, der Patch verfügbar. Drei Tage nach dem Angriff war das komplette Unternehmensnetz verschlüsselt. Wiederherstellung: 6 Wochen. Geschäftsausfall: knapp 400.000 €.
Fall 2 — Datendiebstahl über ungepatchten Webserver: Eine Hamburger Anwaltskanzlei in Rotherbaum verlor 24.000 Mandatsdaten über eine Content-Management-System-Lücke, die seit neun Monaten bekannt war. DSGVO-Meldepflicht an den Hamburgischen Beauftragten für Datenschutz, BRAO-Problem beim Kammervorstand, Vertrauensverlust bei Großmandanten — der Totalschaden lag bei über 420.000 €.
Fall 3 — Produktionsstillstand im Mittelstand: Bei einem Sanitärbetrieb mit 25 Mitarbeitern verschlüsselte Ransomware alle Dokumente, E-Mails und Rechnungen. Drei Monate Stillstand, weil das Backup nicht getrennt vom Netzwerk lag und die Angreifer über eine ungepatchte Office-Version ins System kamen.
Unsere Cybersicherheits-Checkliste für KMU — 20 konkrete Punkte inkl. Patch-Management, die jedes Unternehmen in Hamburg und Norddeutschland sofort umsetzen kann. Keine Registrierung, direkter PDF-Download.
Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz — und Patch-Management gehört zum absoluten Minimum.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Manuell vs. professionelles Patch-Management — der Vergleich
Bis 10 Geräte können Sie Updates notfalls selbst verwalten. Ab 20 Arbeitsplätzen ist manuelles Patchen ein Vollzeit-Job, der trotzdem Lücken hinterlässt.
| Aspekt | Manuelles Patchen | Managed Patch-Management |
|---|---|---|
| Zeitaufwand | 2–4 Std./Woche pro 10 Geräte | 0 Std. (läuft automatisiert im Hintergrund) |
| Reaktion auf Zero-Day | Wenn jemand es mitbekommt, meist 2–3 Wochen | Notfall-Patches meist binnen 48 Std. |
| Lückenquote nach Audit | Im Schnitt 20–40 % der Systeme veraltet | < 5 % — dokumentiert, mit Begründung |
| Testmanagement | Kaum — „eingespielt und gehofft” | Staging-Test vor Rollout, Rollback-Plan |
| Dokumentation | Excel, lückenhaft | Automatisches Reporting, NIS-2-konform |
| Erfasste Geräte-Typen | Meist nur Windows-Clients | Server, Clients, Firewall, Router, Drucker, Mobile, M365-Tenant |
| Kosten | Scheinbar 0 €, tatsächlich 5–10 % der Arbeitszeit | ab ca. 50 € pro Arbeitsplatz/Monat als Teil Managed IT |
Die eigentlichen Kosten von „wir machen das selbst” sind nicht die eingesparten Lizenzen — sondern die zwei Stunden, die Ihr Finanzleiter jede Woche mit Windows-Updates verbringt, statt mit Finanzen. Plus das Risiko, das er dabei übersieht.
Patch-Management in 5 Schritten aufsetzen
So sieht der Prozess aus, den wir bei unseren Managed-IT-Kunden in Hamburg, Bremen, Kiel und Lübeck fahren:
- Inventarisieren: Alle Systeme erfassen — Server, Clients, Firewall, Switches, Drucker, Router, mobile Geräte, Cloud-Dienste. Oft fallen hier schon Geräte auf, die „vergessen" wurden. Ein einziger ungepatchter Drucker kann Einfallstor sein.
- Priorisieren nach CVSS-Score: Kritische Lücken (CVSS ≥ 9,0) innerhalb 48 Std., hohe (7,0–8,9) innerhalb einer Woche, mittlere innerhalb eines Monats. Kein Patch ohne Priorität — sonst werden die falschen zuerst installiert.
- Testen in Staging: Jeder Patch läuft erst auf 2–3 Testsystemen, bevor er auf 80 produktive Arbeitsplätze geht. Ohne Staging riskieren Sie, dass ein schlechter Microsoft-Patch Ihre gesamte Buchhaltung lahmlegt (passiert regelmäßig — zuletzt im August 2025 mit KB5063878).
- Ausrollen in Wellen: Erst 10 % der Clients, dann 30 %, dann der Rest. Zwischen den Wellen: Monitoring auf Fehler, Performance-Einbrüche, Support-Tickets. Problem früh erkennen heißt Problem klein halten.
- Dokumentieren für NIS-2: Wer hat wann welchen Patch installiert, auf welchem System? Wer nicht? Warum nicht? Diese Dokumentation ist bei einem Cyber-Vorfall Ihr wichtigster Beleg gegenüber BSI, Versicherung und Gericht.
