Do we really have to react to every CVE?

No. You have to assess every CVE — and within a defined timeframe. A vulnerability in a component you don't use isn't your problem; one in a component without public exposure is a different problem from an internet-facing one. Without an SBOM and without automated monitoring, this assessment isn't systematically possible — then every CVE becomes a hero action. With the right tools, the assessment is done in minutes.

How fast is 'fast enough' for a patch pipeline?

It depends on severity and exposure. Rule of thumb for internet-facing critical vulnerabilities: maximum seven days from CVE publication to delivered patch. For actively exploited vulnerabilities: significantly less, ideally 24–48 hours. If your pipeline doesn't deliver these speeds today, the patch wave is the worst time to find that out.

What if our software suppliers are slower than us?

That's the more uncomfortable question. You can trim your own pipeline for speed, but if a critical supplier (CMS, ERP, payment provider, analytics) only patches after weeks, you're exposed via the supply chain. Measures: documented SLAs for security patches in supplier contracts, alternative providers identified per critical component, documented mitigation options (WAF rules, feature flags) for worst-case scenarios.

Is auto-update enough for our compliance obligations?

Auto-update is a tool, not a compliance proof. You need verifiable control: which versions ran when, which patches were applied when, who verified that. In principle this is feasible with any decent asset management tool — but auto-update alone without logging and without reporting isn't sufficient for CRA, NIS2 and ISO 27001.

When does external help pay off?

When you find while reading this that your pipeline doesn't carry several of the three measures above — and your team has no bandwidth alongside to work through the CRA detail requirements. A three-week audit (see CI/CD Security Audit) brings an honest diagnostic with a concrete action catalogue. After that, you decide whether to implement yourself or be accompanied.

Patch Wave: Was die NCSC-Warnung für den deutschen Mittelstand bedeutet

Die UK-Cyber-Behörde NCSC warnt vor einem Schwall sicherheitskritischer Patches. Was heißt das für Mittelstand-IT-Teams — und für die kommende Compliance-Pflicht des EU Cyber Resilience Act?

1. Mai 2026

Zusammenfassung in 90 Sekunden

Die UK-Cyber-Behörde NCSC warnt vor einer „Patch Wave“ — einem Schwall sicherheitskritischer Software-Updates, die in den nächsten Monaten ausgerollt werden müssen. Drei konkrete Maßnahmen: Attack-Surface jetzt minimieren, Patch-Pipeline auf Tempo trimmen (Critical-Patches in 7 Tagen, aktiv ausgenutzte in 24–48 Stunden), Automation einschalten wo möglich. Für deutsche Mittelständler kommt eine zweite Schicht hinzu: ab dem 11. September 2026 macht der EU Cyber Resilience Act das Patch-Tempo zur Compliance-Pflicht. Wer heute nicht testet, ob seine Pipeline das schafft, hat in viereinhalb Monaten zwei Probleme statt einem.

Was die Warnung praktisch bedeutet — und was wir daraus machen

Gefächerter Stapel cremefarbener Karteikarten auf dunklem Eichen-Schreibtisch, daneben ein geschlossener Laptop und eine Kaffeetasse, durchs Fenster rechts subtil das weich gezeichnete Moseltal — Metapher für eine Warteschlange ankommender Patches, die methodisch abgearbeitet werden.

Was die NCSC-Warnung sagt

Das National Cyber Security Centre des Vereinigten Königreichs hat einen Blog-Beitrag veröffentlicht, der ungewöhnlich direkt formuliert ist. Sinngemäß: Eine „Patch Wave“ steht bevor — eine Häufung von sicherheitskritischen Software-Updates, die Organisationen in den nächsten Monaten ausliefern und ausrollen müssen. Die NCSC nennt drei konkrete Vorbereitungs-Maßnahmen, die unabhängig von der Größe einer Organisation gelten:

Attack-Surface-Management. Internet-facing und andere extern exponierte Systeme jetzt identifizieren und reduzieren — beginnend an der Peripherie, dann nach innen arbeitend, Cloud-Instanzen und On-Premises-Umgebungen einbeziehen.
Patching-Strategie aufrüsten. Schnell, häufig und im großen Maßstab patchen — auch über die Supply Chain hinweg. Die NCSC erwartet einen Zustrom an Updates über alle Schweregrade hinweg, mit einem signifikanten Anteil kritischer Lücken.
Automation, wo möglich. „Hot patching“ ohne Service-Unterbrechung priorisieren. Automatische Updates für Embedded Devices aktivieren, um Support-Teams zu entlasten.

