Zurück zum Blog
IT-Infrastruktur

Patch-Management für KMU 2026: Tools, Prozesse, SLA – ohne Stress

60% aller Ransomware-Vorfälle in der Schweiz nutzen Schwachstellen, für die seit Monaten Patches verfügbar wären. Patch-Management ist 2026 keine IT-Hygiene mehr, sondern Pflicht für Cyber-Versicherer, ISO 27001, ISG und FINMA. Wie KMU Clients, Server, Drittsoftware und Netzwerk-Geräte zuverlässig patchen – mit Tools, SLAs und einem Prozess, der nicht alle drei Monate kollabiert.

Autor: Gian Marco Ma Mai 2026 13 Min. Lesezeit

Kurz vorweg: Patch-Management ist 2026 kein Bonus mehr. Cyber-Versicherer prüfen vor Vertragsabschluss explizit den Patch-Prozess (häufig sogar mit externem Scan). ISO 27001 Annex A 8.8 verlangt formales Schwachstellen- und Patch-Management. ISG-, NIS2- und FINMA-Pflichten setzen es voraus. Die gute Nachricht: Mit Intune + Patch My PC oder einer modernen RMM-Plattform (NinjaOne, Action1, Atera) ist Patch-Management für 50 Endpoints in wenigen Stunden aufgesetzt – inklusive automatischer Verteilung in Ringen.

Was alles gepatcht werden muss

1

Betriebssysteme (Windows, macOS, Linux)

Monatliche Sicherheits- und Feature-Updates. Windows Update for Business, Apple Software Updates, Linux Package Manager. Pflicht für jedes Gerät – auch Notebooks im Home-Office.

2

Drittanbieter-Software (Browser, Adobe, Java, Zoom etc.)

Häufigster blinder Fleck: Über 70% der Exploit-fähigen CVEs liegen in Drittsoftware. Tools: Patch My PC, NinjaOne 3rd-Party, Action1, Chocolatey, winget, Homebrew.

3

Server (On-Premises & Cloud)

Windows Server, Linux-Server, Hyper-V, VMware ESXi. Maintenance-Fenster, Snapshot, Reboot-Plan, Cluster-Failover. Tools: WSUS/SCCM, Ansible, Intune for Servers.

4

Netzwerk-Geräte (Firewall, Switch, WLAN-Controller)

Firewall-Firmware (Fortinet, Sophos, WatchGuard), Switch-OS (Cisco IOS, Aruba), WLAN-Access-Points. Cloud-managed: oft automatisch. On-Prem: manueller Prozess mit Rollback.

5

Cloud-Services (M365, Azure, AWS)

SaaS-Patches sind Anbieter-Verantwortung – aber Konfigurations-Patches (Conditional Access, Tenant-Settings, Power Platform Capacities) erfordern Monitoring & regelmässige Reviews.

6

IoT, Drucker, MFP, OT

Häufig vergessen, häufig kompromittiert. Drucker-Firmware (HP, Konica, Xerox), Kameras, Türsysteme, Produktions-Steuerungen. Mindestens jährlich, segmentiert in eigenem VLAN.

Sinnvolle Patch-SLA für KMU

Diese Zeiten sind die "Goldstandards", die Cyber-Versicherer und Auditoren erwarten. Ausnahmen müssen schriftlich begründet und vom IT-Verantwortlichen genehmigt werden.

  • Aktiv ausgenutzte CVE (CISA KEV, Hersteller-Hinweis): 24–72 Stunden, out-of-band Patch oder Workaround.
  • Critical (CVSS ≥ 9.0): 7 Tage. Pilot (Tag 1–2), Test (Tag 2–4), Broad (Tag 4–7).
  • High (CVSS 7.0–8.9): 14 Tage. Üblicher monatlicher Patch-Tuesday-Rhythmus.
  • Medium (CVSS 4.0–6.9): 30 Tage. Regulärer Zyklus.
  • Low (CVSS < 4.0): 90 Tage oder mit nächstem Major-Update.
  • Server / kritische Systeme: gleiche Werte, aber mit dokumentiertem Maintenance-Fenster und Snapshot-Pflicht.
  • Netzwerk-Geräte (Firewall): bei kritischen Firmware-Patches innert 48 Std. – Internet-exponierte Geräte sind ein klares Risiko.
  • IoT / OT: lange Zyklen sind realistisch, aber netzwerk-segmentiert betreiben und kompensatorisch absichern (Default-Deny-FW-Regel).