„Unsere IT-Person macht das doch." — In 9 von 10 Audits, die wir bei Neukunden machen, finden wir 20 % oder mehr veraltete Systeme. Nicht weil der Kollege schlecht arbeitet, sondern weil sauberes Patch-Management ein Vollzeit-Thema ist. Die meisten „IT-Kollegen" im KMU sind gleichzeitig Einkauf, Vertrieb und Helpdesk.
Welche Patch-Management-Tools in der Praxis funktionieren
Die Tool-Landschaft ist unübersichtlich. Diese vier Lösungen decken 95 % der KMU-Anforderungen ab:
| Tool | Stärken | Geeignet für | Kosten |
|---|---|---|---|
| Microsoft Intune | Cloudbasiert, M365-integriert, Mobile Device Management inklusive, Zero-Touch-Onboarding | M365-Kunden, hybride/remote Workforces | ab ~6 €/User/Monat |
| WSUS (Windows Server Update Services) | Kostenlos, on-premises, bewährt, nur Windows/Office | Klassische Windows-Umgebungen mit eigenem Server | 0 € (Lizenz im Windows Server enthalten) |
| ManageEngine Patch Manager Plus | Multi-OS (Windows/Mac/Linux), 500+ Drittanbieter-Apps, Reporting | Heterogene Umgebungen, Mac-Anteil | ab ~2 €/Gerät/Monat |
| NinjaOne | RMM-Plattform mit Patch-Integration, modernes Interface, Automation | IT-Dienstleister und interne IT-Teams | ab ~3 €/Endpoint/Monat |
Wir beraten herstellerunabhängig — welches Tool für Sie passt, hängt von Ihrer M365-Situation, Ihrer Geräte-Vielfalt und Ihrem Compliance-Bedarf ab. Details zu unserem Managed-Workplace-Ansatz mit Intune finden Sie auf der Produktseite.
Patch-Management unter NIS-2 — jetzt geht’s um Haftung
Seit Oktober 2024 ist die NIS-2-Richtlinie in deutsches Recht überführt. Sie macht aus „Patchen ist eine gute Idee” ein „Patchen ist Chefsache”. Betroffen sind rund 30.000 Unternehmen in Deutschland — Betreiber kritischer Infrastrukturen, aber auch ganz normale Mittelständler ab etwa 50 Mitarbeitern oder 10 Mio. € Jahresumsatz.
Was NIS-2 konkret fordert (Auszug Art. 21):
- Risikomanagement inklusive Schwachstellen- und Patch-Management — nicht optional
- Nachweispflicht gegenüber Aufsichtsbehörden (in Hamburg: BSI + Landesbehörde)
- Meldepflicht bei erheblichen Sicherheitsvorfällen binnen 24 Stunden (Frühwarnung), 72 Stunden (Meldung), 1 Monat (Abschlussbericht)
- Persönliche Haftung der Geschäftsleitung — nicht auf IT-Leiter abwälzbar, nicht versicherbar
Die Bußgelder sind empfindlich: Bis zu 10 Mio. € oder 2 % des globalen Jahresumsatzes — der höhere Wert zählt. Und das ist der einfache Teil. Die persönliche Haftung der Geschäftsführung bleibt, auch wenn die Firma zahlt.
Details zur Umsetzung finden Sie in unserem Leitfaden NIS-2-Beratung in Hamburg. Wenn Sie nicht sicher sind, ob Sie betroffen sind, prüft unser Schnellcheck das in unter 5 Minuten:
Praxisbeispiel: Wie ein Hamburger Mittelständler den Angriff abwehrte
Im Herbst 2025 beobachteten wir bei einem Kunden aus Wandsbek — Bauunternehmen, 80 Mitarbeiter — eine verdächtige Aktivität: mehrere Login-Versuche auf den Remote-Desktop-Gateway aus Russland. Das Monitoring schlug um 3:42 Uhr morgens an. Weil der Server aktuell gepatcht war (CVE-2025-xxxx war drei Tage zuvor eingespielt worden), lief die Attacke ins Leere.
Der gleiche Angriff hätte zwei Wochen früher funktioniert — bevor der Patch eingespielt war. Das ist der Unterschied zwischen „Grundschutz aktiv” und „Grundschutz in der Planung”.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Dieses Unternehmen ist nicht die Ausnahme, sondern die Regel. Die Bitkom-Cybercrime-Studie 2025 beziffert den durchschnittlichen Schaden eines erfolgreichen Ransomware-Angriffs im Mittelstand auf 266.000 € — und in dieser Summe sind die Vertrauensverluste bei Kunden noch gar nicht enthalten.
Genau dafür gibt es einen professionellen Disaster-Recovery-Plan. Aber der beste Wiederherstellungsplan schlägt den vermiedenen Angriff nicht — und der fängt mit sauberen Patches an.
