IT-Sicherheit

Microsoft empfiehlt schnellere Windows-Updates: Was die Drei-Tage-Regel für Unternehmen bedeutet

Microsoft drängt Unternehmen zu kürzeren Fristen bei Windows-Sicherheitsupdates. Das bedeutet nicht, jedes Update ungeprüft sofort zu installieren. Entscheidend ist ein Patchmanagement, das schnell, kontrolliert und nachvollziehbar arbeitet.

IT-Verantwortliche planen die gestufte Verteilung von Windows-Sicherheitsupdates über Test-, Pilot- und Produktivgruppen.
Sicherheitsupdates sollten nicht unkontrolliert auf alle Geräte verteilt werden. Bewährt hat sich eine gestufte Freigabe über Test-, Pilot- und Produktivgruppen. (Zum Vergrößern anklicken)

Microsoft rät Unternehmen, Windows-Sicherheitsupdates deutlich schneller zu verteilen. In einigen Berichten ist daraus eine einfache Schlagzeile geworden: Updates müssen innerhalb von drei Tagen installiert werden.

Ganz falsch ist das nicht. Ganz vollständig ist es aber auch nicht.

Microsoft richtet sich mit der Empfehlung vor allem an Unternehmen, die Windows-Geräte zentral verwalten. Gemeint sind insbesondere monatliche Qualitätsupdates mit Sicherheitskorrekturen. Für solche Updates empfiehlt Microsoft kurze Installationsfristen und eine begrenzte Nachfrist für den notwendigen Neustart.

Das ist ein wichtiger Unterschied. Es geht nicht darum, jedes optionale Vorschauupdate, jeden neuen Treiber und jedes große Funktionsupdate sofort auf alle Rechner loszulassen. Es geht darum, bekannte Sicherheitslücken nicht über Wochen offen zu lassen, nur weil niemand den Update-Prozess sauber organisiert hat.

Was Microsoft tatsächlich empfiehlt

Microsoft verwendet in seinem aktuellen Windows-Autopatch-Berichtsmodell eine klare Einordnung:

  • Geräte gelten innerhalb von drei Tagen nach Veröffentlichung eines Updates als aktuell.
  • Zwischen drei und sieben Tagen steigt das Risiko.
  • Nach mehr als sieben Tagen werden Geräte als kritisch gefährdet eingeordnet.

In der allgemeinen Microsoft-Dokumentation zu Windows-Update-Richtlinien wird für Qualitätsupdates eine Frist von einem Tag und eine zusätzliche Neustart-Nachfrist von zwei Tagen empfohlen. Gleichzeitig soll die gesamte Zeit aus Aufschub, Installationsfrist und Nachfrist sieben Tage nicht überschreiten.

Daraus ergibt sich die oft zitierte Drei-Tage-Regel: ein Tag bis zur verpflichtenden Installation plus höchstens zwei Tage Nachfrist für den Neustart.

Diese Werte sind keine gesetzliche Vorschrift und auch keine starre Vorgabe für jede einzelne IT-Umgebung. Sie zeigen aber deutlich, wohin die Reise geht. Microsoft betrachtet lange Verzögerungen bei Sicherheitsupdates inzwischen als ernstes Betriebsrisiko.

Klartext

Ein Sicherheitsupdate, das veröffentlicht wurde, ist keine theoretische Vorsichtsmaßnahme mehr. In vielen Fällen ist bereits öffentlich bekannt, welche Schwachstelle geschlossen wird. Angreifer können diese Informationen auswerten und gezielt nach ungepatchten Systemen suchen.

Wer Updates grundsätzlich zwei oder drei Wochen zurückhält, erkauft sich vermeintliche Ruhe mit einem wachsenden Sicherheitsrisiko.

Warum sich das Zeitfenster verkürzt

Die Geschwindigkeit bei der Suche nach Schwachstellen nimmt zu. Das gilt für Hersteller und Sicherheitsforscher, aber genauso für die Gegenseite.

Microsoft hat im Mai 2026 das eigene Sicherheitssystem MDASH vorgestellt. Dabei koordinieren mehr als 100 spezialisierte KI-Agenten die Suche, Bewertung und technische Bestätigung von Schwachstellen. Bei einer Untersuchung wurden 16 bislang unbekannte Sicherheitslücken in Windows-Komponenten gefunden, darunter vier kritische Schwachstellen, über die Schadcode aus der Ferne ausgeführt werden konnte.

Das ist zunächst eine gute Nachricht: Hersteller können Fehler schneller finden und schließen. Es zeigt aber auch, wie stark sich die technische Analyse beschleunigt hat. Was früher viel Handarbeit und Zeit erforderte, kann heute zunehmend automatisiert werden.

