_Autor: Saeed Abbasi, Senior Manager, Threat Research Unit, Qualys_ **Da die Zeit bis zur Ausnutzung jetzt bei negativen sieben Tagen liegt und autonome KI-Agenten die Bedrohungen beschleunigen, unterstützen die Daten keine inkrementellen Verbesserungen mehr. Die Architektur der Verteidigung muss sich ändern.** ## Die harte Realität des Schwachstellenmanagements Die Analyse der bekannten ausgenutzten Schwachstellen (KEV) von **CISA** in den letzten vier Jahren zeigt einen beunruhigenden Trend: Kritische Schwachstellen, die nach 7 Tagen noch ungepatcht sind, sind von 56 % auf 63 % gestiegen, trotz einer 6,5-fachen Zunahme der von Sicherheitsteams geschlossenen Tickets. Dies deutet darauf hin, dass die bloße Bereitstellung zusätzlicher Ressourcen das Problem nicht lösen kann. Von den 52 in der **Qualys**-Studie verfolgten, ausgenutzten Schwachstellen wurden erstaunliche 88 % langsamer gepatcht, als sie ausgenutzt wurden. Alarmierenderweise war die Hälfte davon bereits ausgenutzt, bevor überhaupt ein Patch verfügbar war. Das Kernproblem liegt laut dem Bericht nicht an mangelnder Geschwindigkeit oder Anstrengung, sondern am operativen Modell selbst. ## Kumulative Exposition: Die wahre Risikokennzahl Der Bericht betont, dass **CVE**-Zählungen nicht mehr ausreichen, um das Risiko zu messen. Stattdessen müssen sich Sicherheitsteams auf die kumulative Exposition konzentrieren, die die Dauer berücksichtigt, während der eine Schwachstelle ungepatcht bleibt. **Qualys** führt das Konzept der "Risikomasse" ein, definiert als anfällige Assets multipliziert mit den exponierten Tagen, um die kumulative Exposition zu erfassen, die **CVE**-Zählungen oft verschleiern. Eine begleitende Kennzahl, das durchschnittliche Expositionsfenster (AWE), misst die gesamte Dauer von der Ausnutzung bis zur Behebung im gesamten Umfeld. ## Die "manuelle Steuer" und ihre Auswirkungen Die Forschung identifiziert eine "manuelle Steuer", einen Multiplikatoreffekt, bei dem Long-Tail-Assets, die von manuellen Prozessen oft übersehen werden, die Expositionszeiten erheblich verlängern. Beispielsweise war die durchschnittliche Behebungszeit für **Spring4Shell** 5,4-mal so lang wie der Median, was die Auswirkungen dieser schwer erreichbaren Assets verdeutlicht. Für Infrastruktursysteme ist die Situation noch düsterer. Im Fall der **Cisco IOS XE**-Schwachstelle betrug selbst die mittlere Behebungszeit erstaunliche 232 Tage, was die erheblichen Einschränkungen manueller Prozesse bei der Bewältigung komplexer, weit verbreiteter Schwachstellen hervorhebt. ## Die wachsende Kluft: KI-gestützte Angriffe vs. menschliche Verteidiger Der Bericht warnt, dass die zunehmende Raffinesse KI-gestützter Angriffe die Kluft zwischen Angreifern und Verteidigern weiter vergrößern wird. Offensive KI-Agenten können Angriffe weitaus schneller entdecken, ausnutzen und ausführen, als menschlich besetzte Betriebe reagieren können. Die Übergangsphase, in der KI-gestützte Angreifer mit menschlicher Geschwindigkeit verteidigende Kräfte konfrontiert sind, stellt das gefährlichste Zeitfenster der Branche dar. Dies wird durch bestehende strukturelle Schwachstellen wie erweiterte Angriffsflächen, Identitäts-Sprawl und manuelle Behebungs-Workflows verschärft. ## Der Aufstieg des Risk Operations Center Um diese Herausforderungen zu bewältigen, plädiert **Qualys** für die Einführung eines durchgängigen Risk Operations Center. Dieser Ansatz nutzt eingebettete Intelligenz, aktive Schwachstellenbestätigung und autonome Aktionen, um die Reaktionszeiten zu verkürzen und mit der Geschwindigkeit moderner Bedrohungen Schritt zu halten. Das Ziel ist nicht, menschliches Urteilsvermögen zu eliminieren, sondern es zu erhöhen und Praktiker von der taktischen Ausführung auf die Steuerung der Richtlinien zu verlagern, die autonome Systeme steuern. Organisationen, die die Risikolücke erfolgreich schließen, tun dies, indem sie menschliche Latenz aus dem kritischen Pfad entfernen. ## Schlüsselkomponenten eines Risk Operations Center: * **Eingebettete Intelligenz:** Maschinenlesbare Entscheidungslogik zur Priorisierung und Steuerung von Behebungsbemühungen. * **Aktive Bestätigung:** Überprüfung, ob eine Schwachstelle in einer bestimmten Umgebung tatsächlich ausnutzbar ist. * **Autonome Aktion:** Automatisierung von Behebungsaufgaben zur Verkürzung der Reaktionszeiten. ## Fazit: Automatisierung annehmen oder zurückfallen **Qualys** betont, dass das reaktive Scan-and-Report-Modell angesichts sich schnell entwickelnder Bedrohungen und schrumpfender Ausnutzungszeiten nicht mehr ausreicht. Organisationen müssen Automatisierung und KI einsetzen, um autonome, geschlossene Risikobetriebe aufzubauen, die moderne Angriffe effektiv abwehren können. Die Frage ist, ob Organisationen ihre Architektur an die Mathematik der aktuellen Bedrohungslandschaft anpassen werden, bevor sich das Fenster zwischen menschlicher Verteidigung und autonomer Offensive endgültig schließt. **[Kontaktieren Sie Qualys](https://www.qualys.com/), um Einblicke zu erhalten, wie Unternehmen die Behebung in großem Maßstab mit Automatisierung und KI verwalten, und wie Sie diesen Unterschied sofort machen können.** _Gesponsert und geschrieben von [Qualys](https://www.qualys.com/)._