Über Jahre war der Windows Server Update Services (WSUS) das Standardwerkzeug, mit dem Admins im Mittelstand Windows-Updates zentral genehmigt und verteilt haben. Kostenlos, On-Premises, gut verstanden. Genau dieses Werkzeug hat Microsoft im September 2024 zum Auslaufmodell erklärt — und seitdem fragen sich Windows-Admins reihenweise: „WSUS ist tot, was nehme ich jetzt?"
Dieser Artikel richtet sich an Admins und IT-Leiter mit gemischten Client- und Server-Umgebungen, die diese Entscheidung treffen müssen, aber noch nicht anbietergebunden sind. Wir klären zuerst, was „deprecated" wirklich bedeutet, ordnen dann die Nachfolger herstellerneutral ein — Microsoft-Welt wie Drittanbieter — und verknüpfen die Auswahl mit der konkreten NIS2-Nachweispflicht.
WSUS ist deprecated — aber nicht abgeschaltet
Der häufigste Fehler in der Debatte ist die Gleichsetzung von „deprecated" und „retired". Das ist nicht dasselbe — und der Unterschied entscheidet darüber, wie viel Zeit Sie haben.
Was „deprecated seit September 2024" wirklich bedeutet
Microsoft hat WSUS am 20. September 2024 offiziell als deprecated eingestuft (Quelle: Microsoft-Ankündigung / Windows-Message-Center). Deprecated heißt: Es kommen keine neuen Features mehr, das Produkt wird nicht mehr aktiv weiterentwickelt, und Microsoft empfiehlt cloudbasierte Alternativen. Es heißt nicht, dass WSUS morgen den Dienst einstellt.
Support bis ~2035: kein Grund zum Stillstand
WSUS bleibt als bestehende Funktion erhalten und wird voraussichtlich bis etwa 2035 weiter unterstützt (Microsoft-Angabe, gerundet). Das ist eine Atempause, kein Freibrief. Wer heute noch sauber mit WSUS arbeitet, muss nicht in Panik migrieren — sollte den Umstieg aber strategisch planen, statt zu warten, bis das Tool sich technisch abgehängt anfühlt.
Klarstellung in einem Satz: WSUS ist ein Auslaufmodell (deprecated seit 20.09.2024), kein Notausstieg (nicht retired, Support bis ~2035). Sie planen den Nachfolger — Sie fliehen nicht vor einer Abschaltung.
Warum Patch-Management heute Pflicht ist, nicht Kür
Unabhängig vom WSUS-Status hat sich das Umfeld verschärft: Patch-Management ist von einer Best Practice zu einer regulatorischen und faktischen Pflicht geworden. Zwei Treiber stehen im Vordergrund.
NIS2: Patch-Management als dokumentierte Rechtspflicht
Die NIS2-Richtlinie (Art. 21 Abs. 2 lit. e) und ihre deutsche Umsetzung im BSIG (§30) verlangen von betroffenen Einrichtungen ein funktionierendes Risikomanagement — und dazu gehört ausdrücklich ein Schwachstellen- und Patch-Management. Entscheidend ist nicht nur, dass Sie patchen, sondern dass Sie es nachweisen können: Patch-Stände, behobene CVEs, Historie. Auch ISO 27001 deckt dasselbe Thema in Control A.8.8 (technische Schwachstellen) ab. Genau diese Nachweisbarkeit liefert ein modernes Patch-Tool — WSUS tut sich damit traditionell schwer.
Die Zeitfalle: vom CVE zum Exploit in wenigen Tagen
Das Zeitfenster zwischen Bekanntwerden einer Schwachstelle und ihrer aktiven Ausnutzung schrumpft. Branchenreports nennen für 2025 einen Median von rund fünf Tagen zwischen CVE-Veröffentlichung und erstem Exploit — diese Zahl ist als Schätzung aus Branchenberichten zu verstehen, nicht als amtliche Statistik. Hinzu kommt: Das BSI verzeichnet im Schnitt grob 119 neue Schwachstellen pro Tag (gerundeter Durchschnitt aus dem BSI-Lagebericht). Die Botschaft beider Zahlen ist dieselbe — manuelles, langsames Patchen reicht nicht mehr.
Die Microsoft-Welt: Intune, Autopatch, Azure Update Manager
Wer ohnehin in Microsoft 365 unterwegs ist, findet die Nachfolger im eigenen Stack. Wichtig ist die saubere Trennung von Clients und Servern — ein Tool deckt selten beides ideal ab.