Patch-Management-Checkliste für Geschäftsführer
Prüfen Sie Ihr Unternehmen anhand dieser 8 Fragen — wenn Sie auch nur eine nicht beantworten können, haben Sie ein Risiko:
- Vollständiges Asset-Inventar. Kennen Sie alle Geräte, die Ihr Netzwerk nutzen — auch Drucker, IoT-Geräte, private Smartphones mit Firmen-Mail?
- Zentrales Patch-Reporting. Können Sie auf Knopfdruck sehen, welche Systeme aktuell nicht gepatcht sind?
- Definierte SLAs. Haben Sie schriftlich, innerhalb welcher Fristen kritische Patches eingespielt werden müssen?
- Firmware-Updates. Werden auch Firewall, Switches und Router regelmäßig gepatcht — nicht nur Windows und Office?
- Mobile Device Management. Sind Firmen-Laptops und -Handys auch im Homeoffice unter Kontrolle?
- Cloud-Dienste. Haben Sie im Blick, welche M365-Tenant-Einstellungen aktualisiert werden müssen?
- End-of-Life-Software. Läuft irgendwo noch Windows 10 (EoL seit Oktober 2025), Exchange 2016 oder andere nicht mehr unterstützte Software?
- Notfall-Prozess. Wer entscheidet bei einem Zero-Day-Alert von Freitag 18 Uhr, ob produktiv sofort gepatcht wird?
Häufige Fehler in der Praxis — was wir bei Audits regelmäßig sehen
Wenn wir zu einem neuen Kunden kommen und die IT-Landschaft bewerten, tauchen diese sieben Muster immer wieder auf:
- „Set and forget”-Firewalls. Die Firewall läuft seit 4 Jahren, die Firmware ist 18 Monate alt, Admin-Passwort wurde nie rotiert. In 95 % der KMU-Firewalls finden wir kritische offene Lücken.
- Backup-Server ungepatcht. Weil der „ja nichts macht außer Backups”. Genau der ist das Ziel Nummer eins bei Ransomware.
- Mitarbeiter klicken „Später erinnern” für Monate. Ohne zentrale Steuerung (MDM/Intune) bleiben Updates liegen, bis der Laptop in die Reparatur geht.
- M365-Tenant-Settings nicht geprüft. Microsoft aktualisiert laufend Security-Baselines — die werden aber nur aktiv, wenn jemand sie bewusst anwendet.
- End-of-Life-Systeme im Betrieb. Windows Server 2012, alte Exchange-Versionen, Software von Herstellern, die es nicht mehr gibt. Keine Updates mehr, trotzdem im Netzwerk.
- Keine Staging-Umgebung. Patches werden direkt auf Produktivsysteme geschoben. Ein einziger fehlerhafter Patch legt dann alle lahm.
- „Ausnahmen” die nie enden. Server XY wurde mal „vorübergehend” vom Patchen ausgenommen. Drei Jahre später ist er immer noch außen vor.
Der Vorteil: Jeder dieser Fehler ist ein konkreter Hebel. Unser IT-Audit in Hamburg deckt diese Muster in der Regel in 2–3 Arbeitstagen auf.
Was Sie heute tun können
Drei konkrete Schritte für diese Woche:
- Admin fragen: Wie viele Systeme sind aktuell auf letztem Patch-Stand? Kommt keine konkrete Zahl zurück — ist das Ihre erste Antwort.
- EoL-Check machen: Läuft irgendwo noch Windows 10, Exchange 2016, Server 2012? Seit Oktober 2025 bzw. früher gibt es keine Sicherheitsupdates mehr — das sind offene Türen.
- Managed-IT-Angebot einholen: Rechnen Sie durch, ob 50 € pro Arbeitsplatz/Monat nicht günstiger sind als die aktuelle Schatten-IT. Unser Cybersecurity-Service bündelt Patch-Management, Monitoring und Incident-Response.
Ihr nächster Schritt
Wenn Sie unsicher sind, wo Ihr Unternehmen beim Thema Patch-Management steht — wir prüfen das in 15 Minuten gemeinsam mit Ihnen. Ohne Vertriebsdruck, ohne Pflicht zu irgendwas. Sie bekommen eine ehrliche Einschätzung, was jetzt dringend ist und was warten kann.
Als Managed-IT-Partner für den Mittelstand betreuen wir über 150 Unternehmen in Hamburg und Norddeutschland — vom Handwerksbetrieb in Norderstedt bis zum Industrieunternehmen in Bremen. Patch-Management läuft bei allen automatisiert im Hintergrund, dokumentiert, NIS-2-konform.
15 Minuten Klarheit zu Ihrem Patch-Stand.
Kostenlos. Ohne Vertriebsdruck. Ehrliche Einschätzung von Geschäftsführer zu Geschäftsführer.
Erstgespräch buchen →Weiterführende Quellen:
