Patch Management
Strukturiertes Update-Verfahren
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Patch Management nach § 30 Abs. 2 Nr. 7 BSIG ist die strukturierte Identifikation, Bewertung, Testung und Anwendung von Software-Updates. Standard: NIST SP 800-40, ISO 27002 (8.8).
Was ist Patch Management?
Patch-Management-Zyklus:
- Vulnerabilität erkennen (CVE-Feed, Vendor-Advisory)
- Kritikalität bewerten (CVSS-Score)
- Patch testen (Staging-Umgebung)
- Anwenden + Rollout-Plan
- Verifizieren + Dokumentieren
Best-Practice-Zyklen:
- Kritische Patches: 24-72h
- Hohe: 1 Woche
- Mittlere: 1 Monat
- Niedrige: 3 Monate
Praxisbeispiel
Microsoft Patch Tuesday: 12 Patches. CVSS >9: 2 Stück → sofort. CVSS 7-8.9: 4 Stück → 1 Woche. Restliche: 1 Monat.
Häufig gestellte Fragen
Tools?
MS Defender for Endpoint, Tanium, ManageEngine Patch Manager.
Schwachstellen-Scan?
Empfohlen wöchentlich, Tools: Nessus, Qualys, OpenVAS.