Windows Server · Lifecycle · Patch-Compliance

Die Lifecycle-Falle 2026/2027

Windows Server 2022 verlässt den Mainstream-Support – und Hotpatching ist nur ein Pflaster, kein Freifahrtschein

Support-Lifecycle klingt nach Verwaltung, ist aber ein Security-Thema: Sobald ein Produkt aus dem Support fällt, gibt es keine Sicherheitsupdates mehr – und damit eine offene Flanke, die in jedem NIS2- oder ISO-27001-Audit als Befund landet. Aktuell verschieben sich gleich mehrere Eckdaten, die man im Bestand kennen muss.

Die Termine, die jetzt zählen

Server 2022 – Mainstream-Ende

Windows Server 2022 fällt im Oktober 2026 aus dem Mainstream-Support. Danach nur noch Extended Support (Sicherheitsfixes, keine Funktionsupdates).

Hotpatching-Verlängerung

Die Datacenter Azure Edition von Server 2022 erhält Hotpatching-Updates bis Oktober 2027 – bemerkenswert, weil das Produkt schon 2026 aus dem Mainstream fällt.

Server 23H2 ist bereits raus

Windows Server 23H2 (Annual Channel) ist seit Mai 2026 aus dem Support. Wer hier noch produktiv läuft, hat akuten Handlungsbedarf.

Server 2025 als Zielbild

Der LTSC-Nachfolger ist gesetzt – aber Migrationen brauchen Vorlauf, gerade bei DCs und gemischten Funktionsebenen.

Was Hotpatching wirklich bedeutet

Hotpatching erlaubt das Einspielen vieler Sicherheitsupdates ohne Reboot – auf Basis einer Baseline, die quartalsweise per regulärem Update neu gesetzt wird. Der Reiz ist offensichtlich: weniger Wartungsfenster, höhere Verfügbarkeit. Aber:

⚠ Missverständnis

Hotpatching verlängert nicht den Produkt-Lifecycle. Es reduziert Reboots innerhalb eines Support-Zeitraums – es ersetzt keine Migration. Und es ist an konkrete Editionen/Plattformen gebunden, nicht generell verfügbar. Wer Hotpatching mit „wir sind versorgt“ verwechselt, baut technische Schulden auf.

Warum das ein Compliance-Thema ist

Für NIS2-betroffene Organisationen und ISO-27001-Umgebungen ist der Patch- und Support-Stand ein nachweispflichtiges Element. Drei Punkte, die im Audit regelmäßig auffallen:

✓ Vollständiges Inventar aller Server samt Edition, Build und Channel – nicht nur „Server 2022“, sondern LTSC vs. Annual Channel vs. Azure Edition.
✓ EOL-Datum pro System dokumentiert, mit Restlaufzeit und geplantem Migrationsfenster.
✓ Patch-Level-Nachweis je Patch-Tuesday – inkl. bewusster Ausnahmen mit Restrisiko-Begründung.
✓ Hotpatch-Status transparent: Welche Systeme laufen im Hotpatch-Zyklus, wann steht die nächste Baseline an?

ℹ Praxis-Tipp

Behandeln Sie EOL-Termine wie CVEs: mit Fälligkeitsdatum, Verantwortlichem und Ticket. Ein Server ohne Support ist faktisch eine bekannte, dauerhaft offene Schwachstelle – nur ohne CVE-Nummer.

Fazit

Hotpatching ist eine willkommene Erleichterung, aber kein Ersatz für eine saubere Lifecycle-Planung. Wer 2026/2027 nicht überrascht werden will, braucht ein lückenloses Bild aus Patch-Stand und Support-Restlaufzeit. Der ISW Windows Patch Compliance Analyzer liefert genau das – mit Patch-Tuesday-Übersicht, Treiber-Filter und BSI-IT-Grundschutz-Bezug, ergänzt um die Lifecycle-Sicht auf Ihren Serverbestand.

Mehr zu den ISW-Tools unter isw-adtools.de.