Zurück zum Blog
IT-Infrastruktur

Patch-Management für KMU 2026: Tools, Prozesse, SLA – ohne Stress

60% aller Ransomware-Vorfälle in der Schweiz nutzen Schwachstellen, für die seit Monaten Patches verfügbar wären. Patch-Management ist 2026 keine IT-Hygiene mehr, sondern Pflicht für Cyber-Versicherer, ISO 27001, ISG und FINMA. Wie KMU Clients, Server, Drittsoftware und Netzwerk-Geräte zuverlässig patchen – mit Tools, SLAs und einem Prozess, der nicht alle drei Monate kollabiert.

Autor: Gian Marco Ma Mai 2026 13 Min. Lesezeit

Kurz vorweg: Patch-Management ist 2026 kein Bonus mehr. Cyber-Versicherer prüfen vor Vertragsabschluss explizit den Patch-Prozess (häufig sogar mit externem Scan). ISO 27001 Annex A 8.8 verlangt formales Schwachstellen- und Patch-Management. ISG-, NIS2- und FINMA-Pflichten setzen es voraus. Die gute Nachricht: Mit Intune + Patch My PC oder einer modernen RMM-Plattform (NinjaOne, Action1, Atera) ist Patch-Management für 50 Endpoints in wenigen Stunden aufgesetzt – inklusive automatischer Verteilung in Ringen.

Was alles gepatcht werden muss

1

Betriebssysteme (Windows, macOS, Linux)

Monatliche Sicherheits- und Feature-Updates. Windows Update for Business, Apple Software Updates, Linux Package Manager. Pflicht für jedes Gerät – auch Notebooks im Home-Office.

2

Drittanbieter-Software (Browser, Adobe, Java, Zoom etc.)

Häufigster blinder Fleck: Über 70% der Exploit-fähigen CVEs liegen in Drittsoftware. Tools: Patch My PC, NinjaOne 3rd-Party, Action1, Chocolatey, winget, Homebrew.

3

Server (On-Premises & Cloud)

Windows Server, Linux-Server, Hyper-V, VMware ESXi. Maintenance-Fenster, Snapshot, Reboot-Plan, Cluster-Failover. Tools: WSUS/SCCM, Ansible, Intune for Servers.

4

Netzwerk-Geräte (Firewall, Switch, WLAN-Controller)

Firewall-Firmware (Fortinet, Sophos, WatchGuard), Switch-OS (Cisco IOS, Aruba), WLAN-Access-Points. Cloud-managed: oft automatisch. On-Prem: manueller Prozess mit Rollback.

5

Cloud-Services (M365, Azure, AWS)

SaaS-Patches sind Anbieter-Verantwortung – aber Konfigurations-Patches (Conditional Access, Tenant-Settings, Power Platform Capacities) erfordern Monitoring & regelmässige Reviews.

6

IoT, Drucker, MFP, OT

Häufig vergessen, häufig kompromittiert. Drucker-Firmware (HP, Konica, Xerox), Kameras, Türsysteme, Produktions-Steuerungen. Mindestens jährlich, segmentiert in eigenem VLAN.

Sinnvolle Patch-SLA für KMU

Diese Zeiten sind die "Goldstandards", die Cyber-Versicherer und Auditoren erwarten. Ausnahmen müssen schriftlich begründet und vom IT-Verantwortlichen genehmigt werden.

  • Aktiv ausgenutzte CVE (CISA KEV, Hersteller-Hinweis): 24–72 Stunden, out-of-band Patch oder Workaround.
  • Critical (CVSS ≥ 9.0): 7 Tage. Pilot (Tag 1–2), Test (Tag 2–4), Broad (Tag 4–7).
  • High (CVSS 7.0–8.9): 14 Tage. Üblicher monatlicher Patch-Tuesday-Rhythmus.
  • Medium (CVSS 4.0–6.9): 30 Tage. Regulärer Zyklus.
  • Low (CVSS < 4.0): 90 Tage oder mit nächstem Major-Update.
  • Server / kritische Systeme: gleiche Werte, aber mit dokumentiertem Maintenance-Fenster und Snapshot-Pflicht.
  • Netzwerk-Geräte (Firewall): bei kritischen Firmware-Patches innert 48 Std. – Internet-exponierte Geräte sind ein klares Risiko.
  • IoT / OT: lange Zyklen sind realistisch, aber netzwerk-segmentiert betreiben und kompensatorisch absichern (Default-Deny-FW-Regel).

