Die Lücke bei der Behebung wird größer. Die Analyse von mehr als einer Milliarde CISA-Datensätzen zu „Known Exploited Vulnerabilities“ (KEV) offenbart eine ernüchternde Realität für Sicherheitsverantwortliche: Unternehmen schließen deutlich mehr Tickets als noch vor wenigen Jahren, doch die Lücke zwischen der Identifizierung von Risiken und deren Beseitigung wird immer größer.
| 88 Prozent der ausgenutzten Schwachstellen wurden langsamer behoben, als sie ausgenutzt wurden | 63 Prozent der kritischen Schwachstellen bleiben nach 7 Tagen ungepatcht | 6,5-mal mehr Tickets wurden geschlossen als noch vor wenigen Jahren, doch die Zeitfenster der Gefährdung werden immer größer |
Die Schlussfolgerung ist unausweichlich. Die Grenzen der Sicherheit auf menschlicher Ebene sind erreicht.
Zwar haben Unternehmen die Transparenz und Priorisierung verbessert, doch die Behebungsgeschwindigkeit hat nicht Schritt gehalten. Die Kluft zwischen der Identifizierung von Risiken und ihrer Beseitigung wird immer größer. Das führt zu längeren Sicherheitslücken, die von Angreifern zunehmend mit Geschwindigkeit und Automatisierung ausgenutzt werden. In der heutigen Umgebung geht es beim Schwachstellenmanagement somit nicht mehr nur um Transparenz oder die Einstufung von Befunden. Frameworks wie „TruRisk“ helfen Unternehmen, die wichtigsten Sicherheitslücken klar zu identifizieren. Doch allein durch Priorisierung wird das Risiko nicht reduziert. Ausschlaggebend dafür, ob das Risiko gemindert wird oder eintritt, ist die Frage, wie schnell Schwachstellen behoben werden.
Wenn die Priorisierung die Umsetzung überholt
Das Patch-Management hat sich zu einem der operativ anspruchsvollsten Aspekte moderner Sicherheitsprogramme entwickelt. Da sich Umgebungen über Hybrid-Clouds, Remote-Standorte und weltweit verteilte Endgeräte ausdehnen, wird die Bereitstellung von Patches zunehmend komplexer.
Selbst wenn Unternehmen genau wissen, welche Schwachstellen zuerst behoben werden müssen, verlangsamen mehrere systemische Herausforderungen die Behebung.
Herkömmliche Modelle zur Patch-Verteilung stützen sich stark auf zentralisierte Infrastrukturen wie Content-Delivery-Networks (CDNs). Diese Modelle sind zwar theoretisch effektiv, führen jedoch zu Ineffizienzen in den Patch-Workflows von Unternehmen. Jeder Endpunkt ruft Patch-Artefakte unabhängig ab, was zu wiederholten Downloads identischer Inhalte auf Tausenden oder Zehntausenden von Systemen führt.

Dies hat zwei Auswirkungen:
• Netzwerkbelastung, insbesondere während koordinierter Patch-Zyklen.
• Verlängerte Behebungszeiträume, insbesondere für Endpunkte, die weit von der zentralisierten Infrastruktur entfernt sind.
Das Ergebnis ist ein bekanntes Muster: „TruRisk“ identifiziert die wichtigsten Schwachstellen, doch Infrastrukturengpässe verzögern die Patch-Bereitstellung, sodass hohe Risiken länger als nötig ausnutzbar bleiben.
Patch-Tuesday-Realitätscheck: Warum die Verteilungsgeschwindigkeit entscheidend ist
Selbst wenn Unternehmen die richtigen Prioritäten setzen, treten bei großen Patch-Zyklen wie dem „Patch Tuesday“ schnell Engpässe bei der Umsetzung zutage. Entscheidend dabei ist auch, welche Kosten der Patch-Tuesday für ein Netzwerkteam verursacht.
Szenario: Ein typisches Unternehmen, das ein kumulatives Windows-Update von ca. 5 GByte (z. B. aktuelle Updates wie KB5089549) auf 1.000 Endgeräten bereitstellt, verdeutlicht die grundlegenden Grenzen herkömmlicher Patch-Verteilungsmodelle.
Traditionelles CDN-Modell: Linear und kostspielig
In einem zentralisierten Modell lädt jeder Endpunkt unabhängig denselben Patch herunter:
- 5 TByte externe Bandbreite werden verbraucht (5 GByte × 1.000 Endpunkte).
- Erhebliche Spitzenbelastungen im WAN/Internet während der Patch-Fenster.
- Überlastung an Büro- und Remote-Standorten.
- Langsamere Fehlerbehebung, insbesondere in verteilten Umgebungen.
Dieses Modell skaliert linear mit der Anzahl der Endpunkte: Je größer die Umgebung, desto größer die Verzögerung und die Netzwerkbelastung.