Für Unternehmen bedeutet das: Zwischen der Veröffentlichung eines Updates und den ersten gezielten Angriffen kann deutlich weniger Zeit liegen als früher. Ein Patchprozess, der erst nach einigen Wochen ins Rollen kommt, passt nicht mehr zur heutigen Lage.

Welche Updates sind überhaupt gemeint?

Der Begriff „Windows-Update“ wird im Alltag für sehr unterschiedliche Dinge verwendet. Genau das führt oft zu Missverständnissen.

Qualitätsupdates mit Sicherheitskorrekturen

Das sind die üblichen kumulativen Windows-Updates, die Sicherheitslücken schließen und Fehler beheben. Sie erscheinen regelmäßig und bauen aufeinander auf. Genau hier geht es um eine zügige, kontrollierte Verteilung.

Außerplanmäßige Sicherheitsupdates

Bei besonders kritischen oder bereits aktiv ausgenutzten Schwachstellen kann Microsoft Updates außerhalb des normalen Rhythmus bereitstellen. Solche Fälle müssen schneller bewertet und gegebenenfalls beschleunigt ausgerollt werden.

Optionale Vorschauupdates

Diese Updates enthalten häufig Fehlerkorrekturen und Änderungen, die später in ein reguläres Qualitätsupdate einfließen. Sie sind nicht mit einem dringenden Sicherheitsupdate gleichzusetzen und müssen nicht automatisch auf jeden Arbeitsplatz verteilt werden.

Funktionsupdates

Größere Versionswechsel wie der Wechsel auf eine neue Windows-11-Version verändern mehr als ein monatliches Sicherheitsupdate. Sie benötigen eine eigene Planung, Kompatibilitätsprüfung und Rollout-Strategie.

Treiber- und Firmwareupdates

Auch diese Updates können wichtig sein, müssen aber passend zur eingesetzten Hardware und zu den betrieblichen Anforderungen bewertet werden. Ein unkontrolliertes Treiberupdate kann ebenso Probleme verursachen wie ein zu lange zurückgehaltenes Sicherheitsupdate.

Die praktische Konsequenz lautet: Nicht alle Updates gleich behandeln, aber Sicherheitsupdates verbindlich priorisieren.

Schnell patchen bedeutet nicht blind patchen

Viele Unternehmen sind bei Windows-Updates vorsichtig geworden. Das ist nachvollziehbar. Es gab immer wieder Aktualisierungen, die im Anschluss Druckprobleme, Anwendungsfehler, VPN-Störungen oder andere Nebenwirkungen verursacht haben.

Die falsche Schlussfolgerung wäre jedoch, Sicherheitsupdates deshalb grundsätzlich lange zu blockieren.

Ein professioneller Patchprozess verbindet zwei Anforderungen:

  1. Sicherheitslücken müssen schnell geschlossen werden.
  2. Der laufende Betrieb darf nicht unnötig gefährdet werden.

Das gelingt nicht durch Bauchgefühl, sondern durch eine gestufte Verteilung.

So sollte die Update-Verteilung im Unternehmen aussehen

1. Gerätebestand vollständig erfassen

Am Anfang steht eine einfache Frage: Welche Geräte gehören überhaupt zum Unternehmen?

Dazu zählen nicht nur die täglich genutzten Büro-PCs. Auch Homeoffice-Notebooks, Außendienstgeräte, Ersatzrechner, selten eingeschaltete Systeme, Schulungsgeräte und Rechner für einzelne Fachanwendungen müssen erfasst sein.

Was in keiner Bestandsübersicht auftaucht, wird häufig auch nicht zuverlässig aktualisiert.

2. Eine kleine Testgruppe festlegen

Neue Qualitätsupdates sollten zunächst auf wenigen, bewusst ausgewählten Geräten installiert werden. Diese Testgruppe sollte typische Anwendungen, Drucker, VPN-Verbindungen und Arbeitsabläufe abbilden.

Eine gute Testgruppe besteht nicht nur aus einem Rechner der IT. Sie sollte auch mindestens einen normalen Büroarbeitsplatz und – sofern vorhanden – einen Rechner mit wichtiger Fachsoftware enthalten.

3. Danach eine Pilotgruppe aktualisieren

Wenn die ersten Geräte unauffällig laufen, folgt eine größere Pilotgruppe. Hier zeigt sich, ob das Update im normalen Arbeitsalltag zuverlässig funktioniert.

