Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Patch-Management ≠ Vulnerability Management: Was der Unterschied kostet
Wer beides verwechselt, zahlt doppelt. Warum Patch- und Vulnerability-Management zwei getrennte Disziplinen sind.
Edouard Jacques
Managing Director, Cyber Culture
„Wir patchen jeden Monat – also haben wir Vulnerability Management." Diese Aussage hören wir regelmäßig in Erstgesprächen. Sie ist gefährlich, weil sie ein Sicherheitsgefühl vermittelt, das die Realität nicht hergibt. Patch-Management und Vulnerability Management sind zwei unterschiedliche Disziplinen mit unterschiedlichen Zielen.
Patch-Management deckt nur einen Teil ab
Klassisches Patch-Management adressiert in der Regel Microsoft-Updates, manchmal noch Drittanbieter-Software wie Adobe oder Java. Es deckt typischerweise 30-50 % der tatsächlich relevanten Schwachstellen ab. Was bleibt:
- Konfigurationsschwachstellen (offene Ports, Standard-Credentials, schwache TLS-Cipher).
- Schwachstellen in Firmware (BIOS, BMC, Switch-OS).
- Schwachstellen in Container-Images und Open-Source-Bibliotheken.
- Zero-Day-Schwachstellen ohne Patch (Workaround statt Patch).
- Schwachstellen in Cloud-Konfigurationen (S3-Buckets, IAM-Policies, Network-Security-Groups).
Vulnerability Management ist der Oberbegriff
Vulnerability Management umfasst den gesamten Lifecycle: Identifikation, Bewertung, Priorisierung, Behebung (Patch oder Workaround) und Verifikation. Patch-Management ist eine von mehreren Behebungs-Optionen. In jedem ausgereiften Programm sind 20-30 % der geschlossenen Findings keine Patches, sondern Konfigurations-Härtungen, Netzwerk-Segmentierungen oder Kompensationsmaßnahmen.
Was die Verwechslung kostet
Ein Mittelständler aus dem produzierenden Gewerbe hat uns berichtet: Patch-Compliance laut WSUS bei 96 %, Vulnerability-Backlog laut Tenable bei 4.200 offenen Findings. Beide Aussagen waren korrekt. Der Patch-Bericht ging an die Geschäftsführung, der Vulnerability-Report blieb beim IT-Leiter. Beim ISO-27001-Audit wurde diese Diskrepanz zur Major Non-Conformity. Ergebnis: 4 Monate Verzögerung der Zertifizierung.
Was Sie tun können
Trennen Sie die zwei Reportings sauber: Patch-Compliance ist eine operative Kennzahl der IT, Vulnerability-Backlog ist eine Risiko-Kennzahl für die Geschäftsführung. Wir helfen Ihnen, beide Welten in einem konsistenten Operating Model zusammenzuführen – mit klaren KPIs für IT, ISB und Vorstand.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
CyberRisikoCheck für KMU
In 90 Minuten wissen Sie, welche Risiken in Ihrem Unternehmen die größten sind und was als Nächstes zählt.
Risiko-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen