Patching ist die grundlegende Methode zum Schutz von Systemen, doch der schiere Umfang moderner Infrastrukturen hat traditionelle Behebungsmodelle überholt. Untersuchungen von der Qualys Threat Research Unit zeigen einen 6,5-fachen Anstieg bei behobenen Vorfällen, doch die „Readiness-Lücke“ wird immer größer: Der Anteil kritischer Schwachstellen, die am siebten Tag noch offen sind, stieg im Jahr 2025 auf 63 %.
In der Google-Threat-Intelligence-M-Trends-Studie für 2026 beträgt die durchschnittliche Zeit bis zur Ausnutzung von Schwachstellen nun minus sieben Tage. Die meisten Exploits finden mittlerweile statt, noch bevor eine Schwachstelle überhaupt entdeckt wurde. Für Verteidiger ist die Wahl binär: Entweder sie finden einen Weg, durch die Zeit zu reisen, oder sie stellen auf eine risikobasierte Behebungsstrategie um, die geschäftliche Auswirkungen vor technischer Schweregrad priorisiert. Für diejenigen von uns, die keinen Zugang zu Doctor Whos TARDIS haben, sind die Optionen begrenzter.
Warum die „Mean Time to Remediation“ als Kennzahl nicht sinnvoll ist
Die traditionelle Kennzahl für das Patchen ist die „Mean Time To Remediation“ (MTTR). Diese ist definiert als die Zeit zwischen der ersten Offenlegung einer Sicherheitslücke und dem Zeitpunkt, zu dem diese durch das Anwenden des Patches behoben wird. Die MTTR ist allgemein bekannt und bietet eine einfache Messgröße für die traditionelle Patch-Leistung.
Bei Zero-Day-Problemen ist sie jedoch nicht so effektiv. Wenn Ihre Kennzahl speziell darauf ausgelegt ist, die Patch-Bereitstellung zu verfolgen, kann es schwierig sein, zu erfassen, wie groß das Risiko ist, dem ein Unternehmen durch diese Probleme ausgesetzt ist. Sie ignoriert kompensierende Kontrollen wie Netzwerksegmentierung, Host-Isolierung oder virtuelles Patchen. Diese Maßnahmen reduzieren das Risiko effektiv und gewährleisten die Geschäftskontinuität, sind jedoch in einem MTTR-Bericht nicht sichtbar. Diese kompensierenden Kontrollen könnten einen potenziellen Angriff stoppen, bevor eine Ausnutzung stattfinden kann, während das Patchen durchgeführt wird, aber die MTTR-Kennzahl erfasst diese wesentliche Arbeit nicht.
Daher wird eine neue Metrik benötigt, um die Zeit zwischen der Bekanntgabe eines potenziellen Exploits und dem Zeitpunkt zu messen, an dem Sicherheitsteams Angreifern den Weg versperren. Dies ist das „Average Window of Exposure“ (AWE). Indem sie neben den Patching-Prozessen auch betrachten, was Teams proaktiv zur Verhinderung von Angriffen tun können, können Sicherheitsteams unterscheiden, wie sie kritische Schwachstellen oder Fehlkonfigurationen im Vergleich zum allgemeinen Ansatz für weniger schwerwiegende Probleme handhaben.
Dies hilft den Verteidigern auch, ihre Arbeit im Kontext zu verstehen. In der Arbeit der Qualys Threat Research Unit waren 85 Prozent der anfälligen Assets zum Zeitpunkt der ersten Veröffentlichung von Exploits ungepatcht. Bei einer durchschnittlichen Behebungszeit von etwa 21 Tagen sind 33 Prozent der CISA-KEV-Assets immer noch ungepatcht. Nach 90 Tagen waren fast 12 Prozent dieser Assets immer noch anfällig, da keine Patches bereitgestellt worden waren. Wenn die Vorschriften vorsehen, dass kritische Schwachstellen innerhalb von 15 Tagen und andere Probleme innerhalb von 25 Tagen behoben werden müssen, wird deutlich, dass die Leistung weit hinter den Erwartungen zurückbleibt.
