Die Zeiten, in denen Sicherheitslücken tagelang ungenutzt blieben, sind vorbei. Künstliche Intelligenz hat das Vulnerability Management fundamental verändert – und zwar für Angreifer wie für Verteidiger. Wie ein aktueller Bericht von The Hacker News aufzeigt, schrumpft das Zeitfenster zwischen der Disclosure einer Schwachstelle und ihrer massenhaften Ausnutzung im Internet auf wenige Stunden. Die Konsequenz ist unangenehm: Das langjährige Industrie-Mantra „Patch faster“ ist gescheitert.
Die Illusion des schnellen Patchens
Wenn eine kritische Schwachstelle öffentlich wird, lautet der Reflex von Vorständen, Regulierern und Behörden meist gleich: Schneller patchen. Die indische CERT-IN etwa forderte kürzlich Patching-Zeiten von unter 24 Stunden für kritische Lücken. Das Problem? Es ignoriert die operationelle Realität. Patching ist kein Knopfdruck, sondern ein kontrollierter Prozess. Er erfordert Stabilitätstests, Change Windows, Business-Approvals und muss Ausfallzeiten verhindern. Produktionssysteme können nicht im Namen von Dringlichkeit kaputtgepatcht werden.
Die Zahlen sprechen eine klare Sprache: Laut dem Verizon 2026 DBIR hat sich die mediane Zeit, die Unternehmen benötigen, um eine kritische Schwachstelle zu patchen, sogar von 32 auf 43 Tage verlängert. Angreifer operieren jedoch in Stunden. Diese Lücke – Wochen auf Seiten der Verteidiger, Stunden auf Seiten der Angreifer – ist der Raum, in dem echte Schäden entstehen. „Einfach schneller patchen“ zu verlangen, ist, als würde man jemandem raten, „einfach größer zu werden“ – es ist schlicht nicht machbar.
KI als Brandbeschleuniger auf beiden Seiten
Der Grund für diesen immensen Zeitdruck ist die Industrialisierung der Schwachstellenforschung durch KI. Ein Paradebeispiel lieferte Anthropic im Mai 2026 mit „Project Glasswing“: Mithilfe des Modells Claude Mythos Preview identifizierten Anthropic und rund 50 Partner über 10.000 High- oder Critical-Severity-Schwachstellen in systemkritischer Software – innerhalb eines einzigen Monats.
Doch KI demokratisiert nicht nur die Verteidigung; sie rüstet auch Angreifer auf. Dieselben Werkzeuge erlauben es Hackern, Schwachstellen im selben Tempo zu finden, zu reproduzieren und zu weaponizen. Die Flut an disclosed Vulnerabilities überfordert klassische Prozesse.
Der Flaschenhals verschiebt sich: Vom Patchen zur Mitigation
Wenn Patchen nicht schneller werden kann, muss sich das Betriebsmodell ändern. Anstatt zu versuchen, das Unmögliche möglich zu machen, müssen Security-Teams akzeptieren, dass einige Schwachstellen ausgenutzt werden, bevor sie gepatcht sind. Das Ziel muss es sein, Zeit zu kaufen. Das neue Paradigma lautet: Preempt, Validate, Mitigate (Vorausschauend filtern, Validieren, Abfedern).
1. Preempt: Vorausschauend filtern
Nicht jede der tausenden neuen CVEs ist gleich. Viele werden nie im Wild ausgenutzt. Verteidiger müssen frühzeitig identifizieren, welche Lücken das höchste Risiko bergen – solche mit breiter Verbreitung, Internet-Erreichbarkeit und klaren Privilege-Escalation-Pfaden. Schweregrad (Severity) allein reicht als Filter nicht mehr aus.
2. Validate: Exposition rasch validieren
Wenn eine Bedrohung als real bestätigt ist, zählt jede Minute. Security-Teams müssen die konkrete Frage beantworten: Sind wir betroffen? Ist die Schwachstelle in unserem spezifischen Setup überhaupt erreichbar und ausnutzbar? Eine theoretische Lücke erzeugt nur Lärm; eine validierte, ausnutzbare Lücke erfordert sofortiges Handeln. Geschwindigkeit ohne Genauigkeit ist Panik, Genauigkeit ohne Geschwindigkeit ist irrelevant.
3. Mitigate: Zeit für das Patching kaufen
Erst wenn die Exposition validiert ist, kommt das entscheidende Puzzleteil: Die Mitigation. Da das reguläre Patching Wochen dauert, müssen temporäre Kontrollen den Angreifer ausbremsen. Das können WAF-Regeln, das Deaktivieren angreifbarer Features, Netzwerk-Isolation oder gezielte IPS-Updates sein. Wichtig: Diese Maßnahmen müssen das spezifische Exploit-Muster blockieren, nicht nur generisch auf einen CVE-Tipp basieren. Sie müssen nicht permanent sein, aber sie machen Angriffe langsamer, unzuverlässiger und schwerer zu skalieren. Sie geben dem Unternehmen die Zeit, die es für ein sicheres Patching braucht.
Eigenständige Einordnung: Vendor-Pitch vs. Branchenrealität
Der Ursprungsartikel mündet logischerweise in der Vorstellung der watchTowr-Plattform, die genau diesen Ansatz des „Preemptive Exposure Management“ automatisiert. Doch unabhängig von diesem Vendor-Pitch beschreibt der Text einen unbestreitbaren Branchentrend. Der Wechsel von „Patch immediately“ hin zu „Mitigate immediately, patch systematically“ ist die einzig logische Konsequenz aus der KI-getriebenen Waffe der Angreifer.
Der Ansatz erinnert stark an das Gartner-Konzept des Continuous Threat Exposure Management (CTEM). Es geht nicht darum, das Patchen abzuschaffen – es bleibt essenziell. Es geht darum, die Notfallreaktion (Exploit-Blockade) von der operativen Instandsetzung (Patching) zu entkoppeln. Wer in Zukunft noch versucht, die KI-gestützte Angriffsgeschwindigkeit mit manuellen oder trägen Patch-Prozessen zu schlagen, hat bereits verloren.
Quelle: The Hacker News