Wenn WSUS an seine Grenzen stößt

Das Ergebnis: fehleranfällige Prozesse, langwierige Freigabeschleifen und im schlimmsten Fall instabile Client-Systeme. Sebastian Weber, Chief Evangelist beim UEM-Spezialisten Aagon, stellt im Interview vor, welche Alternative Aagon hier zu bieten hat.

Herr Weber, das Jahr 2026 gilt IT-technisch als besonders kritisch für nahezu alle Unternehmen. Was steht uns da bevor?

Sebastian Weber: Microsoft hat angekündigt, dass die bisher genutzten Rootund Key-Exchange-Zertifikate aus dem Jahr 2011 auslaufen. Ab Juni beziehungsweise Oktober 2026 werden Geräte ohne die neuen KEK- und DB-Zertifikate Probleme bekommen. Das kann von fehlschlagenden Boot-Vorgängen über nicht mehr installierbare Updates bis hin zu als „nicht vertrauenswürdig“ eingestuften digitalen Signaturen reichen. Für Unternehmen bedeutet das potenziell einen produktionsweiten Stillstand. Gerade regulierte Branchen riskieren damit de facto einen Produktionsstopp. Es ist also nicht nur ein technisches, sondern auch ein Compliance-Thema, das man frühzeitig angehen muss.

Microsoft empfiehlt, für diese Updates auf die eigene Update-Infrastruktur zu setzen. Warum sehen Sie das anders?

Sebastian Weber: Microsoft sähe es am liebsten, die Verwaltung von Windows-Updates selbst zu übernehmen. Den dafür traditionell verwendeten WSUS stellen wir schon seit längerem unser ACMP Modul Complete Aagon Windows Update Management (CAWUM) als durchgängige Lösung gegenüber. Damit lassen sich Windows-, Office 365-, Treiber- sowie Firmware-Updates so koordinieren, dass die Systeme gleichzeitig sicher, kompatibel und betriebsbereit bleiben. Eine proaktive, zentral gesteuerte Update-Strategie reduziert die operative Komplexität, verbessert die Cyber-Resilienz und stellt sicher, dass kritische Infrastrukturen auch nach Ablauf der alten Secure-Boot-Zertifikate ohne Unterbrechung weiterarbeiten. Wir sehen jeden Tag bei Kunden, dass eine eigenständige Strategie für Updates mehr Kontrolle und Verlässlichkeit bedeutet.

Die Secure-Boot-Zertifikate als Paradebeispiel für die Notwendigkeit, Windows-Updates proaktiv und zentral zu managen. Worin unterscheidet sich CAWUM konkret von WSUS?

Sebastian Weber: WSUS war lange das Standardwerkzeug für Windows-Updates. Allerdings stößt es immer häufiger an seine Grenzen – sei es bei der Bandbreite, der Steuerung einzelner Clients oder beim Freigabeprozess. CAWUM übernimmt diese Funktion, aber auf einer moderneren, granulareren Basis. Wir liefern den Clients nicht mehr das komplette Gigabyte-Update-Paket, sondern nur die tatsächlich benötigten Patches. Das spart Bandbreite, beschleunigt Installationen und erhöht gleichzeitig die Transparenz. Und wir können mehrere Update-Ringe, Testphasen und unterschiedliche Repositories definieren, ohne komplizierte Zusatz-Tools.

Was bedeutet das für die operative Sicherheit?

Sebastian Weber: Sicherheit entsteht durch Aktualität. Ungepatchte Systeme sind nachweislich eine der Hauptursachen für Ransomware-Angriffe und Datenlecks. CAWUM erlaubt eine proaktive Update-Strategie – inklusive Testsystemen, Freigaberingen und klar definierten Prozessen. Das reduziert operative Komplexität, erhöht die Cyber-Resilienz und sichert langfristig Compliance mit NIS-2, ISO 27001 und branchenspezifischen Standards. Gerade im Zusammenspiel mit strengen Audits ist es wichtig, Updates nicht nur einzuspielen, sondern auch revisionssicher zu dokumentieren.

Viele Administratoren fürchten Störungen im laufenden Betrieb, wenn sie Updates schneller ausrollen. Wie adressiert CAWUM diesen Punkt?

Sebastian Weber: Wir setzen auf planbare und transparente Update-Prozesse. Updates lassen sich zuerst in Testumgebungen einspielen, dann kontrolliert in Freigaberingen ausrollen. Administratoren können definieren, welche Patches auf welchen File-Repositories liegen sollen und in welchen Sprachen. All das senkt das Risiko instabiler Clients und reduziert Freigabeschleifen drastisch. Außerdem sind unsere Rollback-Optionen klar definiert: Falls ein Patch unvorhergesehen Probleme macht, lässt sich sehr schnell der vorherige Zustand wiederherstellen.

Das vollständige Interview lesen Sie auf it-daily.net