Anstatt die Reaktionsgeschwindigkeit zu betrachten, definiert AWE, wie lange ein Unternehmen exponiert war. Dies liefert einen besseren Einblick darin, wie schnell das Team von einem potenziellen Exploit bis zum Abschluss der Behebung in großem Maßstab voranschreitet. Ein weiterer Vorteil dieser Kennzahl besteht darin, dass sie aufzeigt, wie eine Exposition im „Long Tail“ von Sicherheitsproblemen auftreten kann, was bei Betrachtung der durchschnittlichen MTTR-Bewertung verborgen bleiben kann.
Vorausschauende Planung im Hinblick auf Risiken
Im Jahr 2025 wurden 48.172 neue Schwachstellen entdeckt und mit CVE-Werten versehen. Obwohl dies eine enorme Anzahl von Problemen ist, die es zu verfolgen gilt, waren nur 357 davon aus der Ferne ausnutzbar, wurden aktiv in der Praxis eingesetzt und durch funktionierenden Proof-of-Concept-Code untermauert. Diese kritische Untergruppe – etwa 0,7 % der jährlichen Gesamtzahl – stellt das tatsächliche Risiko dar.
Ein Risk-Operations-Center (ROC) konzentriert sich darauf, von wahllosem Patchen zu einem Modell überzugehen, das auf aktiver Ausnutzung und der Kritikalität von Assets basiert. Das Schwachstellenmanagement hat sich daher von wahllosem Patchen auf Basis von CVSS-Werten weiterentwickelt und konzentriert sich nun auf jene Probleme, die das größte Risiko für Organisationen darstellen – basierend darauf, was Angreifer tun, welche Assets eingesetzt werden und wie kritisch diese Assets für das Geschäft sind.
Die risikobasierte Priorisierung legt den Fokus auf Schwachstellen, die die höchste theoretische Bedrohung für ein Unternehmen darstellen. Es ist jedoch möglich, diesen Fokus noch weiter einzugrenzen. Ist diese Schwachstelle mit hoher Priorität unter Berücksichtigung der bestehenden Ausgleichskontrollen des Unternehmens derzeit tatsächlich ausnutzbar? Ist sie für das Unternehmen genauso kritisch wie für ein anderes Unternehmen?
Indem Sicherheitsverantwortliche den Fokus auf das Risiko statt auf Schweregrade legen, können sie sich auf die Probleme konzentrieren, die am dringlichsten sind und am ehesten ausgenutzt werden. Durch vorausschauende Planung und das Erkennen von Trends bei Bedrohungsmustern können sie Bedrohungsakteuren zuvorkommen und deren Systeme absichern, bevor sie ins Visier genommen werden. ROC zentralisiert die Datenanalyse, um Bedrohungen zu stoppen, bevor sie ausgenutzt werden. Mithilfe eines Remediation-Cockpits und der Patch-Zuverlässigkeitsbewertung können Teams vor der Bereitstellung vorhersagen, ob ein Patch einen Systemabsturz verursachen wird, und so endlich die Dringlichkeit der Sicherheit mit der operativen Stabilität der IT in Einklang bringen. Das übergeordnete Ziel besteht darin, den Zeitaufwand für das Patchen durch Automatisierung zu reduzieren, wo dies möglich ist, aber auch die Anstrengungen auf jene Risiken zu konzentrieren, die mit höherer Wahrscheinlichkeit ausgenutzt werden.
Ein Vorsprung bei der Patch-Installation und Fehlerbehebung ist eine Möglichkeit, Risiken zu reduzieren. Das Verständnis von Sicherheitskontrollen und deren Eignung zur Eindämmung potenzieller Risiken ist angesichts der hohen Auslastung der Teams ebenfalls wichtig für die Risikominderung. Die Kombination dieser Prozesse mit der Verfolgung von AWE ist ein noch effektiverer Weg, um Risiken vor einer möglichen Ausnutzung zu reduzieren. Es handelt sich nicht um Zeitreisen, aber dieser Ansatz ermöglicht es Unternehmen, die AWE zu schließen, bevor Angreifer sie durchbrechen können.
#Qualys