Patch-Tools für KMU im Vergleich

Microsoft Intune + Windows Update for Business

In Microsoft 365 Business Premium / E3 / E5 enthalten. Update-Ringe, Deferral-Tage, Feature-Updates, Quality-Updates für Windows. Nicht für Drittsoftware!

Preis-Indikation

In M365 Business Premium (CHF 21.10/MA/Mo) und E3/E5 enthalten. Standalone Intune ab USD 8/Gerät/Monat.

Empfehlung

Basis-Lösung für jedes M365-KMU. Pflicht: ergänzen durch Drittanbieter-Patcher.

Patch My PC

Add-On zu Intune und SCCM für Drittsoftware (550+ Apps: Chrome, Firefox, Adobe, Zoom, Notepad++, 7-Zip, VLC etc.). Sehr KMU-tauglich, einfach zu konfigurieren.

Preis-Indikation

ab USD 2.50/Gerät/Monat (Intune-Edition), Volume-Rabatte ab 100 Geräten.

Empfehlung

Erste Wahl für Drittsoftware in Intune-Umgebungen. Schliesst die grösste Sicherheitslücke.

NinjaOne

Modernes RMM (Remote Monitoring & Management) mit eigenem Patch-Modul, Skripting, Software-Deployment. Beliebt bei MSPs in der Schweiz. Cloud-basiert, schnell ausgerollt.

Preis-Indikation

ab CHF 4–7/Gerät/Monat bei kleineren Mengen, Mengen-Rabatte über MSP.

Empfehlung

Top für KMU mit Multi-OS (Windows + Mac), für IT-Outsourcing-Partner Standard.

Action1

Cloud-Patch-Management mit grosszügigem Free-Tier (bis 200 Endpoints kostenlos). Sehr feature-reich, schnelle Patch-Verteilung, Reports.

Preis-Indikation

Free bis 200 Endpoints, danach ab USD 3.50/Gerät/Monat.

Empfehlung

Sehr attraktiv für KMU mit < 200 Endpoints – Patch-Management ohne Lizenzkosten.

Atera

RMM mit Patch, Helpdesk, Monitoring all-in-one. Pro-Techniker-Lizenz, nicht pro Gerät – sehr günstig bei kleinem IT-Team und vielen Endpoints.

Preis-Indikation

ab USD 149/Techniker/Monat – unbegrenzte Endpoints.

Empfehlung

Top für interne IT-Teams (1–5 Techniker) mit 100+ Endpoints.

ManageEngine Patch Manager Plus

Traditioneller Patch-Manager mit Windows, macOS, Linux, 750+ Drittsoftware. On-Prem oder Cloud. Etwas altmodische UI, aber sehr funktionsstark.

Preis-Indikation

ab USD 245/Jahr für 50 Endpoints (Cloud) oder USD 595 für 50 Endpoints (On-Prem).

Empfehlung

Solide Alternative, besonders für KMU mit On-Prem-Anforderungen oder Linux-Schwerpunkt.

Tanium / BigFix / Rapid7

Enterprise-Klasse mit Endpoint-Visibility, Patch und Sicherheits-Posture in einem. Sehr mächtig, aber Lizenz-/Setup-Aufwand für KMU oft überdimensioniert.

Preis-Indikation

Typisch USD 50–150/Endpoint/Jahr – Enterprise-Preise.

Empfehlung

Für mittlere KMU (250+) mit hohem Sicherheits-/Compliance-Druck (Finanz, Pharma).

Der monatliche Patch-Prozess

1

Tag -3 bis 0 – Vorbereitung & Triage

Patch Tuesday (zweiter Dienstag) review: Welche CVEs werden geschlossen? Welche sind relevant für unsere Umgebung? Welche brauchen Out-of-Band-Behandlung? Hersteller-Hinweise (Microsoft, Apple, Fortinet, Sophos) abonnieren.

Konkret: Liste der relevanten CVEs, Priorisierung, ggf. Sofortmassnahmen.
2

Tag 0–2 – Pilot-Ring (5–10 Geräte)

Patches an IT-Team und Pilot-User verteilen. 24–48 Std. Stabilitätsbeobachtung. Bei Auffälligkeiten: Rollback oder Held-Back-Liste.

Konkret: Pilot-Ring gepatcht, Status-Bericht, Go/No-Go-Entscheid.
3

Tag 3–5 – Test-Ring (15–25% der Geräte)

Breitere Validierung mit unterschiedlichen Abteilungen, Geräte-Modellen. Tickets in Helpdesk monitoren. Drittsoftware-Konflikte erkennen.

