{"id":4367,"date":"2026-07-06T07:00:00","date_gmt":"2026-07-06T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=4367"},"modified":"2026-07-03T10:14:58","modified_gmt":"2026-07-03T08:14:58","slug":"schwachstellen-und-patchmanagement-im-jahre-2026","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/schwachstellen-und-patchmanagement-im-jahre-2026\/","title":{"rendered":"Schwachstellen- und Patchmanagement im Jahre 2026"},"content":{"rendered":"\n<p>In diesem Artikel thematisiere ich, wie sich die Anzahl der entdeckten Schwachstellen in den letzten Jahren entwickelt hat und ob wir noch von <a href=\"https:\/\/de.wikipedia.org\/wiki\/Exploit#Zero-Day-Exploit\">Zero-Day<\/a> sprechen, oder eher von Zero-Hour oder Zero-Minute.<\/p>\n\n\n\n<p>Ich werde darstellen, warum es in meinen Augen bis auf wenige Ausnahmen nicht mehr angemessen ist, nur noch einmal im Jahr oder quartalsweise zu patchen und unter Schmerzen einge\u00fcbte Prozesse heute nicht mehr zeitgem\u00e4\u00df erscheinen.<\/p>\n\n\n\n<p>Anschlie\u00dfend werde ich euch bitten, eure Erfahrungen anonym mit mir zu teilen. Ich erhoffe mir, so einen besseren \u00dcberblick \u00fcber die Situation da drau\u00dfen in den Rechenzentren, Serverr\u00e4umen und IT-Betriebseinheiten zu gewinnen. Mehr dazu unten im Text.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Entwicklung der Bedrohungslage<\/h2>\n\n\n\n<p>Die Anzahl der pro Jahr gemeldeten Schwachstellen (<a href=\"https:\/\/de.wikipedia.org\/wiki\/Common_Vulnerabilities_and_Exposures\">CVE<\/a>) steigt rasant, wie folgendes Diagramm in Abbildung 1 verdeutlicht.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"450\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-800x450.png\" alt=\"Diagramm welches die Entwicklung der Schwachstellenanzahl pro Jahr f\u00fcr die Jahre 2003 bis 2025 darstellt. Erl\u00e4uterungen dazu finden sich im Flie\u00dftext.\" class=\"wp-image-4369\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-800x450.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-300x169.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-768x432.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-1536x864.png 1536w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54-624x351.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/Screenshot-From-2026-06-28-00-05-54.png 1920w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><figcaption class=\"wp-element-caption\">Abbildung 1: Grafische Darstellung der CVE-Metriken f\u00fcr die Jahre 2003 bis 2025 von: <a href=\"https:\/\/www.cve.org\/About\/Metrics\">https:\/\/www.cve.org\/About\/Metrics<\/a><\/figcaption><\/figure>\n<\/div>\n\n\n<p>W\u00e4hrend sich die Anzahl der CVE pro Jahr erstmalig im Zeitraum von 2016 bis 2017 von ca. 6.500 auf ca. 14.500 mehr als verdoppelt hat, kam es zuletzt in den Jahren 2021 bis 2024 zu einer Verdopplung. Diesmal hat sich die Anzahl jedoch von ca. 20.000 auf knapp \u00fcber 40.000 gesteigert. Und diese Zahl steigt weiter. So wurden f\u00fcr das erste Quartal 2026 bereits 15.176 CVE gez\u00e4hlt.<\/p>\n\n\n\n<p>Wenn sich dieser Trend fortsetzt, werden wir das Jahr 2026 mit deutlich mehr als 60.000 registrierten CVE abschlie\u00dfen. Das w\u00e4ren 5.000 CVE\/Monat oder 164 CVE\/Tag.<\/p>\n\n\n\n<p>Gleichzeitig sinkt die mittlere Zeit von der Ver\u00f6ffentlichung eines CVE bis zu einem <a href=\"https:\/\/de.wikipedia.org\/wiki\/Exploit\">Exploit<\/a>, wie Abbildung 2 zeigt.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"552\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2-800x552.png\" alt=\"\" class=\"wp-image-4371\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2-800x552.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2-300x207.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2-768x530.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2-624x430.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-2.png 896w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><figcaption class=\"wp-element-caption\">Abbildung 2: Die mittlere Zeit zwischen der Ver\u00f6ffentlichung einer Schwachstelle und des Exploits sinkt stetig (schwarze Linie). Quelle: <a href=\"https:\/\/zerodayclock.com\/\">https:\/\/zerodayclock.com\/<\/a> (letzter Abruf: 2026-06-28)<\/figcaption><\/figure>\n<\/div>\n\n\n<p>Lag die mittlere Zeit zwischen der Ver\u00f6ffentlichung eines CVE und des Exploits 2023 noch bei \u00fcber 4 Monaten, ist diese auf 21,5 Tage im Jahr 2025 gesunken. F\u00fcr 2026 wird diese sogar mit nur noch 3 Stunden angegeben.