Patch-Tools für KMU im Vergleich

Microsoft Intune + Windows Update for Business

In Microsoft 365 Business Premium / E3 / E5 enthalten. Update-Ringe, Deferral-Tage, Feature-Updates, Quality-Updates für Windows. Nicht für Drittsoftware!

Preis-Indikation

In M365 Business Premium (CHF 21.10/MA/Mo) und E3/E5 enthalten. Standalone Intune ab USD 8/Gerät/Monat.

Empfehlung

Basis-Lösung für jedes M365-KMU. Pflicht: ergänzen durch Drittanbieter-Patcher.

Patch My PC

Add-On zu Intune und SCCM für Drittsoftware (550+ Apps: Chrome, Firefox, Adobe, Zoom, Notepad++, 7-Zip, VLC etc.). Sehr KMU-tauglich, einfach zu konfigurieren.

Preis-Indikation

ab USD 2.50/Gerät/Monat (Intune-Edition), Volume-Rabatte ab 100 Geräten.

Empfehlung

Erste Wahl für Drittsoftware in Intune-Umgebungen. Schliesst die grösste Sicherheitslücke.

NinjaOne

Modernes RMM (Remote Monitoring & Management) mit eigenem Patch-Modul, Skripting, Software-Deployment. Beliebt bei MSPs in der Schweiz. Cloud-basiert, schnell ausgerollt.

Preis-Indikation

ab CHF 4–7/Gerät/Monat bei kleineren Mengen, Mengen-Rabatte über MSP.

Empfehlung

Top für KMU mit Multi-OS (Windows + Mac), für IT-Outsourcing-Partner Standard.

Action1

Cloud-Patch-Management mit grosszügigem Free-Tier (bis 200 Endpoints kostenlos). Sehr feature-reich, schnelle Patch-Verteilung, Reports.

Preis-Indikation

Free bis 200 Endpoints, danach ab USD 3.50/Gerät/Monat.

Empfehlung

Sehr attraktiv für KMU mit < 200 Endpoints – Patch-Management ohne Lizenzkosten.

Atera

RMM mit Patch, Helpdesk, Monitoring all-in-one. Pro-Techniker-Lizenz, nicht pro Gerät – sehr günstig bei kleinem IT-Team und vielen Endpoints.

Preis-Indikation

ab USD 149/Techniker/Monat – unbegrenzte Endpoints.

Empfehlung

Top für interne IT-Teams (1–5 Techniker) mit 100+ Endpoints.

ManageEngine Patch Manager Plus

Traditioneller Patch-Manager mit Windows, macOS, Linux, 750+ Drittsoftware. On-Prem oder Cloud. Etwas altmodische UI, aber sehr funktionsstark.

Preis-Indikation

ab USD 245/Jahr für 50 Endpoints (Cloud) oder USD 595 für 50 Endpoints (On-Prem).

Empfehlung

Solide Alternative, besonders für KMU mit On-Prem-Anforderungen oder Linux-Schwerpunkt.

Tanium / BigFix / Rapid7

Enterprise-Klasse mit Endpoint-Visibility, Patch und Sicherheits-Posture in einem. Sehr mächtig, aber Lizenz-/Setup-Aufwand für KMU oft überdimensioniert.

Preis-Indikation

Typisch USD 50–150/Endpoint/Jahr – Enterprise-Preise.

Empfehlung

Für mittlere KMU (250+) mit hohem Sicherheits-/Compliance-Druck (Finanz, Pharma).

Der monatliche Patch-Prozess

1

Tag -3 bis 0 – Vorbereitung & Triage

Patch Tuesday (zweiter Dienstag) review: Welche CVEs werden geschlossen? Welche sind relevant für unsere Umgebung? Welche brauchen Out-of-Band-Behandlung? Hersteller-Hinweise (Microsoft, Apple, Fortinet, Sophos) abonnieren.

Konkret: Liste der relevanten CVEs, Priorisierung, ggf. Sofortmassnahmen.
2

Tag 0–2 – Pilot-Ring (5–10 Geräte)

Patches an IT-Team und Pilot-User verteilen. 24–48 Std. Stabilitätsbeobachtung. Bei Auffälligkeiten: Rollback oder Held-Back-Liste.