Peer-to-Peer (P2P)-Modell: Effizient und skalierbar
Bei der P2P-Verteilung laden zunächst nur wenige Endpunkte Inhalte aus der Cloud herunter:
- 20 bis 50 GByte insgesamt verbrauchte externe Bandbreite,
- Die übrigen Endpunkte beziehen Inhalte lokal über das LAN,
- Parallele Multi-Peer-Verteilung beschleunigt die Verbreitung,
- Reduzierung der externen Bandbreitennutzung um über 99 Prozent,
Sobald Patch-Inhalte in die Umgebung gelangen, verbreiten sie sich organisch. Dadurch werden redundante Downloads vermieden und die Geschwindigkeit wird drastisch verbessert.
Nachgewiesene Leistungssteigerungen in realen Umgebungen
Aktuelle Leistungstests verdeutlichen den spürbaren Einfluss der Peer-to-Peer-Verteilung (P2P) auf die Bereitstellung umfangreicher Patches.
In einer kontrollierten Umgebung, in der ein ca. 8 GByte großes Feature-Update verteilt wurde, holte der erste Endpunkt den Patch aus der Cloud und fungierte dabei als Initial-Seed. Nachfolgende Endpunkte nutzten Peer-to-Peer-Sharing, um denselben Inhalt aus dem Netzwerk herunterzuladen.
Vergleich der Download-Leistung
Angreifer nutzen Schwachstellen innerhalb von Stunden aus. Die herkömmliche Patch-Bereitstellung dauert Tage. P2P ändert diese Rechnung.
| Endpunktrolle | Downloadquelle | Downloaddauer | Geschwindigkeitssteigerung gegenüber CDN |
| Anfänglicher Endpunkt | CDN | 1 Std. 31 Min. 38 Sek | Basiswert |
| Peer-Endpunkt Nr. 1 | Peer | 8 Min. 57 Sek. | ~10x schneller |
| Multi-Peer-Endpunkt | Mehrere Peers | 3 Min. 33 Sek. | ~25x schneller |
Was das bedeutet
- Bis zu 92 Prozent schnellere Downloadzeiten im Vergleich zur herkömmlichen CDN-basierten Bereitstellung.
- Bis zu 25-mal schnellere Patch-Bereitstellung, sobald weitere Peers hinzukommen.
- 75 Prozent geringerer externer Bandbreitenverbrauch, da nur ein einziger anfänglicher Download aus dem Internet erforderlich ist.
Je mehr Endpunkte sich dem Patch-Vorgang anschließen, desto besser wird die Verteilungsleistung. Anstatt immer wieder dieselben Inhalte von externen Quellen abzurufen, verwenden Endpunkte die Patch-Daten lokal und teilen sie untereinander. Dadurch werden parallele Downloads aus mehreren Quellen ermöglicht und die Verbreitung wird drastisch beschleunigt.
Dieses Muster aus der Praxis unterstreicht einen entscheidenden Vorteil von P2P. Die Leistung skaliert mit der Teilnehmerzahl. Je mehr Endpunkte beteiligt sind, desto schneller verbreiten sich Patches in der Umgebung, ohne die Belastung für WAN- oder Internetverbindungen zu erhöhen.
Ein neues Verteilungsmodell: Peer-to-Peer (P2P)
Was wäre, wenn Endgeräte sich gegenseitig mit Patches versorgen könnten? Mit P2P im Qualys-Cloud-Agent ist genau das möglich. Die P2P-Patch-Verteilung, die im Qualys-Cloud-Agent für Windows 6.5 verfügbar ist, verändert die Art und Weise, wie Patch-Dateien in Unternehmensumgebungen verteilt werden.
Anstatt sich ausschließlich auf zentralisierte Downloads zu verlassen, ermöglicht P2P den Endpunkten des Cloud-Agents, sowohl als Empfänger als auch als Verteiler von Patch-Inhalten zu fungieren. Sobald ein System einen Patch heruntergeladen hat, wird es zur Quelle für benachbarte Systeme. So können Endpunkte innerhalb des Netzwerks an der Patch-Verteilung teilnehmen.
So funktioniert es
Durch die Peer-to-Peer-Verteilung von Patches können Endgeräte bereits im Netzwerk vorhandene Patches wiederverwenden, anstatt immer wieder dieselben Inhalte aus dem Internet abzurufen.
Ein Patch-Vorgang läuft wie folgt ab:
- Das Netzwerk lernt (erster Endpunkt füllt den lokalen Cache): Beim Start des Patch-Jobs prüft Host 1, ob ein Peer in der Nähe den Patch bereits besitzt.
