Patch Management

Qualys: KI beschleunigt die Schwachstellensuche und setzt das Patchmanagement massiv unter Druck

, Qualys | Autor: Herbert Wieler

Qualys fordert risikobasierte Patchprozesse für KI-beschleunigte Schwachstellenforschung

Künstliche Intelligenz verändert die Kräfteverhältnisse im Schwachstellenmanagement. Automatisiertes Fuzzing, LLM-gestützte Variantensuche und skalierbare Codeanalysen decken Sicherheitslücken inzwischen schneller auf, als viele Unternehmen sie beheben können. Der außergewöhnlich umfangreiche Juli-Patchday von Microsoft zeigt, wie dringend Organisationen ihre Priorisierungs- und Patchprozesse an diese neue Geschwindigkeit anpassen müssen.

Der Microsoft-Patchday im Juli fällt ungewöhnlich umfangreich aus: Insgesamt behebt der Konzern 570 Schwachstellen. Davon werden 57 als kritisch und 510 als wichtig eingestuft.

Unter den geschlossenen Sicherheitslücken befinden sich drei Zero-Day-Schwachstellen. Zwei davon werden bereits aktiv für Angriffe ausgenutzt, eine weitere war vor der Veröffentlichung des Sicherheitsupdates öffentlich bekannt.

Besonders auffällig ist die hohe Zahl von Schwachstellen in Microsoft Edge und Chromium. Insgesamt entfallen 468 der behobenen Sicherheitslücken auf diesen Bereich. 360 davon gehen auf vorgelagerte Fehlerkorrekturen aus dem Chromium-Projekt zurück.

Drei Zero-Days erhöhen den Handlungsdruck

Zu den besonders dringlichen Schwachstellen gehört CVE-2026-50661. Die Sicherheitslücke ermöglicht es Angreifern unter bestimmten Voraussetzungen, die Schutzfunktion von BitLocker zu umgehen. Dafür ist allerdings physischer Zugriff auf das betroffene Gerät erforderlich.

Bei CVE-2026-56155 handelt es sich um eine Schwachstelle zur Rechteausweitung in den Active Directory Federation Services, kurz AD FS. Die US-amerikanische Cybersecurity and Infrastructure Security Agency hat die Lücke in ihren Katalog bekannter und aktiv ausgenutzter Schwachstellen aufgenommen. Die vorgesehene Patch-Frist endet am 28. Juli 2026.

Ebenfalls im sogenannten KEV-Katalog befindet sich CVE-2026-56164. Die Schwachstelle betrifft Microsoft SharePoint Server und kann eine nicht authentifizierte Rechteausweitung ermöglichen. Aufgrund der bereits beobachteten Ausnutzung wurde für betroffene US-Bundesbehörden eine besonders kurze Frist bis zum 17. Juli 2026 festgelegt.

Kritische Lücken in zahlreichen Microsoft-Produkten

Die kritischen Schwachstellen beschränken sich nicht auf einzelne Produktgruppen. Betroffen sind unter anderem Microsoft Copilot, Dynamics NAV, Dynamics 365 Business Central, Office, Exchange Server, Defender, SQL Server, Hyper-V und SharePoint.

Hinzu kommen mehrere sicherheitsrelevante Windows-Komponenten. Dazu gehören unter anderem TCP/IP, Reliable Multicast Transport, der Windows Print Spooler, DHCP, GDI+ und die Media Foundation.

Bei mehreren dieser Sicherheitslücken besteht das Risiko einer Remote Code Execution. Angreifer könnten dadurch Schadcode aus der Ferne auf verwundbaren Systemen ausführen. Abhängig vom jeweiligen Produkt, der Konfiguration und den Benutzerrechten kann eine erfolgreiche Ausnutzung weitreichende Folgen für ganze Unternehmensnetze haben.

Adobe schließt 89 weitere Schwachstellen

Parallel zum Microsoft-Patchday veröffentlichte Adobe zwölf Sicherheitshinweise zu insgesamt 89 Schwachstellen. 63 davon stuft das Unternehmen als kritisch ein.