Konkret: Pilot-Ring gepatcht, Status-Bericht, Go/No-Go-Entscheid.
3

Tag 3–5 – Test-Ring (15–25% der Geräte)

Breitere Validierung mit unterschiedlichen Abteilungen, Geräte-Modellen. Tickets in Helpdesk monitoren. Drittsoftware-Konflikte erkennen.

Konkret: Test-Ring gepatcht, keine ungelösten Blocker, Freigabe für Broad-Ring.
4

Tag 5–10 – Broad-Ring (alle übrigen Clients)

Restliche Endpoints, mit Maintenance-Fenster für Server (Abend, Wochenende). Server gestaffelt patchen, Cluster-Failover beachten.

Konkret: ≥ 95% der Endpoints gepatcht, Compliance-Report, Ausnahmen dokumentiert.
5

Tag 10–15 – Reporting & Ausnahmen-Review

Patch-Compliance-Report an IT-Leitung. Geräte ohne Patch (z. B. Offline-Notebooks, ausgeschiedene MA) bereinigen. Ausnahmen mit Begründung dokumentieren.

Konkret: Monatlicher Patch-Report, Ausnahmen-Liste, Nachfass-Tasks.
6

Out-of-Band – Critical CVE mit Exploit

Wenn CISA / BACS / Hersteller einen aktiv ausgenutzten Bug meldet: Sofort-Patch oder Workaround. Pilot-Phase auf 2–4 Stunden verkürzen, danach Broad-Ring innert 24 Std.

Konkret: Out-of-Band-Protokoll, Kommunikation an Geschäftsleitung, Lessons Learned.

Typische Stolpersteine

  • Drittsoftware vergessen: Windows-Patches laufen, aber Chrome, Adobe Reader, Zoom sind Monate alt – grösste Lücke vieler KMU.
  • Keine Server-Patches: "Läuft, anfassen kostet". Folge: 4 Jahre alte Schwachstellen werden weiter aktiv ausgenutzt.
  • Ohne Pilot-Ring: Patch Tuesday gleich an alle → bei BSOD oder CrowdStrike-artigem Vorfall liegt das Unternehmen. Pflicht: Ringe.
  • Offline-Geräte: Notebooks im Urlaub, Maschinen am Standort B. Pflicht: Compliance-Report mit "Last Seen" und Nachfass nach 14 Tagen.
  • Reboot vergessen: Patches installiert, aber nicht aktiv. Pflicht: Reboot-Policy mit Deadline und User-Kommunikation.
  • IoT, Drucker, Kameras ungepatcht: 5-jährige Firmware ist Standard. Mindestens VLAN-Segmentierung als Kompensation.
  • Keine Dokumentation: Auditoren wollen Patch-Reports und Ausnahmen-Begründungen sehen. Pflicht: Monatliches Reporting archivieren.
  • Manuelles Patchen kritischer Systeme ohne Snapshot: Patch verursacht Reboot-Schleife, Wiederherstellung kostet Tage. Pflicht: Snapshot vor jedem Server-Patch.

Fazit: Patch-Management ist 2026 Pflicht – nicht Option

Wer 2026 als KMU ohne formales Patch-Management arbeitet, riskiert dreifach: Versicherungsdeckung kann im Schadensfall verweigert werden, ISO/ISG-Audits scheitern, und das eigentliche Sicherheitsrisiko ist real – über 60% der erfolgreichen Angriffe nutzen längst gepatchte Lücken. Die gute Nachricht: Mit M365-Tools (Intune + Patch My PC) oder einer modernen RMM-Plattform (NinjaOne, Action1, Atera) ist ein sauberer Patch-Prozess in einem Monat umgesetzt.

Wichtiger als die Tool-Wahl ist die Disziplin: Patches gestaffelt in Ringen verteilen, Drittsoftware nicht vergessen, monatliches Reporting, dokumentierte Ausnahmen. Das verkleinert die Angriffsfläche deutlich – und macht das Unternehmen versicherbar.

Patch-Prozess aufsetzen

Wir definieren mit Ihnen SLA, wählen das passende Tool, implementieren Ringe und Reporting und übergeben einen Prozess, der im Audit besteht.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen