macOS-Update-Management: Strategien, die wirklich funktionieren

Apple veröffentlicht macOS-Updates nach eigenem Zeitplan, nicht nach Ihrem. Grosse Versionen erscheinen jährlich im Herbst. Kleinere Point-Releases (15.1, 15.2) kommen alle 4-8 Wochen. Sicherheitspatches und Rapid Security Responses erscheinen bei Bedarf — manchmal wöchentlich bei aktiven Exploit-Kampagnen. Jedes Update kann potenziell Geschäftsanwendungen, VPN-Clients oder Druckertreiber beeinträchtigen. IT-Teams stehen vor einem ständigen Balanceakt: Zu schnell verteilen riskiert Arbeitsunterbrechungen, zu langsam verteilen lässt Geräte anfällig für bekannte Schwachstellen. Das Ziel ist ein systematischer Ansatz, der beide Risiken minimiert.

Teilen Sie Ihre Flotte in drei Gruppen auf. Die Canary-Gruppe (5-10% der Geräte, typischerweise IT-Personal und freiwillige Frühadoptierer) erhält Updates innerhalb von 24-48 Stunden nach Veröffentlichung. Beobachten Sie 3-5 Arbeitstage lang auf Probleme. Die frühe Mehrheit (40-50%) erhält Updates nach einer problemfreien Canary-Phase. Die restlichen Geräte (40-50%) aktualisieren in der Folgewoche. Dieser Ansatz fängt Kompatibilitätsprobleme — ein defekter VPN-Client, eine abstürzende Fachanwendung — ab, bevor sie Ihre gesamte Organisation betreffen. Ihr MDM unterstützt dies über Smart Groups oder Geräte-Tags. Managed-Service-Anbieter setzen diesen Ansatz standardmässig um.

Die schlechteste Update-Strategie ist «Benutzer erinnern und hoffen». Die zweitschlechteste ist «Freitag um 2 Uhr morgens zwangsinstallieren». Beide verursachen Probleme. Modernes Update-Enforcement gibt Benutzern eine Frist mit zeitlicher Flexibilität. Tools wie Nudge (Open-Source) oder die integrierte Update-Verwaltung Ihres MDM zeigen zunehmend dringliche Benachrichtigungen, je näher die Frist rückt. Benutzer wählen selbst, wann sie installieren — in der Mittagspause, am Feierabend oder vor einer Sitzungspause. Nach Ablauf der Frist installiert sich das Update automatisch. So wird die Eigenverantwortung der Benutzer respektiert und gleichzeitig Compliance sichergestellt. Empfohlene Fristen nach Update-Typ: 7 Tage für Sicherheitspatches, 14 Tage für Minor-Updates, 30 Tage für grosse OS-Upgrades.

Apple hat Rapid Security Responses in macOS Ventura als kleine, gezielte Patches für aktiv ausgenutzte Schwachstellen eingeführt. Sie installieren sich schnell, erfordern in den meisten Fällen keinen Neustart und können bei Problemen rückgängig gemacht werden. Bündeln Sie diese nicht mit regulären Updates. Verteilen Sie RSRs so schnell wie möglich über MDM an alle Geräte — sie existieren, weil eine Schwachstelle aktiv in freier Wildbahn ausgenutzt wird. Ihr MDM sollte eine automatische Verteilungsrichtlinie für RSRs haben, die keine manuelle Genehmigung erfordert.

Jedes Update sollte gegen Ihre kritischen Anwendungen getestet werden, bevor es flottenweit verteilt wird. Pflegen Sie eine Liste essentieller Anwendungen: VPN-Clients, branchenspezifische Software, browserbasierte Fachanwendungen, Druck- und Scan-Tools sowie Videokonferenz-Software. Testen Sie jede davon auf Ihren Canary-Geräten. Für grosse OS-Upgrades planen Sie 2-4 Wochen Testzeit ein. Automatisieren Sie, was möglich ist — geskriptete Anwendungstests sparen Stunden gegenüber manueller Prüfung. Dokumentieren Sie bekannte Probleme und Workarounds, bevor Sie Updates in die Produktionsgruppen übernehmen.

Jedes MDM behandelt Update-Management unterschiedlich. Jamf Pro bietet Software-Update-Richtlinien mit Verzögerungsfenstern, Nudge-Integration und Smart-Group-Targeting. Microsoft Intune bietet Update-Ringe mit gestaffelten Bereitstellungsplänen. Iru (ehemals Kandji) enthält integriertes Update-Enforcement mit fristbasierter Installation. Unabhängig von der Plattform konfigurieren Sie: erlaubte Update-Verzögerung, erzwungener Installationszeitpunkt, Benachrichtigungsfrequenz und -text, Neustart-Kulanzzeit sowie Reporting zum Update-Compliance-Stand der Flotte. Brauchen Sie Hilfe bei der Konfiguration? Unser Implementierungsteam hat diese Strategien auf allen grossen Plattformen umgesetzt.