Betroffen sind unter anderem ColdFusion, Illustrator, After Effects, Premiere Pro, Experience Manager und Adobe Commerce. Eine erfolgreiche Ausnutzung kann je nach Schwachstelle zur Ausweitung von Benutzerrechten, zur Umgehung von Sicherheitsmechanismen oder zur Ausführung von Schadcode führen.

Die hohe Zahl der gleichzeitig veröffentlichten Sicherheitskorrekturen macht deutlich, wie stark sich der Aufwand für IT- und Sicherheitsteams erhöht. Unternehmen müssen nicht nur immer mehr Schwachstellen bewerten, sondern gleichzeitig entscheiden, welche davon tatsächlich ein unmittelbares Angriffsrisiko darstellen.

KI findet Schwachstellen schneller als Unternehmen sie schließen

Mayuresh Dani, Security Research Manager der Qualys Threat Research Unit

Mayuresh Dani, Security Research Manager der Qualys Threat Research Unit , sieht in der steigenden Zahl entdeckter Sicherheitslücken eine erwartbare Folge leistungsfähigerer KI-Modelle.

„Dieser Trend wurde vorhergesagt, und wir sehen nun die Belege dafür“, erklärt Dani. Mit der Verfügbarkeit fortschrittlicherer und leistungsfähigerer KI-Modelle sei zunächst mit einem weiteren Anstieg entdeckter Schwachstellen zu rechnen. Erst später dürfte sich diese Entwicklung wieder verlangsamen.

Softwareanbieter reagieren bereits mit kürzeren Veröffentlichungszyklen. Adobe sei beispielsweise zu einem zweimonatlichen Rhythmus für Sicherheitsupdates übergegangen, um potenziellen Angreifern möglichst wenig Zeit für die Ausnutzung bekannter Schwachstellen zu lassen. Auch Google Chrome und Apple hätten zuletzt Patches schneller als üblich bereitgestellt.

Nach Einschätzung von Qualys sorgen vor allem drei Technologien für eine deutlich höhere Geschwindigkeit bei der Schwachstellensuche: KI-gestütztes automatisiertes Fuzzing, durch Large Language Models unterstützte Variantensuchen und statische Codeanalysen im großen Maßstab.

Diese Methoden können ähnliche Fehlerklassen automatisiert in großen Codebeständen erkennen. Dadurch lassen sich Varianten bereits bekannter Schwachstellen schneller aufspüren. Für Unternehmen entsteht jedoch ein wachsendes Missverhältnis: Die Zahl der entdeckten Sicherheitslücken steigt schneller, als interne Teams Patches prüfen, testen und ausrollen können.

CVSS allein reicht für die Priorisierung nicht mehr aus

Qualys empfiehlt Unternehmen deshalb, sich bei der Schwachstellenpriorisierung nicht mehr ausschließlich auf den CVSS-Score zu verlassen. Der Wert beschreibt zwar den theoretischen Schweregrad einer Schwachstelle, sagt jedoch nur begrenzt aus, wie wahrscheinlich eine tatsächliche Ausnutzung ist.

Stattdessen sollten Organisationen zusätzliche Risikoinformationen einbeziehen. Dazu gehören das Exploit Prediction Scoring System, kurz EPSS, der CISA-Katalog bekannter ausgenutzter Schwachstellen und Modelle zur Identifizierung wahrscheinlich bereits ausgenutzter Sicherheitslücken.

Eine Schwachstelle mit hohem CVSS-Wert muss nicht zwangsläufig das größte unmittelbare Risiko darstellen. Umgekehrt kann eine niedriger bewertete Lücke besonders gefährlich sein, wenn sie bereits aktiv ausgenutzt wird, ein System direkt aus dem Internet erreichbar ist oder der betroffene Dienst über weitreichende Berechtigungen verfügt.

