Windows Update reicht für KMUs nicht aus – WSUS ist zu komplex. Es gibt einen dritten Weg: ein nativer Windows-Dienst, der vollautomatisch läuft und keine Domänen-Infrastruktur braucht. Gerade für österreichische KMUs, die sich auf das NISG 2026 vorbereiten, ist das relevant.
In kleinen und mittleren Unternehmen läuft Windows-Patch-Management oft nach einem von zwei Mustern ab: Entweder verlässt man sich auf den eingebauten Windows Update-Mechanismus – oder man kämpft sich durch WSUS-Installationen, die für die Größe des Unternehmens schlicht überdimensioniert sind.
Windows Update hat einen entscheidenden Nachteil: Es aktualisiert nur das Betriebssystem selbst und Microsoft-Produkte. Drittanbieter-Software – Chrome, Firefox, 7-Zip, Adobe Reader und viele weitere Alltagstools – bleibt außen vor. Genau diese Software ist ein bevorzugtes Angriffsziel, weil Patches oft langsam eingespielt werden und bekannte Schwachstellen monatelang offen bleiben.
WSUS (Windows Server Update Services) löst das Kernproblem teilweise, schafft aber neue: dedizierter Server, laufende Wartung, Gruppenrichtlinien-Infrastruktur, Active Directory. Für ein österreichisches KMU mit 10–30 Workstations – und ohne eigene IT-Abteilung – ist das schlicht keine Option.
Hinzu kommt: Microsoft hat WSUS im September 2024 offiziell als deprecated eingestuft. Als Nachfolger empfiehlt Microsoft Windows Autopatch oder Microsoft Intune – beide erfordern für KMU typischerweise mindestens Microsoft 365 Business Premium (ab ca. €17/Nutzer/Monat, Stand 2026, je nach Lizenzpartner) inklusive Entra ID und MDM-Einrichtung. Für KMUs, die nur ihre Windows-Geräte patchen wollen, ist das eine aufwändige und kostenintensive Infrastruktur.
Mit dem NISG 2026 (BGBl. I Nr. 94/2025, tritt Oktober 2026 in Kraft) gilt für viele österreichische KMUs: technische und organisatorische Maßnahmen zur Cybersicherheit sind keine Kür, sondern Pflicht. Ein dokumentiertes, automatisiertes Patch Management ist dabei eine der grundlegendsten Anforderungen – und es lohnt sich, jetzt damit anzufangen.
Patch Management ohne Domänen-Controller braucht einen Ansatz, der komplett ohne angemeldeten Benutzer funktioniert – und trotzdem die nötigen Rechte hat, Software zu installieren und das System neu zu starten.
Genau dafür ist der SYSTEM-Kontext unter Windows gemacht. Ein Dienst, der mit maximalen lokalen Systemberechtigungen läuft, hat vollständige administrative Rechte auf dem lokalen Rechner – ohne angemeldeten Benutzer, ohne Domänen-Admin, ohne gespeicherte Credentials.
Das bringt in der Praxis mehrere Vorteile:
Ein gut implementierter Patch-Agent ist ein nativer Windows-Dienst – in einer systemnahen Sprache wie C++ geschrieben und direkt im Windows-Diensteverwaltungssystem registriert. Er startet automatisch beim Systemstart, läuft dauerhaft im Hintergrund und kommuniziert über HTTPS mit einem zentralen Management-Backend.
Sicherheitstechnisch sind zwei Aspekte entscheidend:
Verschlüsselte Kommunikation mit Authentifizierung: Der Agent kommuniziert ausschließlich über TLS mit dem Backend. API-Schlüssel stellen sicher, dass nur autorisierte Server Befehle senden dürfen – ein kompromittierter Rechner kann sich nicht selbst als Management-Server ausgeben.
Kryptografische Verifikation von Patches: Bevor ein Installer ausgeführt wird, prüft der Dienst einen Hashwert. Das verhindert, dass ein manipuliertes Paket – etwa durch einen Man-in-the-Middle-Angriff – zur ungewollten Code-Ausführung führt.
Dieses Prinzip – lokal laufender Systemdienst, zentrale Steuerung über gesichertes HTTPS – ist deutlich robuster als Ansätze, die auf PowerShell-Remoting, WMI oder gespeicherte Administratoren-Zugangsdaten angewiesen sind.
Windows Update kennt keine Chrome-Updates. WSUS kennt keine Firefox-Updates. Und manuelle Prozesse – „einmal im Monat schaut jemand drauf“ – sind weder skalierbar noch für eine nachvollziehbare Dokumentation geeignet.
