Sachgebiete / Anweisungen › IT-Service

Richtlinie Patch- und Updatemanagement

Verfahren zur regelmäßigen Aktualisierung von Software und Systemen.

Status: Freigegeben Version: 1 Kategorie: Richtlinie Verantwortlich: IT-Service Stand: 26.08.2025

1. Ziel

Aktualisierung von Betriebssystemen, Middleware und Anwendungen, um Sicherheitslücken zu schließen und Stabilität zu wahren.

2. Patchzyklen

Workstations: monatlich (Patch Tuesday + 7 Tage Test)
Server unkritisch: monatlich
Server kritisch: nach Release Notes und Risikoabwägung
Sicherheitskritische Patches: 72 Stunden

3. Test- und Freigabeprozess

Patches durchlaufen Test- und Stage-Umgebungen. Erst nach Tests werden sie produktiv ausgerollt. Bei kritischen Sicherheitslücken kann ein verkürzter Prozess angewendet werden.

4. Reporting

Patch-Compliance wird wöchentlich an IT-Leitung und ISB berichtet. Soll-Wert: 95% innerhalb 30 Tagen.

5. Ausnahmen

Nicht patchbare Systeme erhalten kompensierende Maßnahmen (Netzwerksegmentierung, Monitoring). Risikoakzeptanz durch ISB.

Merkur Privatbank · Organisationshandbuch