Clients: Intune + Windows Autopatch
Für Clients in Entra-joined- oder hybriden M365-Umgebungen ist Microsoft Intune der natürliche WSUS-Nachfolger. Über die Windows-Update-for-Business-Richtlinien steuern Sie Update-Ringe, Fristen und Reboot-Verhalten zentral aus der Cloud. Windows Autopatch setzt darauf auf und automatisiert die Ring-basierte Verteilung weitgehend — sinnvoll für Umgebungen, die den manuellen Genehmigungsaufwand loswerden wollen.
Server: Azure Update Manager
Intune ist auf Clients ausgelegt — für klassische Windows-Server brauchen Sie etwas anderes. Microsofts Antwort hier ist der Azure Update Manager, der Server (auch On-Prem via Azure Arc) zentral mit Update-Zeitplänen und Compliance-Reporting versorgt. Wer Server und Clients rein in der Microsoft-Welt patchen will, kombiniert also typischerweise Intune/Autopatch für Endgeräte mit dem Azure Update Manager für Server.
Praxisbeispiel: Ein KMU mit ~60 Windows-Clients, ohne Server-Park vor Ort, bereits in M365: Umstieg auf Intune + Windows Autopatch, WSUS-Abschaltung erst nach einer Phase des Parallelbetriebs. Kein Server-Tool nötig, weil keine On-Prem-Server zu patchen waren.
Drittanbieter im Vergleich: Action1, NinjaOne, Automox, ManageEngine
Nicht jede Umgebung ist sauber M365-joined. Off-Domain-Geräte, Field-Notebooks, gemischte Landschaften oder Drittanbieter-Software (Adobe, Browser, Java) sind die Domäne spezialisierter Patch-Tools. Vier sind im Mittelstand relevant:
- Action1: Cloud-natives Patch-Management inklusive Drittanbieter-Apps. Bis 200 Endpoints kostenlos (laut Action1-Lizenzangaben) — für kleine Umgebungen die ernsthafteste Gratis-Option.
- NinjaOne: RMM-Plattform mit starkem Patch-Modul, beliebt bei MSPs und gemischten Landschaften, Reporting inklusive.
- Automox: Cloud-first, plattformübergreifend (Windows, macOS, Linux), gut für verteilte und Off-Domain-Geräte.
- ManageEngine Patch Manager Plus: Deckt OS- und Drittanbieter-Patches breit ab, On-Prem oder Cloud, granulares Reporting.
| Tool | Scope | Cloud nötig | Preis/Endpoint (ca.) | Reporting / NIS2 |
|---|---|---|---|---|
| Intune | Clients | Ja | Teil M365-Lizenz | Gut |
| Windows Autopatch | Clients | Ja | In M365 E3/E5 | Gut |
| Azure Update Manager | Server | Ja (Arc) | Nutzungsbasiert | Gut |
| Action1 | Client + Server + 3rd-Party | Ja | 0 € bis 200 Endpoints | Gut |
| NinjaOne | Client + Server + 3rd-Party | Ja | ~2–5 € | Sehr gut |
| Automox | Client + Server + 3rd-Party | Ja | ~3–5 € | Gut |
| ManageEngine | Client + Server + 3rd-Party | Optional | ~2–4 € | Sehr gut |
Die Preisangaben sind eine grobe Marktspanne von rund 2–5 € pro Endpoint und Monat und hängen stark von Funktionsumfang und Volumen ab — als Orientierung, nicht als Angebot zu verstehen.
Entscheidungsmatrix: Welcher Nachfolger zu welcher Umgebung passt
Die wichtigste Erkenntnis vorweg: Es gibt nicht den einen WSUS-Nachfolger, sondern den passenden für Ihre Umgebung. Diese Matrix bringt Ordnung in die Auswahl:
| Umgebung | Empfohlener Nachfolger | Warum |
|---|---|---|
| Rein M365 / Entra-joined | Intune + Windows Autopatch | Im Stack enthalten, kein Zusatztool |
| Hybrid AD (Clients + Server) | Intune (Clients) + Azure Update Manager (Server) | Saubere Trennung Client/Server |
| Reine On-Prem-Server | Azure Update Manager (via Arc) oder Drittanbieter | WSUS-Ersatz speziell für Server |
| Off-Domain / Field-Geräte | Action1 / Automox / NinjaOne | Cloud-Agent ohne Domänenzwang |
| Budget-getrieben, ≤200 Endpoints | Action1 (kostenlos) | Gratis inkl. Drittanbieter-Apps |
Praxisbeispiel gemischte Landschaft: Ein Mittelständler mit ~150 Endpoints, 12 Servern, On-Prem plus AVD setzte auf Action1 für gemischte und Off-Domain-Geräte plus Azure Update Manager für die Server — ein pragmatischer Mix statt reinem Microsoft-Stack. Genau diese Kombination klären wir im IT-Check auf.
