Stellen Sie sich eine Steuerberatung mit zwölf Mitarbeitern vor. Mai-Wochen, Lohnbuchhaltung im Endspurt, Mandanten am Telefon. Auf dem Bildschirm der Sachbearbeiterin blinkt seit drei Wochen ein kleines, höfliches Fenster: „Updates installieren – Neustart erforderlich.“ Geklickt wird darauf nicht. Und morgen auch nicht. Vielleicht nächste Woche. Wenn weniger los ist.
Genau diese Szene spielt sich 2026 in tausenden deutschen KMU ab. Microsoft hat im Mai-Update die Pausen-Funktion für Updates entgrenzt – Updates lassen sich nun in 35-Tage-Schritten ohne Obergrenze verschieben. Klingt nach Komfort. Ist aber gefährlich. In diesem Artikel ordnen wir ein, warum die Update-Müdigkeit in deutschen Betrieben wächst, was die aktuellen Zahlen sagen und welche Strategien das Patch-Management zu Ende denken, ohne den Tagesablauf zu sprengen.
Microsoft hat die Update-Pause entgrenzt – ein Geschenk mit Risiko
Mit dem Mai-Update 2026 (KB5083631) hat Microsoft eine wesentliche Komfortfunktion verändert. Bisher ließen sich Updates in Windows 11 maximal 35 Tage pausieren. Danach wurden sie zwingend installiert. Im neuen Modell lässt sich diese Pause beliebig oft verlängern. Theoretisch unbegrenzt. Microsoft kommt damit einer alten Forderung vieler Nutzer nach: mehr Kontrolle über den Neustart-Zeitpunkt.
Für KMU ist diese Funktion ein zweischneidiges Schwert. Sie ist hilfreich, wenn die Lohnbuchhaltung am Monatsende nicht unterbrochen werden darf. Sie wird zum Risiko, wenn sicherheitskritische Patches einfach „dauerhaft auf später“ geschoben werden – weil immer irgendetwas wichtig ist. Das Bundesamt für Sicherheit in der Informationstechnik betont seit Jahren, dass veraltete und ungepatchte Systeme die größten Einfallstore für Angriffe sind. Im aktuellen [BSI-Lagebericht](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2025_Achtseiter.pdf) werden allein 119 neue Schwachstellen pro Tag gemeldet, ein Anstieg um rund 24 Prozent gegenüber dem Vorjahr.
Warum so viele KMU Updates verschieben
Die Gründe, aus denen kleine und mittlere Unternehmen Updates aufschieben, sind selten Trotz oder Naivität. Sie sind organisatorisch. Drei Muster begegnen uns immer wieder:
- Schlechte Zeitpunkte. In einem Autohaus mit 22 Mitarbeitern fährt der Werkstattmeister morgens um halb sieben den Diagnose-PC hoch. Ein 15-minütiger Restart kostet ihn Aufträge. Also klickt er auf „Später erinnern“. Drei mal.
- Angst vor Folgeproblemen. Updates waren in den letzten Jahren mehrfach für Druckerprobleme, langsame Logins oder Ausfälle einzelner Anwendungen verantwortlich. Wer einmal nach einem Patch keinen Drucker mehr hatte, klickt beim nächsten Mal vorsichtiger.
- Niemand zuständig. In vielen Betrieben gibt es keine Person, die explizit für Updates verantwortlich ist. Damit liegt die Entscheidung bei jedem einzelnen Mitarbeiter – mit dem absehbaren Ergebnis, dass sich niemand zuständig fühlt.
Was die Zahlen sagen
Die Lage im Mittelstand ist messbar problematisch. Laut aktuellem BSI-Bericht erfüllen kleine und mittlere Unternehmen im Schnitt nur etwa 56 Prozent der Basisanforderungen an IT-Sicherheit. Mehr als 90 Prozent der KMU halten ihre eigene Sicherheit gleichzeitig für gut – eine Diskrepanz, die das BSI als „digitale Sorglosigkeit“ bezeichnet. Dazu kommt: Fast vier von fünf Cyberangriffen richten sich gegen KMU, nicht gegen Konzerne.
Verschärfend wirkt eine Regelung, die ab dem 11. September 2026 greift: Mit dem Cyber Resilience Act und NIS-2 müssen Hersteller und betroffene Unternehmen aktiv ausgenutzte Schwachstellen innerhalb enger Fristen an das BSI melden. Wer dann ein bekanntes Sicherheitsleck monatelang nicht patcht, hat nicht nur ein technisches Problem, sondern auch ein Compliance-Problem.
Wartungsfenster statt „später erinnern“
Die Lösung ist organisatorisch, nicht technisch. Wer Updates nicht zentral steuert, wird sie nicht eingespielt bekommen. Drei Bausteine haben sich in der Praxis bewährt:
- Feste Wartungsfenster. Statt jeden Mitarbeiter selbst entscheiden zu lassen, legt der Betrieb klare Zeiten fest – etwa donnerstags ab 18 Uhr oder am ersten Montag im Monat. Der Restart erfolgt automatisch, niemand wird tagsüber überrascht.
- Zentrale Steuerung über Gruppenrichtlinien oder Microsoft Intune. Damit lassen sich Updates für alle Geräte gemeinsam freigeben, gestaffelt ausrollen und im Fehlerfall zurückrollen.
- Monitoring. Wer nicht prüft, wird nicht wissen, ob die Updates tatsächlich auf jedem Gerät ankommen. Genau hier setzen wir bei [Managed Services](https://bavaria-informatics.com/services/#managed-services) an: Endpoint-Monitoring, Patch-Reporting, Eskalation bei abweichenden Geräten.
Eine ehrliche Einschätzung: Nicht jeder Betrieb braucht eine vollständige Patch-Pipeline mit Test-Stage und Rollback. Aber jeder Betrieb sollte wissen, welcher Rechner welchen Patch-Stand hat. Und das ist heute meist nicht der Fall.
Fazit
Die neue Update-Pause in Windows 11 ist ein bequemes Werkzeug. Für viele KMU wird sie zur Falle, weil Bequemlichkeit und Sicherheit hier auseinanderlaufen. 119 neue Schwachstellen pro Tag, 56 Prozent erfüllte Basisanforderungen und eine ab September 2026 deutlich härtere Meldepflicht – das ist kein Randthema mehr.
Was es jetzt braucht, sind klare Wartungsfenster, zentrale Steuerung und ein Blick darauf, ob die Updates auch wirklich ankommen. Wenn Sie wissen wollen, wie Ihr Patch-Management 2026 belastbar wird, ohne dass um sieben Uhr morgens jemand vor einem rebootenden Rechner steht, sprechen Sie uns an. Wir analysieren Ihre Update-Praxis in einem Erstgespräch und zeigen Ihnen, wo Sie ohne großen Aufwand das Risiko deutlich senken können – kostenfrei und ohne Fachchinesisch.