<\/p>\n\n\n\n<p>Noch bedrohlicher wirkt die Lage, wenn man sich ansieht, f\u00fcr wie viele CVE noch am gleichen Tag oder sogar vor deren Ver\u00f6ffentlichung ein Exploit bekannt wird (siehe Abbildung 3). Man spricht hier auch von Zero-Day-Exploits.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"460\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3-800x460.png\" alt=\"\" class=\"wp-image-4372\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3-800x460.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3-300x172.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3-768x441.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3-624x359.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2026\/06\/image-3.png 945w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><figcaption class=\"wp-element-caption\">Abbildung 3: Rate der Zero-Day-Exploits, gemessen in Prozent an der Anzahl CVE pro Jahr (rote Linie). Quelle: <a href=\"https:\/\/zerodayclock.com\/\">https:\/\/zerodayclock.com\/<\/a> (letzter Abruf: 2026-06-28)<\/figcaption><\/figure>\n<\/div>\n\n\n<p>Im Jahr 2024 gab es f\u00fcr 47,9% der CVE einen Zero-Day-Exploit. Im Jahr 2025 war das bereits f\u00fcr mehr als die H\u00e4lfte der Fall, n\u00e4mlich 53,6 %. Das Jahr 2026 ist noch in vollem Gange. Die Rate der Zero-Day-Exploits liegt mit bisher 76,9% nochmals deutlich h\u00f6her.<\/p>\n\n\n\n<p>Es wird f\u00fcr die Paketbetreuenden, Upstream-Entwickelnden und Software-Herstellenden Menschen immer herausfordernder, einen Patch bereitzustellen, bevor ein Exploit existiert und aktiv gegen verwundbare Systeme eingesetzt wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Klassische Ans\u00e4tze funktionieren nicht mehr<\/h2>\n\n\n\n<p>Aus meiner beruflichen T\u00e4tigkeit als <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/was-tut-ein-technical-account-manager-tam-bei-red-hat\/\" data-type=\"post\" data-id=\"3723\">Red Hat TAM<\/a> und als Sysadministator bei verschiedenen Unternehmen ist mir bekannt, dass unterschiedliche Unternehmen und Organisationen sehr verschieden mit Schwachstellen und deren Behandlung umgehen.<\/p>\n\n\n\n<p>Allen ist gemein, dass sie f\u00fcr ihre Anwendungen Wartungsfenster vereinbaren, in denen z.B. Sicherheitsaktualisierungen installiert werden, um vorhandene Schwachstellen zu schlie\u00dfen. Einige haben einen Patchday pro Jahr, manche patchen einmal im Quartal und wieder andere monatlich. Einzelne Unternehmen k\u00f6nnen dies sogar noch schneller.<\/p>\n\n\n\n<p>Die einen haben regelm\u00e4\u00dfig wiederkehrende Wartungsfenster, die anderen m\u00fcssen diese bei Bedarf anmelden. Einige haben schlanke Prozesse, einige nutzen <a href=\"https:\/\/de.wikipedia.org\/wiki\/Change_Management_(ITIL)\">Change-Management nach ITIL<\/a>.<\/p>\n\n\n\n<p>Um die Integrit\u00e4t, Verf\u00fcgbarkeit und Vertraulichkeit der eigenen Informationssysteme und deren umgebener Infrastruktur zu sch\u00fctzen, sind zwei Grunds\u00e4tze seit vielen Jahren allgemein bekannt:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Installiere verf\u00fcgbare Sicherheitsaktualisierungen so schnell wie m\u00f6glich.<\/li>\n\n\n\n<li>Nutze und implementiere <a href=\"https:\/\/de.wikipedia.org\/wiki\/IEC_62443#Defense_in_Depth\">Verteidigung in der Tiefe<\/a>.<\/li>\n<\/ol>\n\n\n\n<p>Die beiden Grunds\u00e4tze stehen nicht in einer Entweder-Oder-Beziehung. Sie sollten beide ber\u00fccksichtigt werden.<\/p>\n\n\n\n<p>In meinen Augen ist es l\u00e4ngst nicht mehr zeitgem\u00e4\u00df, Sicherheitsaktualisierungen j\u00e4hrlich oder quartalsweise zu installieren. Eine kleine Ausnahme m\u00f6gen hier Systeme bilden, deren Nutzerkreis stark eingeschr\u00e4nkt ist und auf die ausschlie\u00dflich \u00fcber wenige sehr gut gesicherte Kan\u00e4le zugegriffen werden kann.<\/p>\n\n\n\n<p>Um es deutlich zu sagen: \u201eF\u00fcr wochen- oder tagelange Change-Management-Prozesse bleibt keine Zeit. Wer weiterhin so arbeitet, riskiert die Informationssicherheit seiner Umgebung.\u201c<\/p>\n\n\n\n<p>Wer alle seine Systeme einmal im Monat wartet und neustartet, bewegt sich in meiner Wahrnehmung aktuell im Mittelfeld dessen, was man im Feld findet. Doch auch hierauf darf sich niemand ausruhen. Existiert zu einem CVE ein Exploit und ein Patch, erscheint es fahrl\u00e4ssig, bis zu einem Monat mit dessen Installation zu warten.