Vom Risiko zur Routine: Schwachstellen systematisch schließen

Für die IT ist es angesichts zunehmender Cyberkriminalität immens wichtig, beim Schließen von Schwachstellen und Steuern von Updates nicht ad hoc, sondern geplant vorzugehen – idealerweise über automatisierte Workflows im Zusammenspiel der Module für Schwachstellenmanagement, Update und Patch Management einer UEM-Plattform.

Fehlende Zeit oder personelle Ressourcen sind für Anwenderunternehmen aktuell die größte Herausforderung im Patch- und Update Management, so das Ergebnis einer Umfrage von Aagon vom Herbst 2025. 29 Prozent der Befragten nannten die fehlende Integration mit dem Schwachstellenmanagement als Problem, gefolgt von komplexen Freigabe- und Testprozessen sowie einer unübersichtlichen Systemlandschaft.

Was den Zeitmangel angeht, gibt es ein wirksames Gegenmittel: Automatisierung. Ohne diese müssen Windows- oder sonstige Updates jedes Mal aufs Neue eingeplant und dann per Hand durchgeführt werden. Statt eines geordneten Prozesses für das Patchen spielt die IT bei neu entdeckten Schwachstellen immer wieder Feuerwehr: Schnell den passenden Patch, das aktuelle Update finden und installieren – das bedeutet permanenten Stress.

Dezentrale Prozesse, verborgene Sicherheitslücken

Hauptproblem sind die dezentralen Prozesse, wie sie in vielen IT-Abteilungen noch vorzufinden sind. Windows-Updates laufen über WSUS, daneben gibt es jeweils eigene Lösungen für Client und Server, Linux- und Mac-Geräte. Gesteuert wird das ganze über mehrere Konsolen, die es im Auge zu behalten gilt. Freigabe- und Testprozesse sind umso komplexer, je größer das Unternehmen ist. Immer gilt es zu klären, ob ein Update sofort an alle oder zunächst nur ausgewählten Usergruppen ausgerollt werden soll. Als weitere Zeitfresser gestalten sich verborgene Sicherheitslücken durch Schatten-IT.

Spätestens seit dem Beschluss des NIS2-Umsetzungsgesetzes wächst nun der Druck auf IT-Abteilungen, bei den Themen Schwachstellenbekämpfung und Patching koordinierter vorzugehen, mit anderen Worten: die Funktionen beider Vorgänge enger miteinander zu verzahnen und dadurch Abläufe zu automatisieren. Aagon ermöglicht genau dieses mit seiner UEM-Plattform ACMP. NIS2 verlangt im Übrigen auch Nachweise über die Einhaltung der Richtlinie. Eine IT-Abteilung muss daher kontinuierlich gegenüber dem Management reporten können, wie viele Schwachstellen sie gefunden und geschlossen hat. Auch dafür stellt die ACMP Suite die passenden Mittel bereit. Davon profitieren natürlich alle Unternehmen, auch solche, die nicht von NIS2 betroffen sind.

Unternehmen brauchen also einen Paradigmenwechsel, weg von der reinen Reaktion, hin zu proaktivem Handeln. Denn reaktives Management bedeutet: kurzfristige Lösungen, hoher manueller Aufwand, fehlende Transparenz und erhöhtes Risiko. Wer hingegen proaktiv vorgeht, plant seine Prozesse, lässt sie mittels automatisierter Workflows ablaufen und hat jederzeitige Kontrolle über den aktuellen Stand des Update- und Patch-Status.

Kritikalitäts- und Risikoanalyse vorschalten

Planung bedeutet zunächst, die wirklich kritischen Bereiche im Unternehmen zu identifizieren, etwa den Webshop, über den der Großteil des Umsatzes generiert wird, das ERP-System etc. Diese sind als allererstes auf dem stets aktuellen Stand zu halten. Auf allen Systemen installiert die ACMP Suite Agenten, die von diesen die Inventardaten übermitteln. Hier beginnt die Erkennung, das heißt die automatische Identifizierung von Schwachstellen mit Priorisierung der Risiken.