NIS2-Anforderung → Nachweis im Patch-Tool
| NIS2-/A.8.8-Anforderung | Nachweis im Patch-Tool |
|---|---|
| Schwachstellen erkennen | CVE-/Schwachstellen-Scan im Dashboard |
| Patches zeitnah einspielen | Update-Ringe mit Fristen, Deployment-Log |
| Nachweisbarkeit | Patch-Stand-Historie, Compliance-Report |
| Ausnahmen dokumentieren | Exclusions mit Begründung im Tool |
Migrationsfahrplan von WSUS zum Nachfolger
Die größte Gefahr beim Umstieg ist nicht die Tool-Auswahl, sondern die Patch-Lücke während der Umstellung. Wer WSUS abschaltet, bevor der Nachfolger sauber greift, reißt genau das Loch auf, das NIS2 schließen will. Ein sicherer Fahrplan vermeidet das:
- 1. Inventarisieren: Welche Geräte sind Entra-joined, hybrid, Off-Domain? Welche Server, welche Drittanbieter-Software?
- 2. Tool wählen: Anhand der Entscheidungsmatrix Client- und Server-Welt sauber zuordnen.
- 3. Pilot: Eine Teilmenge auf den Nachfolger umstellen, Reporting und Reboot-Verhalten validieren.
- 4. Parallelbetrieb: WSUS und Nachfolger eine definierte Zeit parallel laufen lassen — keine Lücke.
- 5. Cutover: WSUS erst abschalten, wenn der Nachfolger lückenlos berichtet.
Managed Patch-Management als Option
Ehrlich: In der Praxis ist nicht das Tool das Problem, sondern der dauerhafte, dokumentierte Betrieb — genau hier scheitern WSUS-Nachfolger oft. Ein Tool einzuführen ist schnell gemacht; jeden Patch-Tuesday auszuwerten, Ausnahmen zu begründen, fehlgeschlagene Deployments nachzuziehen und audit-feste Reports vorzuhalten, ist die eigentliche Arbeit.
Wir betreiben Patch-Management als Managed Service mit nachweisbarem Reporting, das NIS2- und ISO-27001-Audits standhält. Unsere Empfehlung für die meisten KMU: reine M365-Umgebungen mit Intune/Autopatch, gemischte Landschaften mit einem schlanken Drittanbieter — kein Tool-Zoo. Mehr dazu unter Managed IT.
Fazit und Empfehlung
„WSUS ist tot" ist die halbe Wahrheit: deprecated seit dem 20.09.2024, aber unterstützt bis etwa 2035. Sie haben Zeit — aber keinen Grund, zu warten, denn NIS2 und die schrumpfende Zeit vom CVE zum Exploit machen dokumentiertes Patch-Management ohnehin zur Pflicht.
Die Empfehlung ist keine Produktreligion, sondern eine Einordnung: Reine M365-Umgebungen nehmen Intune plus Autopatch, ergänzt um den Azure Update Manager für Server. Gemischte oder Off-Domain-Landschaften fahren mit einem schlanken Drittanbieter besser — und für ≤200 Endpoints ist Action1 kostenlos eine ernsthafte Option. Entscheidend ist am Ende nicht das Logo auf dem Dashboard, sondern dass am Patch-Tuesday jemand draufschaut und es nachweisbar dokumentiert ist.
Häufige Fragen
Wird WSUS abgeschaltet?
Nein, nicht kurzfristig. WSUS ist seit dem 20.09.2024 deprecated (keine neuen Features), bleibt aber voraussichtlich bis etwa 2035 unterstützt. Es ist ein Auslaufmodell, kein Notausstieg.
Reicht Intune als WSUS-Ersatz?
Für Clients in M365-/Entra-Umgebungen ja, idealerweise mit Windows Autopatch. Für klassische Server brauchen Sie zusätzlich Azure Update Manager oder ein Drittanbieter-Tool.
Gibt es einen kostenlosen Nachfolger?
Action1 ist bis 200 Endpoints kostenlos und deckt auch Drittanbieter-Apps ab — für kleine Umgebungen eine ernsthafte Option.
Was verlangt NIS2 beim Thema Patches?
Sinngemäß: ein funktionierendes, dokumentiertes Schwachstellen- und Patch-Management. Entscheidend ist die Nachweisbarkeit — also lückenlose Reports über Patch-Stände und behobene CVEs.
Wie viel kostet ein Drittanbieter-Tool?
Marktüblich grob 2–5 € pro Endpoint und Monat, je nach Funktionsumfang und Volumen.