Thought Leadership
IT-Abteilungen stehen vor der täglichen Herausforderung, Windows-Betriebssysteme, Treiber und Microsoft 365-Updates zuverlässig zu verteilen. Besonders WSUS stößt dabei regelmäßig an seine Grenzen.
Das Ergebnis: fehleranfällige Prozesse, langwierige Freigabeschleifen und im schlimmsten Fall instabile Client-Systeme. Sebastian Weber, Chief Evangelist beim UEM-Spezialisten Aagon, stellt im Interview vor, welche Alternative Aagon hier zu bieten hat.
Herr Weber, das Jahr 2026 gilt IT-technisch als besonders kritisch für nahezu alle Unternehmen. Was steht uns da bevor?
Sebastian Weber: Microsoft hat angekündigt, dass die bisher genutzten Rootund Key-Exchange-Zertifikate aus dem Jahr 2011 auslaufen. Ab Juni beziehungsweise Oktober 2026 werden Geräte ohne die neuen KEK- und DB-Zertifikate Probleme bekommen. Das kann von fehlschlagenden Boot-Vorgängen über nicht mehr installierbare Updates bis hin zu als „nicht vertrauenswürdig“ eingestuften digitalen Signaturen reichen. Für Unternehmen bedeutet das potenziell einen produktionsweiten Stillstand. Gerade regulierte Branchen riskieren damit de facto einen Produktionsstopp. Es ist also nicht nur ein technisches, sondern auch ein Compliance-Thema, das man frühzeitig angehen muss.
Microsoft empfiehlt, für diese Updates auf die eigene Update-Infrastruktur zu setzen. Warum sehen Sie das anders?
Sebastian Weber: Microsoft sähe es am liebsten, die Verwaltung von Windows-Updates selbst zu übernehmen. Den dafür traditionell verwendeten WSUS stellen wir schon seit längerem unser ACMP Modul Complete Aagon Windows Update Management (CAWUM) als durchgängige Lösung gegenüber. Damit lassen sich Windows-, Office 365-, Treiber- sowie Firmware-Updates so koordinieren, dass die Systeme gleichzeitig sicher, kompatibel und betriebsbereit bleiben. Eine proaktive, zentral gesteuerte Update-Strategie reduziert die operative Komplexität, verbessert die Cyber-Resilienz und stellt sicher, dass kritische Infrastrukturen auch nach Ablauf der alten Secure-Boot-Zertifikate ohne Unterbrechung weiterarbeiten. Wir sehen jeden Tag bei Kunden, dass eine eigenständige Strategie für Updates mehr Kontrolle und Verlässlichkeit bedeutet.
Die Secure-Boot-Zertifikate als Paradebeispiel für die Notwendigkeit, Windows-Updates proaktiv und zentral zu managen. Worin unterscheidet sich CAWUM konkret von WSUS?
Sebastian Weber: WSUS war lange das Standardwerkzeug für Windows-Updates. Allerdings stößt es immer häufiger an seine Grenzen – sei es bei der Bandbreite, der Steuerung einzelner Clients oder beim Freigabeprozess. CAWUM übernimmt diese Funktion, aber auf einer moderneren, granulareren Basis. Wir liefern den Clients nicht mehr das komplette Gigabyte-Update-Paket, sondern nur die tatsächlich benötigten Patches. Das spart Bandbreite, beschleunigt Installationen und erhöht gleichzeitig die Transparenz. Und wir können mehrere Update-Ringe, Testphasen und unterschiedliche Repositories definieren, ohne komplizierte Zusatz-Tools.
Was bedeutet das für die operative Sicherheit?
Sebastian Weber: Sicherheit entsteht durch Aktualität. Ungepatchte Systeme sind nachweislich eine der Hauptursachen für Ransomware-Angriffe und Datenlecks. CAWUM erlaubt eine proaktive Update-Strategie – inklusive Testsystemen, Freigaberingen und klar definierten Prozessen. Das reduziert operative Komplexität, erhöht die Cyber-Resilienz und sichert langfristig Compliance mit NIS-2, ISO 27001 und branchenspezifischen Standards. Gerade im Zusammenspiel mit strengen Audits ist es wichtig, Updates nicht nur einzuspielen, sondern auch revisionssicher zu dokumentieren.
