Patch Management automatisieren: Tools und Best Practices\n\n> Key Takeaways\n> - Ungepatchte Systeme stehen am Anfang von über 60 % aller dokumentierten Einbrüche — das Zeitfenster zwischen CVE-Veröffentlichung und aktivem Exploit schrumpft auf unter 72 Stunden.\n> - NIS-2 und DSGVO fordern dokumentierte, nachvollziehbare Patch-Prozesse — eine Excel-Tabelle genügt nicht als Nachweis gegenüber Aufsichtsbehörden.\n> - Windows Update for Business, Microsoft Intune, Ansible und Wazuh lassen sich zu einer durchgängigen Patch-Pipeline kombinieren.\n> - Ohne Rollback-Strategie und Deployment-Ringe ist jede Automatisierung ein Stabilitätsrisiko — die Reihenfolge des Rollouts entscheidet über Produktionssicherheit.\n\n## Warum manuelles Patchen in KMU systematisch scheitert\n\nDer typische Patch-Prozess in einem Mittelstandsunternehmen ohne dediziertes Security-Team sieht ungefähr so aus: Der zuständige Administrator erhält am Patch Tuesday — dem zweiten Dienstag im Monat — eine Meldung von Windows Update, installiert Updates auf einigen Servern manuell, und hofft, dass der Rest bis zum nächsten Monat wartet. Linux-Server werden vergessen. Drittanbieter-Software wie Adobe Reader, 7-Zip oder Java wird gar nicht erfasst.\n\nDas Problem ist strukturell, nicht personell. Ein einzelner IT-Verantwortlicher, der gleichzeitig Netzwerk, Helpdesk und Einkauf betreut, kann keinen konsistenten Patch-Rhythmus aufrechterhalten. Das Ergebnis: Im Schnitt liegen 30 bis 45 % der Systeme in KMU dauerhaft mehr als 30 Tage hinter dem aktuellen Patch-Stand zurück — das zeigen Auswertungen aus Vulnerability-Management-Plattformen wie Qualys und Tenable.\n\nGleichzeitig hat sich die Angriffsdynamik verändert. Die Zeit zwischen der Veröffentlichung eines CVE (Common Vulnerabilities and Exposures) und dem ersten aktiven Exploit in freier Wildbahn liegt laut CISA-Auswertungen häufig unter 72 Stunden. Bei kritischen Schwachstellen wie Log4Shell oder PrintNightmare war innerhalb weniger Stunden aktive Ausnutzung zu beobachten. Wer auf den nächsten Wartungssamstag wartet, hat dieses Fenster bereits verpasst.\n\n## Rechtliche Anforderungen: NIS-2 und DSGVO als Treiber\n\nPatch Management ist keine rein technische Disziplin mehr. Mit NIS-2 (in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt) sind Unternehmen in betroffenen Sektoren verpflichtet, technische und organisatorische Maßnahmen zur Risikominimierung umzusetzen. Artikel 21 der NIS-2-Richtlinie nennt explizit Maßnahmen zur Behandlung von Sicherheitsvorfällen und zur Sicherheit in der Lieferkette — beides setzt voraus, dass bekannte Schwachstellen zeitnah geschlossen werden.\n\nDie DSGVO greift über Artikel 32: Verantwortliche müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Datenpannen, die auf bekannte, aber ungepatchte Schwachstellen zurückgehen, haben Aufsichtsbehörden in der Vergangenheit als Verstoß gegen diese Pflicht gewertet — mit empfindlichen Bußgeldern als Konsequenz.\n\nPraktisch bedeutet das: Sie brauchen nicht nur funktionierende Patches, sondern Dokumentation — wann wurde welches System mit welchem Update versorgt, und was war der Patch-Status zum Zeitpunkt eines Sicherheitsvorfalls?\n\n## Das Fundament: Schwachstellenübersicht mit Wazuh\n\nBevor Sie automatisieren, brauchen Sie Sichtbarkeit. Wazuh — ein Open-Source-SIEM mit integriertem Vulnerability-Modul — scannt Agenten-Systeme kontinuierlich gegen die NVD (National Vulnerability Database) und OVAL-Feeds. Das Ergebnis ist eine laufende Liste offener CVEs pro Host, kategorisiert nach CVSS-Score.\n\nDie Konfiguration für das Vulnerability-Detection-Modul ist straightforward:\n\n```xml\n\n\n yes\n 5m\n yes\n <provider name=\