Patch-Compliance und Reporting

Mit einem ordentlichen Patch-Management-Prozess entstehen pro Monat Tausende Datenpunkte: pro Patch pro System ein Status, pro Welle ein Zeitstempel, pro Maschine ein Compliance-Wert. Compliance-Reporting verdichtet diese Rohdaten zu wenigen Kennzahlen, die der CISO, der Vorstand und der Auditor sehen wollen: Patch-Compliance-Quote (welcher Anteil der Systeme ist aktuell?), Mean Time to Patch (wie schnell sind wir?), offene kritische CVEs (sind wir akut verwundbar?), SLA-Erfüllung (halten wir unsere eigenen Fristen?). Diese Lektion zeigt dir die wichtigsten KPIs mit ihren Formeln, ein realistisches Patch-Compliance-Dashboard, die regulatorischen Quellen (BSI, ISO 27001) und einen kleinen Live-Calculator, mit dem du KPIs aus den Roh-Zahlen berechnest.

1) Die zentrale Kennzahl: Patch-Compliance-Quote

Die Patch-Compliance-Quote ist die Single-Number-Antwort auf „wie patch-aktuell sind wir?". Formal:

Compliance = (Systeme mit allen Pflicht-Patches innerhalb SLA) / (Systeme insgesamt) × 100 %

Was sind „Pflicht-Patches"? Üblicherweise:

Alle Critical/High-Sicherheits-Patches (CVSS ≥ 7.0) innerhalb der SLA-Frist installiert
Keine offenen CVEs auf der KEV-Liste (Known Exploited Vulnerabilities von CISA)
Optional: Medium/Low je nach Policy

Branchen-typische Ziele:

Branche / Kategorie	Compliance-Ziel
Internet-exponierte Server (DMZ, Web-Frontend)	≥ 98 %
Interne kritische Server (DC, DB, ERP)	≥ 95 %
Office-PCs	≥ 90 %
Test-/Entwicklungs-Systeme	≥ 80 %
KRITIS, Banken	≥ 99 % (mit Detail-Tracking jeder Ausnahme)

2) Mock-Dashboard – wie sieht's in der Praxis aus?

Patch-Compliance-Dashboard (Beispiel CISO-Übersicht)

Gesamt-Compliance

94.2 %

485 / 515 Systeme ▲ 2.1 % MoM

Offene Critical CVEs

davon 1 auf KEV-Liste ▼ 2 vs. Vormonat

Mean Time to Patch

4.2 Tage

Critical Patches ▲ 0.8 d besser

SLA-Erfüllung

97.5 %

Patches in Frist installiert ▲ 1.2 %

Compliance pro Server-Gruppe

DMZ-Server

99.0 %

DB-Server

97.2 %

App-Server

96.1 %

Office-PCs

91.3 %

Drucker

78.0 %

Test-Server

84.5 %

Patches diesen Monat

218

davon 12 Critical, 47 High

Rollbacks

0.9 % Backout-Rate

Failed Installs

3.2 % – manuelle Klärung läuft

EOL-Systeme

2 × Windows 2012, 3 × Ubuntu 18.04

Zeitraum:

7 Tage

Aktueller Monat

Quartal

Jahr

Realistisches Dashboard mit den wichtigsten Kennzahlen oben (Big Numbers), gefolgt von Drill-Down nach Server-Gruppe. Drucker mit 78 % typisches Problem – sind oft Firmware-bedingt schwer zu patchen und werden im normalen Patch-Tool nicht erfasst.

3) KPIs im Detail

Die wichtigsten Patch-KPIs mit Formel und Interpretation:

KPI	Formel	Zielwert
Patch-Compliance-Quote	(konforme Systeme / Gesamt) × 100 %	> 95 % (kritisch), > 90 % (Standard)
Mean Time to Patch (MTTP)	Σ (Install-Zeit − Verfügbarkeits-Zeit) / Anzahl Patches	Critical < 5 Tage, High < 14 Tage
SLA-Erfüllungsquote	(Patches in Frist / Patches gesamt) × 100 %	> 95 %
Anzahl offener Critical CVEs	direkter Zähler	0 für KEV-CVEs, möglichst niedrig sonst
Patch-Erfolgsrate	(erfolgreiche / versuchte Patches) × 100 %	> 98 %
Backout-Rate	(Rollbacks / installierte Patches) × 100 %	< 2 %
EOL-Anzahl	direkter Zähler	0 produktiv (ggf. mit Mitigation)
Patches im Backlog	direkter Zähler	< 10 (kritisch)