Diese Phase darf nicht unnötig lange dauern. Der Sinn einer Pilotgruppe besteht darin, Probleme früh zu erkennen – nicht darin, den eigentlichen Rollout um Wochen zu verschieben.

4. Breite Verteilung verbindlich abschließen

Nach erfolgreicher Prüfung wird das Update auf die übrigen Geräte verteilt. Dafür müssen klare Fristen gelten. Mitarbeiter dürfen informiert und eingebunden werden, aber notwendige Sicherheitsupdates und Neustarts dürfen nicht beliebig oft verschoben werden.

5. Ausnahmen aktiv bearbeiten

Der Rollout ist nicht abgeschlossen, nur weil eine Richtlinie erstellt wurde.

Entscheidend ist die Auswertung:

  • Welche Geräte sind aktuell?
  • Welche Installation ist fehlgeschlagen?
  • Welcher Rechner war nicht erreichbar?
  • Wo fehlt Speicherplatz?
  • Welches Gerät wartet auf einen Neustart?
  • Welche Systeme fallen immer wieder aus dem Updateprozess heraus?

Genau diese Ausnahmen sind in der Praxis häufig das eigentliche Problem.

IT-Mitarbeiter prüft eine zentrale Patchstatus-Übersicht für Windows-Arbeitsplätze in einem mittelständischen Unternehmen.
Ein Update gilt erst dann als erledigt, wenn der Status aller verwalteten Geräte kontrolliert wurde und fehlgeschlagene Installationen nachbearbeitet sind. (Zum Vergrößern anklicken)

Neustarts dürfen nicht unbegrenzt verschoben werden

Viele Windows-Updates werden erst nach einem Neustart vollständig wirksam. Ein heruntergeladenes Update oder ein Hinweis „Installation vorbereitet“ bedeutet deshalb noch nicht, dass die Sicherheitslücke geschlossen ist.

Microsoft empfiehlt für Qualitätsupdates eine begrenzte Nachfrist. Nach Ablauf von Frist und Nachfrist kann Windows den Neustart auch dann erzwingen, wenn der Benutzer ihn nicht selbst auslöst.

Das klingt zunächst hart, ist aber betrieblich sinnvoll, wenn es ordentlich umgesetzt wird:

  • Mitarbeiter werden rechtzeitig informiert.
  • Arbeitszeiten und Wartungsfenster werden berücksichtigt.
  • Der Neustart kann innerhalb der Frist selbst gewählt werden.
  • Nach Ablauf der Frist wird er verbindlich.

Was nicht funktioniert, ist die bekannte Schaltfläche „später erinnern“ über Wochen hinweg.

Mitarbeiterin erhält nach einem installierten Windows-Sicherheitsupdate den Hinweis auf einen erforderlichen Neustart.
Ein Sicherheitsupdate ist häufig erst nach dem Neustart vollständig aktiv. Deshalb braucht auch der Neustart eine klare und verbindliche Frist. (Zum Vergrößern anklicken)

Was ist mit Hotpatch?

Microsoft erweitert den Einsatz von Hotpatch-Updates. Dabei können bestimmte monatliche Sicherheitskorrekturen auf unterstützten Geräten wirksam werden, ohne dass sofort ein Neustart notwendig ist.

Das bringt zwei Vorteile:

  • Sicherheitskorrekturen greifen schneller.
  • Mitarbeiter werden seltener bei der Arbeit unterbrochen.

Hotpatch ist aber kein Freifahrtschein. Die Funktion steht nur für geeignete Geräte, Windows-Versionen und Verwaltungsmodelle zur Verfügung. Außerdem bleiben regelmäßige Basisupdates mit Neustart notwendig. Geräte, die die Voraussetzungen nicht erfüllen, erhalten weiterhin die normalen kumulativen Updates.

Hotpatch kann ein gutes Patchmanagement unterstützen. Es ersetzt weder Inventarisierung noch Testgruppen, Überwachung oder Fehlernachbearbeitung.

Kritische Schwachstellen müssen zuerst kommen

Nicht jede Sicherheitslücke hat dieselbe Dringlichkeit. Ein guter Prozess arbeitet deshalb risikobasiert.

Besonders wichtig sind Schwachstellen,

  • die bereits aktiv ausgenutzt werden,
  • die aus dem Internet erreichbar sind,
  • die ohne Benutzerinteraktion ausgenutzt werden können,
  • die Administratorrechte oder Schadcode-Ausführung ermöglichen,
  • die weit verbreitete Produkte betreffen,
  • für die keine wirksame Übergangslösung existiert.

