Patch Management
Patch-Fristen
| Schweregrad | CVSS | Frist | Eskalation bei Überschreitung |
|---|---|---|---|
| Kritisch | ≥ 9.0 | 48 Stunden | Sofort an ISB + Geschäftsleitung |
| Hoch | 7.0–8.9 | 7 Tage | Nach 5 Tagen an ISB |
| Mittel | 4.0–6.9 | 30 Tage | Monatlicher Bericht |
| Niedrig | < 4.0 | Nächster Release-Zyklus | Quartalsreport |
Patch-Prozess
Standardprozess (Mittel/Niedrig)
- Schwachstelle wird durch Scanning oder CVE-Monitoring identifiziert
- Bewertung und Priorisierung
- Patch in Staging-Umgebung testen
- Deployment in Produktion innerhalb der Frist
- Verifikation: Scan bestätigt Behebung
Notfall-Prozess (Kritisch/Hoch)
- Sofortige Bewertung durch IT-Ops + ISB
- Workaround implementieren falls Patch nicht sofort verfügbar (z.B. WAF-Regel, Netzwerkisolierung)
- Patch testen (verkürzte Testphase, ggf. parallel)
- Notfall-Deployment (außerhalb regulärer Wartungsfenster erlaubt)
- Verifikation und Dokumentation
Ausnahmen
Wenn ein Patch innerhalb der Frist nicht möglich ist:
| Schritt | Beschreibung |
|---|---|
| Begründung | Dokumentierte Begründung (technische Inkompatibilität, Nicht-Verfügbarkeit) |
| Kompensierende Maßnahme | Workaround, Netzwerkisolierung, verstärktes Monitoring |
| Freigabe | ISB-Freigabe erforderlich, bei kritischen Systemen Geschäftsleitungsfreigabe |
| Befristung | Maximale Ausnahmedauer definiert, Wiedervorlage |
Patch-Tracking
| Metrik | Messung | Ziel |
|---|---|---|
| Patch-Compliance-Rate | Anteil fristgerecht gepatchter Schwachstellen | ≥ 95% |
| Mean Time to Patch (MTTP) | Durchschnittliche Zeit von CVE-Bekanntgabe bis Patch-Deployment | Kritisch: < 48h, Hoch: < 7d |
| Offene kritische Schwachstellen | Anzahl ungepatchter CVSS ≥ 9.0 Schwachstellen | 0 |
| Ausnahmen | Anzahl aktiver Patch-Ausnahmen | Minimieren |