Konkret: Test-Ring gepatcht, keine ungelösten Blocker, Freigabe für Broad-Ring.
4

Tag 5–10 – Broad-Ring (alle übrigen Clients)

Restliche Endpoints, mit Maintenance-Fenster für Server (Abend, Wochenende). Server gestaffelt patchen, Cluster-Failover beachten.

Konkret: ≥ 95% der Endpoints gepatcht, Compliance-Report, Ausnahmen dokumentiert.
5

Tag 10–15 – Reporting & Ausnahmen-Review

Patch-Compliance-Report an IT-Leitung. Geräte ohne Patch (z. B. Offline-Notebooks, ausgeschiedene MA) bereinigen. Ausnahmen mit Begründung dokumentieren.

Konkret: Monatlicher Patch-Report, Ausnahmen-Liste, Nachfass-Tasks.
6

Out-of-Band – Critical CVE mit Exploit

Wenn CISA / BACS / Hersteller einen aktiv ausgenutzten Bug meldet: Sofort-Patch oder Workaround. Pilot-Phase auf 2–4 Stunden verkürzen, danach Broad-Ring innert 24 Std.

Konkret: Out-of-Band-Protokoll, Kommunikation an Geschäftsleitung, Lessons Learned.

Typische Stolpersteine

  • Drittsoftware vergessen: Windows-Patches laufen, aber Chrome, Adobe Reader, Zoom sind Monate alt – grösste Lücke vieler KMU.
  • Keine Server-Patches: "Läuft, anfassen kostet". Folge: 4 Jahre alte Schwachstellen werden weiter aktiv ausgenutzt.
  • Ohne Pilot-Ring: Patch Tuesday gleich an alle → bei BSOD oder CrowdStrike-artigem Vorfall liegt das Unternehmen. Pflicht: Ringe.
  • Offline-Geräte: Notebooks im Urlaub, Maschinen am Standort B. Pflicht: Compliance-Report mit "Last Seen" und Nachfass nach 14 Tagen.
  • Reboot vergessen: Patches installiert, aber nicht aktiv. Pflicht: Reboot-Policy mit Deadline und User-Kommunikation.
  • IoT, Drucker, Kameras ungepatcht: 5-jährige Firmware ist Standard. Mindestens VLAN-Segmentierung als Kompensation.
  • Keine Dokumentation: Auditoren wollen Patch-Reports und Ausnahmen-Begründungen sehen. Pflicht: Monatliches Reporting archivieren.
  • Manuelles Patchen kritischer Systeme ohne Snapshot: Patch verursacht Reboot-Schleife, Wiederherstellung kostet Tage. Pflicht: Snapshot vor jedem Server-Patch.

Fazit: Patch-Management ist 2026 Pflicht – nicht Option

Wer 2026 als KMU ohne formales Patch-Management arbeitet, riskiert dreifach: Versicherungsdeckung kann im Schadensfall verweigert werden, ISO/ISG-Audits scheitern, und das eigentliche Sicherheitsrisiko ist real – über 60% der erfolgreichen Angriffe nutzen längst gepatchte Lücken. Die gute Nachricht: Mit M365-Tools (Intune + Patch My PC) oder einer modernen RMM-Plattform (NinjaOne, Action1, Atera) ist ein sauberer Patch-Prozess in einem Monat umgesetzt.

Wichtiger als die Tool-Wahl ist die Disziplin: Patches gestaffelt in Ringen verteilen, Drittsoftware nicht vergessen, monatliches Reporting, dokumentierte Ausnahmen. Das verkleinert die Angriffsfläche deutlich – und macht das Unternehmen versicherbar.

Patch-Prozess aufsetzen

Wir definieren mit Ihnen SLA, wählen das passende Tool, implementieren Ringe und Reporting und übergeben einen Prozess, der im Audit besteht.

Beratung anfragen
Gian Marco Ma – CTO & Mitgründer von GIAR Digital GmbH

Über den Autor

Gian Marco Ma

CTO & Mitgründer, GIAR Digital GmbH

Gian Marco verantwortet bei GIAR Digital die technische Umsetzung – von IT-Infrastruktur und Microsoft 365 über individuelle Softwareentwicklung bis zur KI-Automatisierung für Schweizer KMU.

Veröffentlicht am

GIAR Digital GmbH

Passende Leistung: Managed IT & Security

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – am direktesten passt dazu unsere Leistung Managed IT & Security.

Weitere Leistungen