4) KPI-Calculator – live

Spiel mit den Werten, um die Compliance-Quote zu berechnen:

Compliance-Calculator – live

Systeme insgesamt

Patches konform

Offene Critical CVEs

Berechnung

Compliance = (konforme Systeme / Gesamt) × 100 %

94.2 %

5) Reporting-Frequenz und Zielgruppen

Verschiedene Berichts-Empfänger, verschiedene Detail-Tiefen:

Zielgruppe	Frequenz	Inhalt
Operations-Team	täglich	Live-Dashboard, neue Patches, fehlgeschlagene Installs, EOL-Warnungen
Patch Manager	wöchentlich	Backlog, anstehende Wellen, KPI-Trends, Action Items
IT-Leitung	monatlich	Compliance-Quote, MTTP, Trends, Ressourcen-Bedarf
CISO / Sicherheit	monatlich + Ad-hoc	Offene Critical CVEs, KEV-Liste, Risiko-Bewertung
Geschäftsführung	quartalsweise	Top-Level-KPIs, Vergleich Branchen-Benchmark, Risiko-Index
Auditor	jährlich + Ad-hoc	Lückenlose Patch-Historie über Audit-Periode, Nachweise

6) Regulatorische Anforderungen

Mehrere Rahmenwerke definieren, was an Patch-Compliance erwartet wird:

ISO 27001 (A.12.6.1 / 8.8 ISO 27001:2022): „Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion." Implizit: nachweisbares Patch-Management mit Reporting.
BSI IT-Grundschutz (OPS.1.1.3.A6): „Es MUSS ein Patch-Management eingerichtet werden, mit dem Patches für die im Einsatz befindlichen Komponenten zeitnah eingespielt werden." Plus Monitoring der Patch-Stände.
NIS-2-Richtlinie (EU): Risiko-Management-Maßnahmen, darunter Schwachstellen-Behandlung mit zeitnaher Reaktion.
BSI KRITIS-Verordnung: Verpflichtende Behebung kritischer Schwachstellen, Nachweispflicht gegenüber BSI.
DORA (Banken): Operational Resilience, Patch-Management als Pflicht.
PCI DSS Req. 6.2: Kritische Patches innerhalb 30 Tage, weniger kritische innerhalb 90 Tage.
HIPAA (Gesundheit, US): Schwachstellen-Management mit Dokumentation.
DSGVO Art. 32: „Stand der Technik" – ungepatchte Systeme im Schadensfall fahrlässig.

7) Audit-Vorbereitung

Wenn ein externer Auditor (interne Revision, externe Wirtschaftsprüfer, BSI, KRITIS-Prüfer) kommt, will er typischerweise sehen:

Patch-Policy als Dokument: was wird gepatcht, in welcher Frist, durch wen?
Patch-Inventar: Liste aller produktiven Systeme mit aktuellem Patch-Stand
Compliance-Reports der letzten 12 Monate
Stichproben-Tickets: zufällige Auswahl von Patches, vollständige Dokumentation (Genehmigung → Test → Deploy → PIR)
Ausnahme-Liste: welche Systeme sind bewusst ungepatcht (Legacy, Compatibility), mit Mitigation-Plan und Risiko-Akzeptanz
EOL-Roadmap: was läuft auf EOL-Systemen, wann wird migriert?
Backout-Tests: wann wurde das Rollback-Verfahren zuletzt erfolgreich geübt?
CVE-Behandlung: wie reagiert das Unternehmen auf kritische CVEs (KEV-Liste)?

8) Reports praktisch erstellen

Wo kommen die Daten her?

Patch-Tools liefern Roh-Daten (WSUS, MECM, Intune, Tanium, Qualys).
Vulnerability-Scanner liefern CVE-Sichten (Nessus, Qualys VMDR, Tenable.sc).
CMDB liefert Asset-Inventar.
Ticket-System liefert Change-/Patch-Tickets mit Timestamps.
BI-/Reporting-Tool verdichtet das: PowerBI, Grafana, Splunk, ServiceNow Performance Analytics.