Die US-Sicherheitsbehörde CISA führt hierfür den Katalog „Known Exploited Vulnerabilities“. Dort werden Schwachstellen gelistet, deren aktive Ausnutzung bekannt ist. Auch für deutsche Unternehmen ist diese Liste eine sinnvolle Grundlage zur Priorisierung.

Das Bundesamt für Sicherheit in der Informationstechnik verfolgt denselben Grundgedanken: Unternehmen sollen den Überblick über ihre eingesetzte Software behalten, verfügbare Sicherheitsupdates zügig einspielen und Patch- sowie Änderungsprozesse kontrollierbar gestalten.

Windows allein reicht nicht

Ein aktuelles Windows ist wichtig, aber kein vollständiges Patchmanagement.

In fast jedem Unternehmen laufen zusätzlich Programme und Komponenten wie:

  • Browser,
  • PDF-Programme,
  • Microsoft Office,
  • Fernwartungssoftware,
  • VPN-Clients,
  • Java-Komponenten,
  • Telefonie- und Konferenzsoftware,
  • Drucker- und Scansoftware,
  • Branchenprogramme,
  • Backup-Agenten,
  • Firewall- und Managementwerkzeuge.

Viele erfolgreiche Angriffe nutzen keine exotische Windows-Lücke, sondern veraltete Anwendungen, ungeschützte Fernzugänge oder längst bekannte Schwachstellen in Zusatzsoftware.

Ein belastbarer Patchprozess muss deshalb Betriebssystem und eingesetzte Anwendungen gemeinsam betrachten.

Eine ausführliche Übersicht zu Betriebssystemen, Drittanbieterprogrammen, Servern, Firewalls und Netzwerkgeräten finden Sie in unserem Ratgeber Patchmanagement für KMU.

Was kleine und mittlere Unternehmen jetzt prüfen sollten

Geschäftsführer und IT-Verantwortliche sollten folgende Fragen ohne langes Suchen beantworten können:

  1. Wie viele Windows-Arbeitsplätze und Notebooks sind aktuell im Einsatz?
  2. Welche Windows-Versionen werden verwendet?
  3. Welche Geräte haben das letzte Sicherheitsupdate noch nicht installiert?
  4. Gibt es eine feste Test- und Pilotgruppe?
  5. Wer bewertet kritische Sicherheitsmeldungen?
  6. Wie lange können Benutzer notwendige Neustarts verschieben?
  7. Werden Homeoffice- und Außendienstgeräte zuverlässig erreicht?
  8. Werden auch Browser und Drittanbieterprogramme aktualisiert?
  9. Gibt es einen Bericht über fehlgeschlagene Installationen?
  10. Wer bearbeitet Geräte, die wiederholt nicht aktuell sind?
  11. Ist vor größeren Änderungen eine funktionierende Datensicherung vorhanden?
  12. Kann ein problematisches Update kontrolliert pausiert oder zurückgerollt werden?

Wer diese Fragen nicht beantworten kann, hat kein einzelnes Updateproblem. Dann fehlt ein steuerbarer Prozess.

Nicht jedes Unternehmen braucht dieselbe Technik

Ein Unternehmen mit zehn Arbeitsplätzen benötigt keine identische Infrastruktur wie ein Betrieb mit mehreren Standorten und hundert Geräten.

Trotzdem gelten dieselben Grundsätze:

  • vollständige Übersicht,
  • zentrale Steuerung,
  • verbindliche Fristen,
  • nachvollziehbare Ausnahmen,
  • regelmäßige Kontrolle.

Je nach Umgebung können dafür Microsoft Intune, Windows Autopatch, Windows Update for Business, andere Verwaltungswerkzeuge oder ein RMM-System eingesetzt werden.

Entscheidend ist nicht der Produktname. Entscheidend ist, dass der Prozess funktioniert und jemand verantwortlich ist.

Unsere Einordnung bei EDV Systeme Donner

Die Empfehlung von Microsoft ist aus unserer Sicht richtig. Mehrwöchige Verzögerungen bei normalen Windows-Sicherheitsupdates sind heute kaum noch vertretbar.

Gleichzeitig halten wir nichts davon, jeden Rechner ungeprüft am Veröffentlichungstag zu aktualisieren und anschließend auf das Beste zu hoffen.

Der vernünftige Weg ist seit Jahren derselbe:

  • Systeme kennen,
  • Risiken einordnen,
  • Änderungen kontrolliert testen,
  • Updates zügig verteilen,
  • Neustarts sauber planen,
  • Ergebnisse prüfen,
  • Ausnahmen konsequent bearbeiten.

