Patch-Management ohne SCCM: Updates im KMU-Alltag

Ungepatchte Systeme sind das häufigste Einfallstor für Angreifer — nicht Zero-Days, sondern bekannte Lücken von vor sechs Monaten. NIS2 verlangt Patch-Management als Pflichtmassnahme. So machen wir es, ohne grosse Lizenzkosten.

Linux-VMs: unattended-upgrades

Ubuntu und Debian bringen unattended-upgrades mit. Aktiviert, zieht es Sicherheitspatches automatisch und installiert sie nachts.

apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades

Wichtig: das betrifft nur Sicherheits-Updates aus den offiziellen Repos — keine Major-Versionssprünge, keine Kernel-Panik am Produktivsystem. Die Konfiguration erlaubt präzise Steuerung, welche Paketquellen automatisch aktualisiert werden.

Proxmox-Hosts

Proxmox bringt seinen eigenen Update-Mechanismus. Ohne Subscription (für nicht-produktive Systeme) oder mit Subscription (für den ernsten Betrieb). Der ist kein Selbstläufer — wir setzen ein monatliches Wartungsfenster am ersten Sonntag, 6:00–8:00 Uhr.

apt update && apt dist-upgrade
# Prüfen, ob Reboot nötig
[ -f /var/run/reboot-required ] && reboot

Im HA-Cluster wird ein Host nach dem anderen aktualisiert. VMs wandern per Live-Migration auf die verbleibenden Knoten. Der Dienst läuft weiter, während gepatcht wird.

Docker-Container: Der unterschätzte Pflegefall

Container-Images veralten. Nicht der Code — der tut noch — aber das Basis-Image darunter sammelt CVEs. Docker-Updates ersetzen das Image komplett:

docker compose pull
docker compose up -d

Das automatisiert niemand blind. Ein Watchtower kann das, aber wir bevorzugen manuelles Triggern mit vorherigem Snapshot der VM, auf der die Container laufen.

Windows: Ja, das gibt es noch

Winline, NoSpamProxy, Translogica-Clients — sie laufen unter Windows. Patch-Management dort heisst: WSUS oder einfach monatliche Wartungsfenster, Active Hours definiert, automatische Updates aktiviert, aber verzögert um eine Woche (um Microsoft-Rückzieher abzuwarten).

NIS2: Dokumentation ist die halbe Miete

Gepatcht zu haben ist gut. Nachweisen zu können, dass und wann gepatcht wurde, ist NIS2-konform. Ein Logfile, ein Eintrag im Markdown-Log, ein Screenshot — Hauptsache, Sie können im Audit zeigen, dass Updates regelmässig eingespielt werden.

Fazit

Patch-Management braucht kein SCCM und kein Enterprise-Budget. Es braucht ein Wartungsfenster, Automatismen, wo sie sicher sind, und eine Checkliste, die jeden Monat abgehakt wird. Der grösste Feind des Patch-Managements ist nicht die Technik, sondern die Aufschieberitis.