Ein professioneller Patch-Agent braucht deshalb eine eigene Softwarebibliothek: eine Datenbank bekannter Anwendungen mit aktuellen Versionen, Download-Quellen und Prüfsummen. Der Dienst inventarisiert installierte Software, vergleicht mit der Bibliothek und lädt Patches bei Bedarf herunter – immer direkt von der offiziellen Quelle des Herstellers, nie von Dritten. Einen Überblick, was professionelles Patch Management für KMUs leisten sollte, gibt es auf der Leistungsseite.
Das schließt eine Lücke, die in vielen österreichischen KMUs seit Jahren offen ist: veraltete Browser, PDF-Reader oder Archivierungs-Tools, die als Einfallstor für Malware dienen und bei einer Überprüfung nach NISG 2026 sofort auffallen würden.
Ein Systemdienst kann unabhängig von Benutzersitzungen schreiben – in lokale Logdateien, in das Windows-Ereignisprotokoll oder direkt in ein zentrales Backend. Ein vollständiger Audit-Trail enthält mindestens:
Diese Daten sind für die Nachweispflicht nach NISG 2026 relevant – und helfen gleichzeitig bei der Fehleranalyse, wenn ein Update unerwartet Probleme verursacht. Für einen IT-Dienstleister, der mehrere KMU-Kunden betreut, ist ein zentrales Dashboard mit diesem Audit-Trail schlicht unverzichtbar.
WUPD (Windows Update Dashboard) von StyrIT folgt genau diesem Architekturprinzip. Der Agent ist ein nativer Windows-Dienst in C++, der mit maximalen lokalen Systemberechtigungen läuft – kein PowerShell-Skript, kein geplanter Task, der auf einen angemeldeten Benutzer angewiesen ist.
Die Kommunikation läuft ausschließlich über HTTPS zu einem Backend auf Hetzner-Infrastruktur in Deutschland – DSGVO-konform, kein US-Cloud-Anbieter. Jeder Installer wird vor der Ausführung kryptografisch verifiziert. Das Dashboard zeigt den Patch-Status aller verwalteten Geräte in Echtzeit, inklusive vollständigem Audit-Log pro Gerät.
Drittanbieter-Software wird über eine laufend gepflegte Bibliothek verwaltet. Der Agent erkennt installierte Software automatisch und meldet Abweichungen vom aktuellen Stand.
Das Ergebnis: dokumentiertes, automatisiertes Patch Management – egal ob mit oder ohne Domäne, ohne WSUS, ohne separaten Server.
Ja. Ein Windows-Systemdienst mit lokalen Administratorrechten kann Software installieren und aktualisieren, ohne dass Active Directory oder ein Domänen-Controller vorhanden ist. Die Steuerung erfolgt über ein zentrales HTTPS-Backend – das ist die Architektur, die WUPD verwendet.
Windows Update aktualisiert nur Microsoft-Produkte. Ein Patch-Management-Tool überwacht zusätzlich Drittanbieter-Software (Browser, PDF-Reader, Archivierungs-Tools usw.), dokumentiert alle Vorgänge in einem Audit-Trail und ermöglicht zentrale Steuerung über mehrere Geräte hinweg.
Das NISG 2026 (BGBl. I Nr. 94/2025) tritt am 1. Oktober 2026 in Kraft und setzt die EU-NIS2-Richtlinie in österreichisches Recht um. Es schreibt technische und organisatorische Maßnahmen zur Cybersicherheit vor, zu denen ein nachweisbares Update-Management gehört. Welche Unternehmen konkret betroffen sind, hängt von Branche und Größe ab – der Vorbereitungszeitraum läuft jetzt.
Die Sicherheit hängt von der Implementierung ab. Entscheidend sind: verschlüsselte Kommunikation zum Backend (TLS), Authentifizierung des Servers, kryptografische Verifikation jedes Installers vor der Ausführung, und das Prinzip, Installer nur von offiziellen Herstellerquellen zu beziehen. Fehlt einer dieser Punkte, wird der Systemdienst selbst zur Schwachstelle.
WUPD ist speziell für österreichische KMUs entwickelt – für Unternehmen, die professionelles Patch Management brauchen, aber keinen eigenen Server, keine Domäne und keine IT-Abteilung haben.
Alle Details, Preise und technische Spezifikationen auf styrit.at/wupd – oder direkt Kontakt aufnehmen für eine kurze Demo.