Patch-Management für KMU ohne MDM-Muskeln

Updates müssen drauf. Aber wie setzt man das durch, wenn man kein Intune oder Jamf hat? Hier das pragmatische Mindest-Setup.

Ungepatchte Systeme sind der größte Nährboden für Angriffe. In großen Unternehmen übernimmt das ein MDM. Ohne MDM muss man sich stärker auf Richtlinien und Monitoring stützen.

Die drei Ebenen

1. OS-Updates: Windows Update, macOS Software Update. Automatisch aktivieren, Verzögerung maximal 2 Wochen. Bei Enterprise-Editionen: über Windows Update for Business.
2. Browser: Chrome, Edge, Firefox aktualisieren sich selbst. Bei Bedarf per Chrome Enterprise Policy durchsetzen.
3. Anwendungen: Office, Acrobat, Teams über native Updater. VPN-Clients. Passwort-Manager. Genau hier hinken viele KMU hinterher.

Monitoring ohne MDM

• Quartals-Umfrage: „Screenshot von Info → Version" für jede kritische App einschicken lassen.
• Bei Entra ID angemeldete Geräte: Prüfung über Security → Devices Compliance Report.
• Chrome Enterprise Policy meldet Versionen zentral zurück (kostenlos mit Google Workspace).

Die Pflicht kommunizieren

Einmal pro Quartal ein „Patch-Tag" — alle spielen Updates ein. Die Führungskraft sieht den Abschluss. Nicht als persönliche Aufgabe, sondern als Team-Moment.

Auf dem Weg zu Intune?

Business Premium inklusive Intune kostet €19/Nutzer/Monat und automatisiert diesen Prozess weitgehend. Ab > 20 Mitarbeitenden rechnet sich das schnell. Siehe Intune-Grundlagen.

Siehe auch: Security-Grundpfeiler.