Viele Administratoren fürchten Störungen im laufenden Betrieb, wenn sie Updates schneller ausrollen. Wie adressiert CAWUM diesen Punkt?
Sebastian Weber: Wir setzen auf planbare und transparente Update-Prozesse. Updates lassen sich zuerst in Testumgebungen einspielen, dann kontrolliert in Freigaberingen ausrollen. Administratoren können definieren, welche Patches auf welchen File-Repositories liegen sollen und in welchen Sprachen. All das senkt das Risiko instabiler Clients und reduziert Freigabeschleifen drastisch. Außerdem sind unsere Rollback-Optionen klar definiert: Falls ein Patch unvorhergesehen Probleme macht, lässt sich sehr schnell der vorherige Zustand wiederherstellen.
WSUS wird spätestens nach dem Laufzeitende von Windows Server 2025 keine Zukunft mehr haben. Wie stellen Sie sicher, dass Unternehmen nicht ins Leere laufen?
Sebastian Weber: Wir unterstützen Kunden bereits heute dabei, den Umstieg zu vollziehen. CAWUM ist so konzipiert, dass es nahtlos die Aufgaben von WSUS übernimmt – ohne dass Microsofts Cloud-Dienste eingebunden werden müssen. Das ist besonders für Unternehmen mit hohen Compliance-Anforderungen interessant. Gleichzeitig bleibt man tagesaktuell gegenüber neuen Bedrohungen, weil CAWUM wie ein synchronisierter WSUS arbeitet – nur mit deutlich mehr Steuerungsmöglichkeiten. Durch die enge Verzahnung mit anderen ACMP Modulen lassen sich Inventarisierung, Lizenzmanagement oder Endpoint Security nahtlos integrieren.
Sicherheit entsteht durch Aktualität. Ungepatchte Systeme sind nachweislich eine der Hauptursachen für Ransomware-Angriffe und Datenlecks.
Sebastian Weber, Aagon GmbH
Neben Betriebssystem-Updates spielt auch das Treibermanagement eine wichtige Rolle. Welche Herausforderungen sehen Sie hier?
Sebastian Weber: Treiber sind ein klassisches Einfallstor für Angreifer. Je älter ein Treiber, desto höher das Risiko. Microsoft hat die Treiberfunktion von WSUS bereits Ende April 2025 abgekündigt, und viele Unternehmen stehen damit ohne automatisierten Prozess da. Treiber und Firmware müssen aber genauso aktuell gehalten werden wie Windows selbst. Hinzu kommt: Treiber haben oft unmittelbaren Einfluss auf Stabilität und Performance. Ein veralteter oder fehlerhafter Treiber kann ganze Systeme lahmlegen.
Wie hilft CAWUM konkret bei der Treiberaktualisierung?
Sebastian Weber: Wir binden Treiberkataloge von Drittanbietern – beginnend mit Lenovo, Dell und HP – direkt in CAWUM ein. Damit können Administratoren Treiber genauso granular auswählen und testen wie Windows-Updates. Nur die tatsächlich benötigten Dateien werden geladen, was den Speicherbedarf minimiert und Netzwerke entlastet. Mit bekannten Test- und Freigabeprozessen sowie ausführlichen Reports lässt sich lückenlos dokumentieren, dass die Infrastruktur sicher und konform ist. In Zukunft wollen wir auch weitere Hersteller ergänzen und so eine nahezu vollständige Abdeckung erreichen.
Sie betonen also grundsätzlich die Dringlichkeit, mit der Unternehmen ihr Patch- und Treibermanagement modernisieren müssen.
Sebastian Weber: Das Auslaufen der Secure-Boot-Zertifikate ab 2026 und die Abkündigung von WSUS zeigen das nur zu deutlich. CAWUM ersetzt nicht nur WSUS, sondern schafft eine zukunftssichere, zentrale und planbare Plattform für Betriebssystem-, Office- und Treiber-Updates – und damit die Grundlage für nachhaltige Cyber-Resilienz und Compliance. Unternehmen können so ihre Update-Prozesse konsolidieren, Kosten sparen und ihre IT-Teams von Routinearbeiten entlasten.
Herr Weber, vielen Dank für das Gespräch.