<\/p>\n\n\n\n<p>Leider fehlt etlichen Unternehmen bzw. Organisationen noch immer die F\u00e4higkeit schnell festzustellen, ob ihre IT-Dienste korrekt ausgef\u00fchrt werden. Patch-Management-Zyklen sehen hier meist vor, dass zuerst einige Systeme aktualisiert werden, dann wartet man 1-2 Wochen, ob jemand meckert und dann aktualisiert man die restlichen Systeme. Das ist nicht mehr zeitgem\u00e4\u00df.<\/p>\n\n\n\n<p>Aus der eingangs beschriebenen Bedrohungslage folgend muss das neue Ziel lauten, jedes individuelle System an jedem Tag aktualisieren und neustarten zu k\u00f6nnen. Die Funktion von IT-Diensten ist durch automatisierte Mechanismen wie z.B. Monitoring oder automatisierte Tests zu verifizieren, um schnell mit der n\u00e4chsten Stage fortfahren zu k\u00f6nnen. Wer dieses Ziel noch nicht erreicht hat, sollte sich schnellstens auf den Weg machen. Selbst wenn die 100% unerreichbar scheinen, ist jedes System, das man schnell absichern kann, ein deutlich geringeres Risiko f\u00fcr die eigene Informationssicherheit.<\/p>\n\n\n\n<p>Wo Sicherheitsaktualisierungen nicht zeitnah eingespielt werden k\u00f6nnen, l\u00e4sst sich das Risiko durch Verteidigung in der Tiefe minimieren. Kommunikationsverbindungen von und zu betrachteten Systemen sind zu \u00fcberwachen und ggf. zu limitieren. Doch auch diese Ma\u00dfnahmen m\u00fcssen schnell verf\u00fcgbar und umsetzbar sein. Wer erst zwei Wochen diskutieren muss, ob man den Zugriff auf einen Dienst einschr\u00e4nken k\u00f6nne, m\u00fcsse, sollte, handelt nicht angemessen.<\/p>\n\n\n\n<p>Zusammenfassend sehe ich unklare Verantwortlichkeiten, langwierige Abstimmungsprozesse und manuelle T\u00e4tigkeiten als Gift und Risiko f\u00fcr die Informationssicherheit. Klare Strukturen, gekl\u00e4rte Verantwortlichkeiten und Automation sind kein <em>nice-to-have<\/em>, sondern ein MUSS.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wie geht ihr damit um?<\/h2>\n\n\n\n<p>Nun m\u00f6chte ich von euch wissen: \u201ePatcht ihr schon oder prozessiert ihr noch?\u201c<\/p>\n\n\n\n<p>Ich bin sehr daran interessiert zu erfahren, wie es in den Umgebungen meiner Lesenden und derer Bekannten zugeht. Daher freue ich mich sehr, wenn ihr (gern anonym) euer Patch-Management-Konzept, die Branche eures Unternehmens und die ungef\u00e4hre Gr\u00f6\u00dfe eurer Umgebung mit der Gemeinschaft bzw. mir teilt.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ihr habt euer Patch-Management im eigenen (Firmen-)Blog beschrieben? Teilt bitte den Link in den Kommentaren.<\/li>\n\n\n\n<li>Sendet mir gerne eine E-Mail an patchmanagement@my-it-brain.de.<\/li>\n\n\n\n<li>Beschreibt euer Patch-Management in den Kommentaren unter diesem Beitrag.<\/li>\n<\/ul>\n\n\n\n<p>Evtl. werde ich eure Beispiele anonymisiert unter ausschlie\u00dflicher Nennung der Branche (falls bekannt) in Vortr\u00e4gen, Diskussion und weiteren Arbeiten zu diesem Thema verwenden. Bitte schreibt ausdr\u00fccklich dazu, wenn ihr dies nicht w\u00fcnscht.<\/p>\n\n\n\n<p>Ich freue mich auf eure Beitr\u00e4ge, Zusendungen und wenn ihr diesen Artikel in euren Netzwerken teilt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Artikel thematisiere ich, wie sich die Anzahl der entdeckten Schwachstellen in den letzten Jahren entwickelt hat und ob wir noch von Zero-Day sprechen, oder eher von Zero-Hour oder Zero-Minute. Ich werde darstellen, warum es in meinen Augen bis auf wenige Ausnahmen nicht mehr angemessen ist, nur noch einmal im Jahr oder quartalsweise zu<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/schwachstellen-und-patchmanagement-im-jahre-2026\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"standard","_metis_text_length":7611,"_post_count":0,"footnotes":""},"categories":[95],"tags":[430,428,305,584],"class_list":["post-4367","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-osbn","tag-patch-management","tag-planet","tag-schwachstellen-management"],"public_identification_id":"32d2ce7176d248e8a877cba474ec352e","private_identification_id":"c0865fefbb244663aabeb22701fa24b3","_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=4367"}],"version-history":[{"count":4,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4367\/revisions"}],"predecessor-version":[{"id":4378,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/4367\/revisions\/4378"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=4367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=4367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=4367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}