Patch-Management als Führungsfrage

Eine veröffentlichte Schwachstelle war früher ein Startsignal für die IT: prüfen, Betroffenheit klären, Wartungsfenster planen, patchen.

Heute ist sie gleichzeitig ein Startsignal für Angreifer. Der Unterschied: Die haben kein Change-Board. Keine Freigabeschleife. Keinen Systemverantwortlichen, der gerade auf Urlaub ist. Sie haben Automatisierung — und zunehmend auch KI.

Die Zeit zwischen CVE-Veröffentlichung und erstem Exploit-Versuch ist in vielen Fällen auf Stunden geschrumpft. „Wir patchen das demnächst” ist unter diesen Bedingungen keine Priorisierung mehr. Es ist eine Risikoentscheidung, die stillschweigend getroffen wird.

Der typische Patch-Prozess und warum er nicht mehr trägt

Der Ablauf ist bekannt. Patch kommt rein. Das Sicherheitsteam prüft die Betroffenheit. Der Systemverantwortliche wird identifiziert. Business Impact wird abgefragt. Ein Wartungsfenster wird eingeplant. Irgendwann passiert etwas.

Das war schon früher mühsam. Jetzt ist es gefährlich langsam.

Der Prozess selbst ist nicht falsch — er ist für eine andere Bedrohungsrealität gebaut. Als Exploits Wochen brauchten, um sich in der Breite zu verbreiten, gab es Zeit für Abstimmungsrunden. Diese Zeit gibt es nicht mehr, nicht bei kritischen Systemen und nicht bei Schwachstellen mit hohem CVSS-Score. Wer das ignoriert, akzeptiert ein bekanntes Risiko mit Ablaufdatum.

Was Angreifer anders machen

Angreifer optimieren für Geschwindigkeit, nicht für Vollständigkeit. Sie interessieren sich nicht für interne Zuständigkeitsgrenzen. Sie suchen, was ausnutzbar ist — und automatisieren den Rest.

Der Einsatz von KI in offensiven Werkzeugen verstärkt diesen Effekt: Schwachstellen werden schneller analysiert, Angriffsmuster schneller angepasst, Targets schneller qualifiziert. Unternehmen, die ihre Reaktionsfähigkeit auf demselben Stand wie vor fünf Jahren betreiben, verlieren den Anschluss — nicht weil sie zu wenig Ressourcen haben, sondern weil ihre Prozesse für eine andere Bedrohungsgeschwindigkeit gebaut wurden.

Das ist kein IT-Problem. Es ist ein strukturelles Problem — und damit eine Führungsfrage.

Sechs Fragen, die Führung beantworten können muss

Geschäftsführerinnen und Geschäftsführer müssen nicht wissen, wie ein Exploit technisch funktioniert. Aber sie müssen sechs Fragen beantworten können:

Welche Systeme sind wirklich kritisch — und wer hat diese Liste aktuell? Welche Schwachstellen betreffen uns konkret? Wer entscheidet über Notfall-Patches, und hat diese Person die nötige Handlungsvollmacht, ohne zuerst drei Ebenen zu durchlaufen? Welche Risiken akzeptieren wir bewusst, und für wie lange? Welche internen Abhängigkeiten bremsen uns regelmäßig aus? Und welche Lieferanten verlängern unser Risiko, weil sie selbst langsam patchen?

Wenn eine dieser Fragen keine klare Antwort hat, ist das kein IT-Problem. Es ist ein Governance-Problem — und es wartet nicht auf das nächste Jahresgespräch.

Ein Cyber Reality Check schafft hier in ein bis zwei Tagen Klarheit: strukturiertes Lagebild, konkrete Handlungsempfehlungen, klare Priorisierung nach tatsächlichem Risiko.

Geschwindigkeit ist selbst zum Sicherheitsfaktor geworden

Das ist der eigentliche Paradigmenwechsel: Sicherheit war lange eine Frage der richtigen Maßnahmen. Heute ist sie auch eine Frage der Reaktionsgeschwindigkeit.

Angreifer industrialisieren ihre Geschwindigkeit. Viele Unternehmen verwalten noch ihre Langsamkeit. Das passt nicht mehr zusammen.

KI wird dieses Ungleichgewicht nicht auflösen — sie wird sichtbarer machen, wie weit Organisationen hinterherhinken, die ihre Prozesse nicht angepasst haben.

Fazit

Patch-Management ist keine neue Disziplin. Was sich geändert hat, ist die Geschwindigkeit der Gegenseite. Wer Prozesse nicht anpasst, akzeptiert stillschweigend ein wachsendes Restrisiko. Das ist eine unternehmerische Entscheidung — und sie gehört auf die Agenda der Führung, nicht nur der IT-Abteilung.