Wachsende Bedrohung: CISA KEV-Schwachstellen im Fokus
Die Liste der “Known Exploited Vulnerabilities” (KEV), veröffentlicht von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), steht seit Jahren im Zentrum internationaler Cybersicherheitsbemühungen. Mit dem Ziel, besonders kritisch ausgenutzte Schwachstellen zu identifizieren, bietet das KEV-Programm Unternehmen eine Orientierungshilfe für priorisierte Schutzmaßnahmen. Doch aktuelle Analysen offenbaren gravierende Defizite: Trotz massiver Anstrengungen gelingt es Unternehmen immer seltener, die steigende Zahl und Geschwindigkeit von Angriffen wirksam einzudämmen. Ein neuer Forschungsbericht, der mehr als eine Milliarde Remediationsdaten auswertet, deutet auf strukturelle Probleme hin, die IT-Sicherheitsverantwortliche vor völlig neue Herausforderungen stellen.
Analysedaten offenbaren strukturelle Engpässe
Wer einen Blick in die tägliche Praxis wirft, erkennt schnell: IT-Abteilungen weltweit kämpfen mit einer Flut an Schwachstellenmeldungen. Die CISA-KEV-Liste ist dabei nur die Spitze des Eisbergs. Eine Untersuchung des Qualys Threat Research Unit, die sich über die vergangenen vier Jahre erstreckt, hat Zahlen von rund 10.000 Organisationen zusammengetragen und ausgewertet. Das Ergebnis ist ernüchternd. Zwar konnten Teams 6,5-mal mehr Tickets schließen als in der Vergangenheit. Dennoch ist der Anteil an kritischen Schwachstellen, die nach sieben Tagen noch offenbleiben, von 56 Prozent auf 63 Prozent gestiegen (BleepingComputer).
Besonders alarmierend ist die Geschwindigkeit, mit der Angreifer neue Schwachstellen ausnutzen. Der sogenannte “Time-to-Exploit” liegt im Durchschnitt bereits bei minus sieben Tagen – das heißt, viele Schwachstellen werden ausgenutzt, bevor überhaupt ein Patch zur Verfügung steht. In der Praxis bedeutet das: Unternehmen reagieren oftmals zu spät, selbst wenn sie direkt nach einer öffentlichen Bekanntmachung handeln. Betrachtet man 52 besonders gefährliche Schwachstellen aus der Studie, so wurden 88 Prozent davon schneller ausgenutzt als die Unternehmen sie beheben konnten. Als Beispiele nennt der Bericht die Lücken Spring4Shell und Cisco IOS XE, die jeweils mehrere Monate bis zur vollständigen Behebung in Anspruch nahmen – obwohl Angreifer bereits wenige Tage nach oder sogar vor der Entdeckung aktiv wurden.
Der Bericht spricht vom sogenannten “Human Ceiling”: Dem strukturellen Limit, das durch menschliche Kapazitäten und traditionelle Prozesse gesetzt ist. Selbst mit mehr Personal und erhöhter Arbeitsleistung lässt sich dieses Limit nicht überwinden.
Veränderte Risikomessung und Automatisierung als Ausweg?
Die Studie fordert ein radikales Umdenken bei der Bewertung und dem Management von IT-Risiken. Klassische Modelle, die auf das bloße Zählen von Schwachstellen (CVE) und schnelle Patchzyklen setzen, greifen laut Analyse zu kurz. Stattdessen sollten Unternehmen die “kumulative Exposition” im Blick behalten – also die Gesamtheit aller Risiken, multipliziert mit der Dauer ihrer Wirksamkeit.
Ein weiteres zentrales Problem ist der sogenannte “Manual Tax”: Viele Schwachstellen werden in der Praxis trotz hoher Priorisierung nicht zeitnah beseitigt, weil manuelle Prozesse zu langsam sind. Besonders bei komplexen Infrastruktursystemen ziehen sich Remediation-Prozesse in die Länge. So dauerte es im Schnitt 263 Tage, eine Schwachstelle in Cisco IOS XE zu schließen, während die Angreifer einen ganzen Monat Vorsprung hatten.
Darüber hinaus zeigt sich, dass Unternehmen häufig wertvolle Ressourcen auf die Behebung rein theoretischer Schwachstellen verwenden, während tatsächlich ausgenutzte Lücken länger offen bleiben. Von über 48.000 im Jahr 2025 neu gemeldeten Schwachstellen waren nur 357 tatsächlich remote ausnutzbar und aktiv weaponisiert (The Hacker News). Die Diskrepanz zwischen wahrgenommenem und realem Risiko wird somit zunehmend zum Problem.
Um dieser Entwicklung zu begegnen, empfehlen Fachleute einen Paradigmenwechsel: Weg vom reinen “Scan-and-Report”-Ansatz hin zu automatisierten, KI-gestützten Prozessen. Das Ziel ist die Etablierung von “Risk Operations Centers”, die Bedrohungen in Echtzeit erkennen, das tatsächliche Risiko für die jeweilige Umgebung bewerten und automatische Gegenmaßnahmen einleiten können. Der Mensch soll nicht ersetzt, sondern entlastet und auf strategische Entscheidungen fokussiert werden.
Fazit und Ausblick
Die aktuellen Analysen machen deutlich: Die IT-Sicherheitsbranche steht an einem Scheideweg. Die Geschwindigkeit und das Volumen von Angriffen, die sich zunehmend durch den Einsatz autonomer KI-Agenten verstärken, stellen das traditionelle, personenzentrierte Sicherheitsmodell in Frage. Wichtige Kennzahlen wie der “Time-to-Exploit” und die Remediation-Zeiten zeigen, dass rein manuelle Prozesse an ihre Grenzen stoßen. Die Zukunft der Verteidigung liegt laut Experten in der Automatisierung und einer neuen Risikomessung, die sich auf tatsächlich ausgenutzte Schwachstellen und deren Expositionsdauer konzentriert. Unternehmen, die bereits heute auf KI-gestützte Tools und Prozesse setzen, könnten den entscheidenden Vorteil haben, wenn menschliche Reaktionszeiten nicht mehr ausreichen. Während die Gefahr durch KEV-Schwachstellen weiter steigt, bleibt die Frage, wie schnell der Wechsel zu einer neuen Sicherheitsarchitektur gelingt und ob die Verteidiger den Wettlauf gegen KI-gesteuerte Angreifer für sich entscheiden können.
