Geschwindigkeit schlägt Perfektion: Die neue Realität der Schwachstellenbekämpfung

Die Spielregeln der IT-Sicherheit haben sich verschoben – und zwar grundlegend. Das zeigt die aktuelle Studie „The Broken Physics of Remediation “ der Threat Research Unit (TRU) von Qualys. Auf Basis von mehr als einer Milliarde ausgewerteter Datensätze aus über 10.000 Unternehmen weltweit zeichnet sie ein klares Bild: Die Geschwindigkeit moderner Cyberangriffe hat traditionelle Sicherheitsprozesse längst überholt. Was früher als ausreichend galt – manuelle Analyse, priorisierte Ticketbearbeitung, schrittweises Patchen – wirkt heute zunehmend wie ein Relikt aus einer langsameren Zeit. Denn während Unternehmen noch reagieren, sind Angreifer oft schon einen Schritt weiter.

Angriffe beginnen, bevor Schwachstellen bekannt sind

Besonders alarmierend ist ein Befund: Die durchschnittliche „Time-to-Exploit“ liegt mittlerweile bei minus einem Tag. Mit anderen Worten: Schwachstellen werden häufig bereits ausgenutzt, bevor sie überhaupt öffentlich dokumentiert sind. Gleichzeitig explodiert die schiere Menge an Sicherheitslücken. Innerhalb von nur drei Jahren stieg die Zahl behobener Schwachstellen von 73 Millionen auf 473 Millionen – ein Plus um das 6,5-Fache. Für Sicherheitsteams bedeutet das: Die Flut an Aufgaben überrollt jede manuelle Bearbeitung.

Die Konsequenz ist sichtbar: 63 Prozent der kritischen Schwachstellen bleiben auch eine Woche nach ihrer Entdeckung ungepatcht – mehr als noch 2022. Klassische Prozesse kommen schlicht nicht mehr hinterher.

Neue Kennzahlen für eine neue Realität

Um diese Dynamik besser zu erfassen, führt Qualys eine neue Metrik ein: das „Average Window of Exposure“ (AWE). Sie misst nicht nur, wie lange eine Schwachstelle offen ist, sondern den Zeitraum zwischen tatsächlicher Ausnutzung und Behebung – also das reale Risiko.

Die Zahlen sind ernüchternd:

• 85 % der Systeme sind bei Veröffentlichung noch ungepatcht
• 33 % bleiben nach drei Wochen verwundbar
• selbst nach 90 Tagen sind noch 12 % exponiert

Hinzu kommt die wachsende Bedeutung von Zero-Day-Angriffen. In der Studie wurden 52 aktiv ausgenutzte Schwachstellen analysiert – die Hälfte davon wurde bereits vor ihrer öffentlichen Bekanntmachung attackiert, teils über Monate hinweg.

Weniger ist mehr: Warum Priorisierung entscheidend wird

Ein überraschender, aber zentraler Befund: Nur ein Bruchteil aller Schwachstellen ist tatsächlich kritisch. Von über 48.000 gemeldeten Lücken im Jahr 2025 waren lediglich 357 aktiv ausnutzbar. Das Problem ist also nicht nur die Menge – sondern die falsche Fokussierung. Hier kommen automatisierte und KI-gestützte Ansätze ins Spiel. Systeme wie „Agent Val“ analysieren in Echtzeit, ob eine Schwachstelle tatsächlich ausnutzbar ist, und helfen Teams, ihre Ressourcen gezielt einzusetzen. Statt theoretischen Risiken hinterherzulaufen, rücken reale Bedrohungen in den Mittelpunkt. Besonders im Fokus: sogenannte Edge-Systeme – also Firewalls, VPNs und Gateways. Sie bieten Angreifern den direktesten Zugang und tragen damit ein überproportional hohes Risiko.

Fazit: Geschwindigkeit schlägt Perfektion

Die Studie macht deutlich: Die „Physik“ der Cyberabwehr hat sich verändert. Geschwindigkeit ist heute der entscheidende Faktor – nicht Vollständigkeit. Unternehmen, die weiterhin auf manuelle Prozesse setzen, laufen Gefahr, dauerhaft hinterherzuhinken. Die Zukunft gehört automatisierten, KI-gestützten und risikobasierten Sicherheitsstrategien, die Angriffe nicht nur erkennen, sondern ihnen zeitlich voraus sein können. Oder anders gesagt: In einer Welt, in der Angriffe schon beginnen, bevor Schwachstellen bekannt sind, zählt jede Sekunde.