Patchmanagement (Patch Management / Vulnerability Remediation)

Patchmanagement ist der systematische Prozess zur Identifikation, Beschaffung, Prüfung, Genehmigung und Einspielung von Software-Updates und Sicherheits-Patches, um bekannte Schwachstellen in IT-Systemen zeitgerecht zu schließen. Das BSI IT-Grundschutz-Kompendium (OPS.1.1.3) definiert Patchmanagement als Kernprozess des IT-Betriebs; nach NIS2 sind Betreiber wesentlicher Dienste verpflichtet, ein dokumentiertes Patchmanagement-Verfahren vorzuhalten. In IT-Vergaben für Managed Services oder Software-Pflege sollten Auftraggeber Patch-SLAs (z.B. kritische Patches innerhalb 72 Stunden, High innerhalb 7 Tagen), Test- und Rollback-Verfahren sowie Reporting-Pflichten vertraglich verankern.