WSUS EOL: Warum das Patch-Management jetzt die Architektur wechseln muss
Im September 2024 hat Microsoft Fakten geschaffen: Die Windows Server Update Services (WSUS) werden nicht weiterentwickelt. Das ist kein Grund zur Panik – der Dienst bleibt im Windows Server 2025 enthalten und wird voraussichtlich noch ein Jahrzehnt funktionieren – aber es ist ein klares Signal. Wer heute IT-Strategien plant, darf nicht mehr auf WSUS setzen. Die Zukunft des Patch-Managements ist nicht mehr serverbasiert, sondern cloud-native.
Für die meisten unserer Kunden, die hybride Infrastrukturen betreiben, rückt damit eine Kombination in den Fokus, die bisher oft als reine „Cloud-Lösung“ abgetan wurde: Azure Update Manager in Verbindung mit Azure Arc.
Vom lokalen Dienst zur Ressourcen-Steuerung
Der fundamentale Unterschied liegt in der Architektur. WSUS war ein lokaler Verteilmechanismus. Der Azure Update Manager hingegen betrachtet Updates nicht als isolierten Task, sondern das gesamte System als Ressource – egal, ob es im eigenen Rechenzentrum steht, bei einem Hoster läuft oder in Azure.
Azure Arc fungiert hier als Brücke. Es projiziert lokale Windows- und Linux-Server in das Azure-Portal. Das Ergebnis ist keine simple „Fernsteuerung“, sondern eine Vereinheitlichung der Management-Ebene. Admins sehen in einem einzigen Dashboard den Compliance-Status der gesamten Flotte, ohne zwischen VPNs, Konsolen oder Standorten wechseln zu müssen.
Der technische Mehrwert jenseits von „Updates installieren“
Warum lohnt sich der Wechsel, wenn der WSUS doch noch läuft? Weil Microsoft neue Features exklusiv in die Cloud verlagert. Wer beispielsweise Wartungsfenster minimieren muss, profitiert massiv vom Hotpatching (in Verbindung mit Azure Edition VMs). Sicherheitsupdates werden im laufenden Betrieb in den Speicher des Kernels injiziert – ohne Reboot. Das erhöht die Uptime drastisch. Zudem lassen sich über Azure Policy Governance-Vorgaben zentral durchsetzen. Man definiert einmal den gewünschten Sicherheitsstandard, und das System meldet Abweichungen automatisch, egal wo der Server physikalisch steht. Das vereinfacht Audits erheblich.
Die Kehrseite: Kosten, Netzwerk und Drittanbieter
Ein Wechsel erfordert jedoch eine ehrliche Bestandsaufnahme, denn der Azure Update Manager ist keine 1:1-Kopie des WSUS.
- Lizenzierung: Während WSUS keine expliziten Lizenzkosten verursachte, berechnet Microsoft für Arc-angebundene Server im Update Manager ca. 5 US-Dollar pro Server und Monat (Azure VMs bleiben kostenfrei). In vielen Szenarien lässt sich dies über bestehende Defender-for-Servers-Pläne oder Software Assurance Benefits kompensieren, doch es muss kalkuliert werden.
- Netzwerk-Topologie: Azure Arc benötigt eine stabile ausgehende Verbindung (https/443). In stark abgeschotteten OT- oder RZ-Umgebungen bedeutet das Arbeit an Proxys und Firewalls.
- 3rd Party Apps: Hier bleibt eine Lücke. Der Fokus liegt strikt auf Microsoft-Produkten und Linux-Distros. Wer Adobe, Chrome oder Java zentral patchen muss, benötigt weiterhin ergänzende Tools wie NinjaOne oder MECM.
- Altlasten: Der Azure Update Manager übernimmt nicht die Kontrolle, solange alte WSUS-GPOs noch aktiv auf den Clients liegen. Ein sauberes „Entrümpeln“ der Gruppenrichtlinien ist Pflicht für die Migration.
Einschätzung für die Praxis
Microsoft zwingt niemanden zum sofortigen Wechsel, aber sie machen den Verbleib auf WSUS unattraktiv. Die Plattform stagniert. Für Unternehmen mit hybrider IT ist der Azure Update Manager via Arc daher die logische Evolution. Die Vorteile bei Transparenz, Compliance-Reporting und neuen Features wie dynamischen Zeitplänen überwiegen den Konfigurationsaufwand und die moderaten Kosten deutlich.
Mein Rat an IT-Verantwortliche: Nutzen Sie die Zeit, solange der WSUS noch läuft, um Erfahrungen mit Azure Arc zu sammeln. Starten Sie mit einer unkritischen Server-Gruppe, testen Sie die Policy-Steuerung und das Onboarding. Wenn der WSUS dann endgültig zum Sicherheitsrisiko wird, haben Sie Ihre Prozesse längst modernisiert.