Neu ist nicht das Grundprinzip. Neu ist der Zeitdruck. Was früher innerhalb von zwei oder drei Wochen abgearbeitet wurde, muss heute in vielen Fällen innerhalb weniger Tage erledigt sein.

Genau an diesem Punkt zeigen laufende IT-Betreuung und Managed IT Services ihren Wert. Patchmanagement darf nicht davon abhängen, ob gerade jemand Zeit hat, auf einzelnen Rechnern nachzusehen.

IT-Berater erklärt einer Unternehmerin den Sicherheitsstatus und das zentrale Patchmanagement ihrer IT-Systeme.
Gutes Patchmanagement ist kein einzelner Schalter. Es verbindet Bestandsübersicht, Regeln, Überwachung und eine klare technische Verantwortung. (Zum Vergrößern anklicken)

Fazit: Drei Tage sind kein Dogma, aber ein deutliches Signal

Die sogenannte Drei-Tage-Regel ist keine pauschale Pflicht für jedes Update und jedes Gerät. Sie ist eine klare Warnung vor zu langen Verzögerungen.

Unternehmen müssen Sicherheitsupdates heute schneller behandeln als noch vor einigen Jahren. Gleichzeitig braucht der Rollout weiterhin Kontrolle und Augenmaß.

Unser Rat ist deshalb eindeutig:

  • Sicherheitsupdates nicht wochenlang liegen lassen.
  • Optionale und funktionale Updates getrennt bewerten.
  • Mit Test- und Pilotgruppen arbeiten.
  • Neustarts verbindlich regeln.
  • Den tatsächlichen Patchstand auswerten.
  • Kritische Ausnahmen sofort bearbeiten.

Schnell patchen und stabil arbeiten sind kein Widerspruch. Beides funktioniert, wenn der Prozess sauber aufgebaut ist.

Wissen Sie, wie aktuell Ihre Windows-Geräte wirklich sind?

Eine vorhandene Update-Richtlinie sagt noch nicht, ob alle Geräte tatsächlich geschützt sind.

EDV Systeme Donner unterstützt kleine und mittelständische Unternehmen dabei,

  • den aktuellen Patchstand zu erfassen,
  • fehlende oder fehlerhafte Updates sichtbar zu machen,
  • Test- und Verteilungsgruppen einzurichten,
  • Neustartregeln sinnvoll festzulegen,
  • Windows und Drittanbieterprogramme zentral zu aktualisieren,
  • Monitoring und laufende Betreuung aufzubauen.
Jetzt IT-Sicherheitscheck durchführen Patchmanagement und IT-Betreuung anfragen

Häufige Fragen zur Drei-Tage-Regel bei Windows-Updates

Müssen Unternehmen jedes Windows-Update innerhalb von drei Tagen installieren?

Nein. Die Empfehlung bezieht sich vor allem auf sicherheitsrelevante Qualitätsupdates in verwalteten Windows-Umgebungen. Optionale Vorschauupdates, Treiber und größere Funktionsupdates müssen gesondert bewertet werden.

Woher kommen die drei Tage?

Microsoft empfiehlt für Qualitätsupdates eine Installationsfrist von einem Tag und eine zusätzliche Neustart-Nachfrist von zwei Tagen. Im aktuellen Autopatch-Berichtsmodell gelten Geräte innerhalb von drei Tagen als aktuell.

Darf ein Unternehmen Sicherheitsupdates vorher testen?

Ja, und das ist sinnvoll. Die Testphase muss jedoch kurz und organisiert bleiben. Bewährt haben sich eine kleine Testgruppe, eine Pilotgruppe und anschließend die breite Verteilung.

Was passiert, wenn ein Update Probleme verursacht?

Dann muss der Rollout kontrolliert pausiert, die Ursache geprüft und gegebenenfalls ein Rollback oder eine Übergangslösung umgesetzt werden. Genau dafür braucht es Überwachung, Testgruppen und eine belastbare Datensicherung.

Ist ein Update ohne Neustart abgeschlossen?

Häufig nicht. Viele Windows-Qualitätsupdates werden erst nach einem Neustart vollständig wirksam. Hotpatch kann bei unterstützten Geräten einzelne Sicherheitsupdates ohne sofortigen Neustart aktivieren, ersetzt aber regelmäßige Basisupdates nicht.

Reicht es, automatische Windows-Updates zu aktivieren?

Für einzelne Privatgeräte kann das genügen. In Unternehmen braucht es zusätzlich eine zentrale Übersicht, klare Fristen, Fehlerberichte, die Nachbearbeitung nicht erreichbarer Geräte und ein Patchmanagement für weitere eingesetzte Programme.

Quellen und weiterführende Informationen