Gestufte Patch-Fristen statt einheitlicher Vorgaben

Organisationen sollten nach Auffassung von Qualys gestufte Service Level Agreements für das Patchen etablieren. Dabei richtet sich die Reaktionszeit nicht nur nach dem technischen Schweregrad, sondern auch nach der tatsächlichen Angriffsaktivität und der Bedeutung des betroffenen Systems.

Schwachstellen aus dem KEV-Katalog oder Sicherheitslücken mit einem EPSS-Wert von mehr als 0,5 sollten demnach innerhalb von 24 bis 36 Stunden behoben werden.

Die nächste Prioritätsstufe sollte internetseitig erreichbare Infrastruktur mit hohen Berechtigungen umfassen. Dazu zählen beispielsweise VPN-Gateways, Identitätsdienste und Remote-Administrationskonsolen.

Die konkrete Einstufung muss jedoch an die jeweilige Organisation angepasst werden. Ein öffentlich erreichbarer SharePoint-Server kann für ein Unternehmen ein wesentlich höheres Risiko darstellen als ein verwundbares System, das ausschließlich in einem isolierten internen Netzwerk betrieben wird.

Angriffsfläche bereits vor dem Patch reduzieren

Nicht jede Sicherheitsaktualisierung kann sofort produktiv ausgerollt werden. Zwischen der Veröffentlichung eines Patches und seiner vollständigen Installation sollten Unternehmen deshalb zusätzliche Schutzmaßnahmen ergreifen.

Qualys empfiehlt, zunächst die exponierte Angriffsfläche zu reduzieren. Besonders kritisch sind aus dem Internet erreichbare AD-FS-Installationen, öffentlich zugängliche On-Premises-SharePoint-Systeme und Remote-Management-Werkzeuge, die von beliebigen Standorten erreichbar sind.

Solche Dienste sollten eingeschränkt, durch zusätzliche Zugriffskontrollen geschützt oder vorübergehend vom Internet getrennt werden. Auch Netzwerksegmentierung, Web Application Firewalls, die Deaktivierung nicht benötigter Dienste und strengere Authentifizierungsregeln können das Risiko bis zur Installation eines Patches reduzieren.

Automatisierung muss auch den Patch-Rollout erfassen

Die zunehmende Geschwindigkeit der Schwachstellensuche erfordert nicht nur bessere Priorisierung, sondern auch effizientere Rollout-Prozesse. Patches müssen sich schnell validieren lassen, ohne die Stabilität geschäftskritischer Systeme zu gefährden.

Qualys empfiehlt deshalb einen gestuften Ausrollprozess. Neue Sicherheitsupdates sollten zunächst auf einer ausgewählten Gruppe repräsentativer Systeme installiert werden. Anschließend müssen Installationserfolg, Performance und Systemstabilität automatisiert überwacht werden.

Treten Fehler auf, sollte ein automatischer Rollback möglich sein. Erst wenn ein Patch die kontrollierte Testphase erfolgreich durchlaufen hat, sollte die Freigabe für den unternehmensweiten Rollout erfolgen.

Patchmanagement wird zur Frage der Risikoorchestrierung

Der außergewöhnlich umfangreiche Juli-Patchday ist mehr als eine weitere lange Liste technischer Sicherheitslücken. Er zeigt, dass traditionelle Patchprozesse zunehmend an ihre organisatorischen Grenzen stoßen.

KI beschleunigt nicht nur Angriffe, sondern auch die legitime Sicherheitsforschung. Dadurch werden mehr Schwachstellen früher entdeckt. Gleichzeitig schrumpft das Zeitfenster zwischen Veröffentlichung, technischer Analyse und aktiver Ausnutzung.

Unternehmen benötigen deshalb einen risikobasierten, weitgehend automatisierten und technisch abgesicherten Patchprozess. Entscheidend ist nicht mehr allein, wie viele Schwachstellen geschlossen werden. Entscheidend ist, ob die tatsächlich gefährlichen Lücken schnell genug erkannt, priorisiert und behoben werden.