Was bedeutet Zero-Touch-Patching?

Zero-Touch-Patching ist automatisiertes Patch-Management, bei dem Erkennung, Test, gestaffelter Rollout und Nachweis ohne manuelle Eingriffe ablaufen. Der Operator definiert nur die Richtlinien und greift im Ausnahmefall ein.

Wie verhindert OneLog, dass ein fehlerhafter Patch die Flotte lahmlegt?

Patches werden zunächst auf einer kleinen Geräte-Kohorte ausgerollt und überwacht. Erst wenn diese Canary-Phase stabil bleibt, erfolgt der breite Rollout; bei Auffälligkeiten wird automatisch gestoppt.

Liefert Zero-Touch-Patching Nachweise für NIS2?

Ja. Jeder Patch-Vorgang wird protokolliert — welches Asset, welche Schwachstelle, welcher Zeitpunkt, welches Ergebnis. Diese Historie ist direkt auf die NIS2-Pflicht zur Schwachstellenbehandlung gemappt.

Bleiben manuelle Eingriffe möglich?

Ja. Einzelne Geräte, Wartungsfenster oder kritische Systeme lassen sich von der Automatik ausnehmen oder manuell freigeben. Zero-Touch ist der Standardfall, nicht die einzige Option.

Funktion

Zero-Touch-Patching: Patches ohne manuelle Eingriffe

Patch-Management scheitert selten an fehlenden Patches, sondern an manueller Routine, die liegen bleibt. Zero-Touch-Patching automatisiert den gesamten Zyklus — von der Erkennung bis zum prüffähigen Nachweis.

Das Problem ist nicht der Patch, sondern die Routine

In den meisten IT-Betrieben fehlen Patches nicht, weil sie unbekannt sind, sondern weil das Einspielen manuelle Arbeit bedeutet: prüfen, planen, ausrollen, kontrollieren, dokumentieren. Genau diese Routine bleibt unter Last liegen. Das Ergebnis sind offene Schwachstellen mit bekannter CVE — die häufigste Eintrittstür für Angriffe.

Zero-Touch-Patching dreht das Prinzip um: Der Standardfall ist der automatische, nachgewiesene Patch. Manuelle Arbeit fällt nur noch für Ausnahmen an.

Der Zyklus in vier Schritten

Erkennung. OneLog inventarisiert die Flotte fortlaufend und gleicht installierte Stände gegen verfügbare Patches und bekannte Schwachstellen ab.
Bewertung. Patches werden nach Kritikalität priorisiert — sicherheitsrelevante Updates vor kosmetischen.
Gestaffelter Rollout. Der Patch geht zuerst auf eine kleine Canary-Kohorte. Bleibt diese stabil, folgt der breite Rollout in definierten Wartungsfenstern.
Nachweis. Jeder Vorgang wird protokolliert: Asset, Schwachstelle, Zeitpunkt, Ergebnis. Das ergibt eine prüffähige Historie statt nachträglich zusammengesuchter Belege.

Warum gestaffelt statt alles auf einmal

Der Risikofall beim Patchen ist nicht der ausgelassene, sondern der fehlerhafte Patch, der breit ausgerollt wird und Systeme stört. Deshalb arbeitet OneLog mit einer Canary-Phase: Eine kleine, repräsentative Geräte-Gruppe erhält den Patch zuerst und wird überwacht. Treten Auffälligkeiten auf, stoppt der Rollout automatisch, bevor er die Flotte erreicht. Erst nach stabiler Canary-Phase geht der Patch in die Breite.

Das ist der entscheidende Unterschied zwischen „automatisch“ und „unkontrolliert automatisch“.

Kontrolle bleibt beim Betreiber

Zero-Touch heißt nicht Kontrollverlust. Richtlinien, Wartungsfenster und Ausnahmen definiert der Betreiber:

Wartungsfenster pro Geräte-Gruppe, damit Rollouts nicht in Produktivzeiten fallen.
Ausnahmen für kritische Systeme, die nur mit manueller Freigabe gepatcht werden.
Eskalation, wenn ein Patch nicht sauber durchläuft — dann landet der Fall beim Operator statt im Verborgenen.

Im OneLog Command Center ist der Flottenstatus inklusive fehlender Patches und kritischer Schwachstellen auf einen Blick sichtbar. Handlungsbedarf wird sichtbar, bevor er zum Vorfall wird.

Patch-Nachweis trifft NIS2

NIS2 verlangt einen geregelten Umgang mit Schwachstellen — nicht nur das Schließen, sondern den Nachweis, dass es geregelt geschieht. Die lückenlose Patch-Historie von OneLog ist genau darauf ausgelegt: Sie dokumentiert ohne Zusatzaufwand, welche Schwachstelle wann auf welchem Asset behandelt wurde. Was in vielen RMMs eine manuelle Reporting-Übung ist, fällt hier als Nebenprodukt des normalen Betriebs an.

Souverän betrieben

Patch-Management greift tief in die Flotte ein — es entscheidet, welche Software auf jedem Gerät läuft. Diese Kontrollschicht betreibt OneLog ausschließlich EU-souverän in der STACKIT Sovereign Cloud, ohne US-Cloud-Exposure und nach ISO 27001:2022. Die TOM nach Art. 32 DSGVO sind öffentlich einsehbar. Zero-Touch-Patching automatisiert die Routine, ohne die Hoheit über die Flotte aus der Hand zu geben.

OneLog Command Center: Flotten-Übersicht mit DEX-Score, kritischen Schwachstellen und Geräten mit Handlungsbedarf — Command Center: Flottenstatus inkl. fehlender Patches auf einen Blick.

Häufige Fragen

Was bedeutet Zero-Touch-Patching?: Zero-Touch-Patching ist automatisiertes Patch-Management, bei dem Erkennung, Test, gestaffelter Rollout und Nachweis ohne manuelle Eingriffe ablaufen. Der Operator definiert nur die Richtlinien und greift im Ausnahmefall ein.
Wie verhindert OneLog, dass ein fehlerhafter Patch die Flotte lahmlegt?: Patches werden zunächst auf einer kleinen Geräte-Kohorte ausgerollt und überwacht. Erst wenn diese Canary-Phase stabil bleibt, erfolgt der breite Rollout; bei Auffälligkeiten wird automatisch gestoppt.
Liefert Zero-Touch-Patching Nachweise für NIS2?: Ja. Jeder Patch-Vorgang wird protokolliert — welches Asset, welche Schwachstelle, welcher Zeitpunkt, welches Ergebnis. Diese Historie ist direkt auf die NIS2-Pflicht zur Schwachstellenbehandlung gemappt.
Bleiben manuelle Eingriffe möglich?: Ja. Einzelne Geräte, Wartungsfenster oder kritische Systeme lassen sich von der Automatik ausnehmen oder manuell freigeben. Zero-Touch ist der Standardfall, nicht die einzige Option.

Weiterlesen

OneLog in Ihrer Umgebung sehen

Souveränes, NIS2-konformes RMM mit autonomer Remediation — EU-gehostet, kein US-Cloud-Exposure.

OneLog testen Mit dem Gründer sprechen