Was die NCSC nicht ausspricht: Wer diese drei Punkte heute nicht beherrscht, läuft in einen sehr unangenehmen Sommer.

Warum das den deutschen Mittelstand betrifft

Eine UK-Behörde adressiert primär britische Organisationen. Aber die zugrunde liegenden technischen Realitäten sind grenzüberschreitend. Linux-Kernel-Schwachstellen, OpenSSL-Patches, Container-Base-Image-Updates, Browser-Vulnerabilities — sie betreffen Stacks unabhängig von der nationalen Behörden-Struktur.

Für deutsche Mittelständler kommt eine zweite Schicht hinzu. Mit dem Cyber Resilience Act (Verordnung 2024/2847) greift ab dem 11. September 2026 die EU-weite Pflicht, aktiv ausgenutzte Schwachstellen binnen 24 Stunden an die Single Reporting Platform der EU zu melden. Wer also heute nicht weiß, wie schnell sein Stack auf eine kritische CVE reagieren kann, hat in viereinhalb Monaten ein Compliance-Problem zusätzlich zum technischen.

Drei Maßnahmen, die wir Mittelstand-Kunden konkret empfehlen

1. Attack-Surface-Inventar pflegen — nicht nur Server

Die meisten Mittelständler unterschätzen ihre Attack Surface. „Wir haben drei Server“ — aber dazu kommen 14 SaaS-Konten mit administrativem Zugriff, 22 Container-Images aus drei Registries, 47 Browser-Extensions in der Mitarbeiter-Flotte, und ein VPN-Gateway, das seit 18 Monaten kein Major-Upgrade gesehen hat. Die NCSC-Empfehlung „internet-facing zuerst, dann nach innen“ funktioniert nur, wenn das Inventar überhaupt vollständig ist.

Konkrete Schritte: ein automatisiertes Asset-Inventar (CMDB-Modul oder ein dediziertes Tool), das aus Active Directory, Hypervisor-Registry, Cloud-Konsolen-APIs und Container-Registries zieht. Plus eine quartalsweise Sichtprüfung gegen die externen Schatten-IT-Realitäten.

2. Patch-Pipeline-Tempo testen

Die wichtigere Frage als „können wir patchen?“ ist: „Können wir kritische Patches in 7 Tagen ausliefern, ohne Hero-Modus?“ Die meisten Mittelstand-Pipelines können das nicht — nicht aus technischer Unfähigkeit, sondern weil sie nie unter realistischer Last getestet wurden.

Test-Übung: Nehmen Sie eine 12 Monate alte Major-Version eines Ihrer Produkte und versuchen Sie, einen synthetischen Critical-CVE-Patch in 10 Tagen rauszubringen. Wenn die Pipeline für die alte Version nicht mehr lauffähig ist, weil zwei Maintainer das Unternehmen verlassen haben und der CI-Konfig im Confluence verloren ging — Sie kennen das Problem. Beheben Sie es, bevor die Patch Wave kommt.

3. Automation, wo es sich lohnt

Hot-Patching wirkt nicht überall, aber wo es funktioniert (Linux-Kernel mit Live-Patching, Browser-Auto-Updates, Container-Rolling-Restarts), sollte es eingeschaltet sein. Für Embedded-Geräte gilt: wer auch immer die Update-Mechanismen entworfen hat — sie müssen heute aktiviert sein, nicht erst, wenn die erste CVE im Feld auftaucht.

Plus: SBOM-Monitoring gegen die einschlägigen Datenbanken, Dependency-Update-Bots wie Renovate mit Auto-Merge für unkritische Patch-Bumps, CVSS-Score-basierte Triage statt Hand-Sortierung, cosign-signierte Releases als Standard. Das sind keine exotischen Werkzeuge mehr — es sind Industrie-Standards, die in jedem ernsthaften Stack 2026 eingerichtet sind.

Wie wir das selbst handhaben

Eine Empfehlung ohne eigene Praxis-Erfahrung ist hohle Beratung. Wir nutzen, was wir bauen.