Eine typische Architektur: Patch-Tools + Scanner schreiben in ein Data Warehouse (z. B. Snowflake, Postgres, Elastic). BI-Tool zeigt Dashboards live. Bei sehr großen Setups oft mit eigenem Compliance-Tool (ServiceNow Vulnerability Response, Rapid7 InsightVM).

9) Antipatterns

„90 % grün ist genug." Bei 1000 Servern sind 10 % = 100 ungepatchte Systeme = potenziell 100 Einstiegspunkte. Compliance-Ziel branchen-angemessen setzen.
Reporting nur an Operations. Patch-Daten interessieren auch CISO, Geschäftsführung, externe Prüfer. Zielgruppen-spezifisch aufbereiten.
Roh-Patch-Listen statt KPIs. Excel mit 5000 Zeilen ist kein Report. Aggregation und visuelle Aufbereitung sind Pflicht.
Trends nicht zeigen. Eine Compliance-Quote von 94 % heute – Wert war 87 % vor 6 Monaten = Fortschritt. Ohne Trend wirkt 94 % zu niedrig.
Ausnahmen versteckt. „Server X wird nie gepatcht, das stört im Report" → Ausnahmen-Liste vorenthalten. Lösung: Ausnahme aktiv ausweisen, mit Risiko-Akzeptanz unterschrieben.
Manuelle Excel-Berechnungen. Compliance-Quote per Hand aus mehreren Tabellen zusammengerechnet → Fehler, alt, nicht reproduzierbar. Automatisierung Pflicht.
Reports werden generiert, niemand liest sie. Wenn niemand reagiert, ist der Report wertlos. Bei kritischen Werten Alerts erzeugen.
EOL-Systeme verschweigen. Im Report 100 % Compliance – weil EOL-Systeme „aus dem Scope" sind. Auditor findet sie trotzdem.

Zusammenfassung

Patch-Compliance-Reporting verdichtet Rohdaten zu Kennzahlen. Zentrale KPIs: Patch-Compliance-Quote (Anteil konformer Systeme, Ziel > 95 % kritisch, > 90 % Standard), Mean Time to Patch (Durchschnitt von Verfügbarkeit bis Install, Critical < 5 Tage), SLA-Erfüllungsquote (Anteil fristgerechter Patches, Ziel > 95 %), offene Critical CVEs (insbesondere KEV-Liste, Ziel 0), Patch-Erfolgsrate (> 98 %), Backout-Rate (< 2 %), EOL-Systeme (Ziel 0 produktiv). Dashboards für verschiedene Zielgruppen: Operations (täglich), CISO (monatlich), Geschäftsführung (quartalsweise), Auditor (jährlich + Ad-hoc). Regulatorische Quellen: ISO 27001 (A.12.6.1 / 8.8), BSI IT-Grundschutz (OPS.1.1.3), NIS-2, BSI KRITIS, DORA, PCI DSS, DSGVO Art. 32. Audit-Vorbereitung: Patch-Policy, Inventar, Compliance-Reports, Stichproben-Tickets, Ausnahme-Liste, EOL-Roadmap, Backout-Tests. Datenquellen: Patch-Tools, Vulnerability-Scanner, CMDB, Ticket-System – aggregiert in BI-/Reporting-Tools. Antipatterns: 90 %-Falle, fehlende Trends, versteckte Ausnahmen, manuelle Excel-Aggregation.

Verwandte Lektionen: Patch-Dokumentation · CVE/CVSS · Patch-Management-Prozess · und mehrWeitere relevante LektionenSLA Schwachstellen-Management CMDB Continual Improvement Monitoring PDCA TOMs

Patch-Compliance und Reporting

1) Die zentrale Kennzahl: Patch-Compliance-Quote

2) Mock-Dashboard – wie sieht's in der Praxis aus?

Gesamt-Compliance

Offene Critical CVEs

Mean Time to Patch

SLA-Erfüllung

Compliance pro Server-Gruppe

Patches diesen Monat

Rollbacks

Failed Installs

EOL-Systeme

3) KPIs im Detail

4) KPI-Calculator – live

Berechnung

5) Reporting-Frequenz und Zielgruppen

6) Regulatorische Anforderungen

7) Audit-Vorbereitung

8) Reports praktisch erstellen

9) Antipatterns

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title