Von 63 Tagen auf Stunden: Die neue Realität der Schwachstellenforschung

Die Zeit, um Sicherheitslücken auszunutzen, schrumpft dramatisch – von Wochen auf Stunden. Neue KI-Modelle wie OpenAIs GPT-5.4-Cyber verschieben die Spielregeln der Cybersecurity fundamental. Wer jetzt nicht von Erkennung auf verifizierte Behebung in Echtzeit umstellt, verliert den Anschluss.

Melissa Bischoping, Head of Threat Research & Intelligence bei Tanium , ordnet beide Entwicklungen ein.

Die Ökonomie der Vulnerability Discovery steht vor einem Wendepunkt. Mit GPT-5.4-Cyber und dem kurz darauf veröffentlichten GPT-5.5 demonstriert OpenAI eindrucksvoll, wie schnell KI-gestützte Sicherheitsanalyse reift.

Entscheidend ist dabei nicht, dass KI Schwachstellen findet – sondern wie zuverlässig, schnell und skalierbar sie es inzwischen tut. Was früher Wochen oder Monate intensiver manueller Arbeit erforderte – inklusive Reverse Engineering und Proof-of-Concept-Entwicklung – wird zunehmend automatisiert.

Der Engpass verschiebt sich: Hochqualifizierte Sicherheitsexperten müssen sich nicht mehr mit Routinearbeit aufhalten, sondern können sich auf kritische Schwachstellen konzentrieren.

KI stärkt Offensive und Defensive zugleich

Diese Entwicklung bringt jedoch eine doppelte Dynamik mit sich. Technologien, die Verteidigern helfen, stärken gleichzeitig auch Angreifer. Organisationen wie Anthropic und OpenAI reagieren darauf mit kontrollierten Zugangsmodellen:

• OpenAIs „Trusted Access for Cyber“ (TAC)
• Anthropics „Glasswing “-Programm rund um das Modell Mythos

Ziel: Früher Zugang für defensive Akteure, bevor vergleichbare Fähigkeiten unkontrolliert verbreitet werden. Noch sind diese Ansätze nicht perfekt – aber sie markieren einen wichtigen Paradigmenwechsel hin zu kollaborativer Cyberabwehr.

Mythos zeigt: Exploit-Entwicklung verliert ihren Engpass

Ein besonders eindrucksvolles Beispiel liefert das Modell Mythos von Anthropic. Die Erfolgsquote bei bestimmten Angriffsszenarien sprang von nahezu null auf rund 72 Prozent – bei identischen Zielsystemen. Diese Entwicklung signalisiert: Exploit-Entwicklung ist kein hochspezialisiertes Nadelöhr mehr, sondern wird zunehmend zugänglich und reproduzierbar. Gleichzeitig schrumpft der Abstand zwischen geschlossenen Frontier-Modellen und frei verfügbaren Open-Weight-Modellen rapide – von über einem Jahr auf wenige Wochen. Das bedeutet: Leistungsfähige, aber potenziell ungesicherte KI-Systeme könnten schon bald breit verfügbar sein.

Das neue Bedrohungsbild: Geschwindigkeit schlägt alles

Die vielleicht gravierendste Veränderung betrifft die Zeitachse:

• Vor 5 Jahren: ~63 Tage zwischen Disclosure und Exploit
• 2024: teils nur noch 5 Tage
• Zukunft: Stunden statt Tage sind realistisch

Diese Entwicklung stellt bestehende Sicherheitsstrategien infrage. Patch-Zyklen im Wochen- oder Monatsrhythmus stammen aus einer Zeit, in der Cyberangriffe rein menschlich skalierten.

Heute gilt: Angriffe operieren in Maschinen-Geschwindigkeit.

Unsichtbare Risiken durch Open-Weight-Modelle

Besonders kritisch ist die Aussicht auf weniger regulierte Modelle. Während Anthropic erhebliche Ressourcen in Sicherheitsmechanismen und Alignment investiert hat, ist nicht garantiert, dass andere Anbieter diesen Standards folgen. In den nächsten 6 bis 18 Monaten ist mit der Verbreitung vergleichbarer Fähigkeiten in offenen Modellen zu rechnen – ohne integrierte Schutzmechanismen. Das erhöht das Risiko für die Stabilität digitaler Infrastrukturen erheblich.

Das eigentliche Problem: Nicht Erkennung, sondern Umsetzung Technologisch sind viele Unternehmen bereits in der Lage, Schwachstellen zu identifizieren. Die eigentliche Schwäche liegt woanders:

Operationalisierung und verifizierte Remediation

Viele Organisationen wissen:

• wo ihre Schwachstellen sind

Aber nicht:

• ob Patches wirklich überall erfolgreich umgesetzt wurden

Hinzu kommt ein strukturelles Problem bei der National Vulnerability Database: Fast die Hälfte aller gemeldeten Schwachstellen verbleibt im Status „awaiting analysis“. Diese Lücke zwischen Entdeckung, Analyse und tatsächlicher Behebung ist heute der kritischste Risikofaktor.

Neue Mindestanforderung: Echtzeit-Resilienz

Im KI-Zeitalter reicht es nicht mehr aus, Schwachstellen zu erkennen oder Reports zu erstellen. Entscheidend ist:

• Kontinuierliche Transparenz über Systeme
• Echtzeit-Validierung von Patches
• Nachweisbare Wirksamkeit von Maßnahmen

Der Wettbewerbsvorteil verschiebt sich: Nicht wer Schwachstellen zuerst entdeckt, gewinnt – sondern wer ihre Behebung lückenlos nachweisen kann.

Fazit: Cybersecurity wird zur Echtzeit-Disziplin

Die Geschwindigkeit der KI-Entwicklung wird weiter zunehmen. Unternehmen haben ein Zeitfenster von vielleicht 6 bis 18 Monaten, um ihre Sicherheitsarchitektur grundlegend anzupassen. Wer weiterhin auf klassische Prozesse setzt, wird strukturell unterlegen sein – unabhängig davon, wie viele Tools oder Reports im Einsatz sind. Die neue Realität: Cybersecurity ist keine Analyse-Disziplin mehr. Sie ist eine Echtzeit-Operationsaufgabe.