Konkret: Wir generieren CycloneDX-SBOMs pro Build, signieren unsere Container-Images mit cosign, lassen Vulnerability-Scans automatisiert gegen aktuelle Datenbanken laufen, priorisieren Patches anhand der CVSS-Scores ohne manuelle Triage, halten unsere Patch-Pipeline mit Renovate auf Tempo, und haben unsere 24-Stunden-Reaktions-Prozedur dokumentiert und geübt. Die Pipeline ist nicht spektakulär — sie ist verlässlich.

Bei der kürzlich diskutierten CVE-2026-31431 („Copy Fail“) in der Linux-Kernel-Crypto-API haben wir die betroffenen Container-Images innerhalb eines Arbeitstages neu gebaut und ausgerollt — nicht weil wir Helden sind, sondern weil die Pipeline genau dafür ausgelegt ist.

Häufige Fragen zur Patch-Wave-Vorbereitung

Müssen wir wirklich auf jede CVE reagieren?+

Nein. Sie müssen jede CVE bewerten — und das in einem definierten Zeitrahmen. Eine Schwachstelle in einer Komponente, die Sie nicht einsetzen, ist nicht Ihr Problem; eine in einer Komponente ohne öffentliche Exposition ist ein anderes Problem als eine internet-facing. Ohne SBOM und ohne automatisiertes Monitoring ist diese Bewertung nicht systematisch möglich — dann wird jede CVE zur Hero-Aktion. Mit den richtigen Tools ist die Bewertung in Minuten gemacht.

Wie schnell ist „schnell genug“ für eine Patch-Pipeline?+

Das hängt vom Schweregrad und der Exposition ab. Faustregel für internet-facing Critical-Vulnerabilities: maximal 7 Tage von CVE-Veröffentlichung bis ausgeliefertem Patch. Für aktiv ausgenutzte Schwachstellen: deutlich weniger, idealerweise 24–48 Stunden. Wenn Ihre Pipeline diese Tempos heute nicht trägt, ist die Patch Wave die schlechteste Zeit, das herauszufinden.

Was, wenn unsere Software-Lieferanten langsamer sind als wir?+

Das ist die unangenehmere Frage. Sie können Ihre eigene Pipeline auf Tempo trimmen, aber wenn ein kritischer Lieferant (CMS, ERP, Payment-Provider, Analytics) erst nach Wochen patcht, sind Sie über die Lieferkette exponiert. Maßnahmen: dokumentierte SLAs für Sicherheits-Patches in Lieferanten-Verträgen, alternative Anbieter pro kritischer Komponente identifiziert, dokumentierte Mitigation-Optionen (WAF-Regeln, Feature-Flags) für Worst-Case-Szenarien.

Reicht Auto-Update für unsere Compliance-Pflichten?+

Auto-Update ist ein Tool, kein Compliance-Beweis. Sie brauchen nachweisbare Kontrolle: welche Versionen liefen wann, welche Patches wurden wann angewendet, wer hat das verifiziert. Das ist im Prinzip mit jedem ordentlichen Asset-Management-Tool machbar — aber Auto-Update allein ohne Logging und ohne Reporting reicht für CRA, NIS2 und ISO 27001 nicht.

Wann lohnt sich externe Hilfe?+

Wenn Sie nach dem Lesen merken, dass Ihre Pipeline mehrere der drei oben genannten Maßnahmen nicht trägt — und Ihr Team ohnehin keine Bandbreite hat, um sich daneben in CRA-Detail-Anforderungen einzuarbeiten. Ein dreiwöchiger Audit (siehe CI/CD-Sicherheitsaudit) bringt eine ehrliche Standortbestimmung mit konkretem Maßnahmen-Katalog. Danach entscheiden Sie, ob Sie selbst umsetzen oder begleiten lassen.

Wenn die Patch Wave Sie überrascht

Die nächsten Monate werden für viele Mittelstand-IT-Teams unbequem. Wenn Sie nach dem Lesen merken, dass Ihre Pipeline die drei Maßnahmen oben nicht trägt, ist ein 30-Minuten-Erstgespräch der niedrigschwellige nächste Schritt. Kein Pitch, keine Folge-Mail-Sequenz, keine Verkaufs-Standardroute.

30-Minuten-Slot, online verfügbar. →