Von der Lücke zur Lösung

Anschließend koordiniert die Lösung das Einspielen der Updates strategisch. In der Aagon-Plattform lassen sich dazu sogenannte Wartungsfenster einrichten. Sie geben vor, wann auf welchem System ein Update ausgeführt werden darf. Server zum Beispiel selten tagsüber, auch Kassensysteme sollten ihre Patches erst nach Feierabend erhalten. Updates führt das UEM dann in Freigaberingen gestaffelt durch und kontrolliert sowie dokumentiert im Nachgang den Erfolg der Maßnahme.

Über das Update Management „gestülpt“ wird das Schwachstellenmanagement. Es beinhaltet das automatische Scannen von Schwachstellen und Identifizieren von Sicherheitslücken über alle Systeme hinweg. Die Risiken bewertet das Modul nach CVSS-Score und Unternehmenskontext und verknüpft die Schwachstellen anschließend intelligent mit den verfügbaren Patches aus allen Update-Quellen (Windows, Third Party Anwendungen, Treiber). Sind die Patches eingespielt, schließt sich ein Reporting an, über welches das gesamte Schwachstellenmanagement für Compliance Zwecke transparent dokumentiert wird. Anschließend beginnt der Prozess der Schwachstellenerkennung von vorne. Auf den Patch folgt also die nächste Lücke, gefolgt wiederum von einem Patch usw.

ACMP bietet diesen Prozess der Automatisierung für Windows Updates über sein Modul CAWUM an. Treiber-Updates werden wichtiger, denn nicht gepatchte Treiber sind ein zunehmend gern genutztes Einfallstor. Dazu zählen auch EFI, Bios- oder Firmware-Updates. Die Treiber bezieht Aagon direkt von den Herstellern, wo sie in der Regel aktueller sind als beim WSUS-Server, der sie über die Windows-Synchronisation verteilt.

Unternehmen brauchen einen Paradigmenwechsel, weg von der reinen Reaktion, hin zu proaktivem Handeln.

Sebastian Weber, Aagon GmbH

Praxisnutzen

Bis zu 70 Prozent weniger manueller Aufwand bei gleichzeitig höherer Sicherheit durch das schnelle Ausrollen kritischer Patches sind die wesentlichen Vorteile einer Automatisierung. Immer wieder berichten Unternehmen von Rekordzeiten zwischen Entdeckung einer Schwachstelle und Patch. Bis zu 85 Prozent Geschwindigkeitsvorteil gegenüber manuellem Vorgehen werden genannt. Dadurch, dass Sicherheitslücken systematisch geschlossen werden, sind auch messbar weniger Incidents zu verzeichnen. Administrationsabteilungen haben außerdem vollständige Transparenz durch einen Überblick über den Patch- Status, offene Schwachstellen und das Compliance-Level für alle Systeme.

Wie sollte eine Update-Strategie nun als Best-Practice aussehen? Empfehlenswert ist immer der Start in einer kontrollierten Staging-Umgebung mit einer Hand voll Test-Clients (auch virtuelle). Das vermeidet böse Überraschungen und stellt Kompatibilität sicher. Es folgt Phase zwei mit produktiven Endgeräten. Die Updates werden in gestaffelten Wellen verteilt: Pilotgruppen, Abteilungen und Gesamtunternehmen. In den Abteilungen sollten als Key User Personen mit einer gewissen IT-Affinität herausgesucht werden. Bei ihnen kann man erwarten, dass auf ein Update auch mal ein qualifiziertes Feedback zurückkommt – wichtig für die Erfolgskontrolle.

Diese Roll-outs finden in den bereits beschriebenen Wartungsfenstern statt, um dafür zu sorgen, dass kritische Geschäftsprozesse ungestört bleiben. Automatisierte Berichte für Management und Compliance-Beauftragte am Monatsende machen die Vorgänge transparent, schaffen Vertrauen und erleichtern künftige Audits. Das ist es also, was Unternehmen und die sich verschärfende Sicherheitslage heute benötigen: ein durchdachtes Update-Management, das Patches, Schwachstellenmanagement und Automatisierung in einem einheitlichen System verbindet.