Falls kein Peer den Patch besitzt, lädt Host 1 ihn aus dem Internet herunter. Der Patch wird anschließend in seinem lokalen Peer-Cache gespeichert. - Wiederverwendung statt erneutem Download: Wenn Host 2 denselben Patch benötigt, prüft er zunächst, ob Peers in der Nähe vorhanden sind. Da Host 1 den Patch bereits besitzt, lädt er ihn direkt von Host 1 herunter, anstatt ihn über das Internet herunterzuladen.
- Parallele Bereitstellung wird aktiviert: Sobald weitere Systeme beitreten, kann Host 3 Patch-Daten von mehreren Peers (Host 1 und Host 2) abrufen. Die Downloads erfolgen parallel, wodurch die Bereitstellung noch schneller wird. Jeder Host trägt außerdem zum gemeinsamen Peer-Cache bei.
- Das Netzwerk lernt (der erste Endpunkt füllt den lokalen Cache): Wenn der Patch-Vorgang beginnt, prüft Host 1, ob ein Peer in der Nähe den Patch hat. Hat kein Peer den Patch, lädt Host 1 ihn aus dem Internet herunter. Der Patch wird dann in seinem lokalen Peer-Cache gespeichert.
- Wiederverwendung ersetzt erneutes Herunterladen: Wenn Host 2 denselben Patch benötigt, sucht er zunächst nach Peers. Er stellt fest, dass Host 1 den Patch bereits hat. Er lädt ihn direkt von Host 1 herunter, anstatt ihn erneut aus dem Internet zu laden.
- Parallele Bereitstellung setzt ein: Wenn weitere Systeme hinzukommen, kann Host 3 Patch-Daten von mehreren Peers (Host 1 und Host 2) beziehen. Die Downloads erfolgen parallel, wodurch sich die Bereitstellung weiter beschleunigt. Jeder Host trägt zudem zum gemeinsamen Peer-Cache bei.

Das bedeutet in der Praxis:
- Nur die ersten paar Systeme müssen Daten aus dem Internet herunterladen.
- Alle nachfolgenden Systeme verwenden lokale Kopien wieder.
- Patches verbreiten sich schnell in der gesamten Umgebung, ohne das Netzwerk zu überlasten.
P2P-Konfiguration: Einfache, zentralisierte Steuerung
Die Peer-to-Peer-Patch-Verteilung ist so konzipiert, dass sie sich über das Qualys-Cloud-Agent-Konfigurationsprofil einfach und in großem Maßstab bereitgestellt und verwaltet werden kann. Anstatt eine manuelle Einrichtung auf einzelnen Systemen zu erfordern, können Administratoren das P2P-Verhalten mit nur wenigen Einstellungen zentral aktivieren und steuern.
Im Mittelpunkt steht ein einfacher Schalter, mit dem sich P2P pro Konfigurationsprofil aktivieren oder deaktivieren lässt. So können Sie die Funktion selektiv auf verschiedene Gruppen von Endpunkten ausrollen. Von dort aus können Sie genau festlegen, wie viel lokaler Speicher für die Patch-Freigabe genutzt wird, indem Sie die Cache-Größe (10–100 GB) definieren. So stellen Sie sicher, dass Endpunkte einen Beitrag leisten, ohne die Speicherressourcen zu überlasten. Ein Aufbewahrungsschwellenwert (2–30 Tage) steuert, wie lange Patches für die gemeinsame Nutzung verfügbar bleiben und sorgt so für ein Gleichgewicht zwischen Wiederverwendung und Speichereffizienz.

Das Netzwerkverhalten ist zudem vollständig konfigurierbar. Der Transportport (Standard: 4001) dient der Peer-to-Peer-Weitergabe von Inhalten, während der Admin-Port (Standard: 5001) die lokale Koordination zwischen den Knoten übernimmt. Mithilfe dieser Einstellungen kann das Netzwerk an bestehende Netzwerk- und Sicherheitsrichtlinien angepasst werden, ohne dass die Komplexität erhöht wird.
Das Ergebnis ist ein flexibler, richtliniengesteuerter Ansatz, mit dem sich P2P innerhalb von Minuten aktivieren, optimieren und skalieren lässt. Unternehmen haben so die volle Kontrolle darüber, wie Patch-Inhalte geteilt werden, ohne dass neue Infrastruktur oder zusätzlicher Betriebsaufwand erforderlich ist.
Sicherheit und Vertrauen
Die P2P-Patch-Verteilung ist von Grund auf sicherheitsorientiert. Jedes Patch-Artefakt wird anhand kryptografischer Inhaltskennungen überprüft. Dadurch wird sichergestellt, dass Endgeräte nur Inhalte akzeptieren, deren Hash mit einem verifizierten Hash übereinstimmt.
Die gesamte Peer-Kommunikation findet innerhalb der vom Unternehmen kontrollierten Netzwerkgrenzen statt, beispielsweise im lokalen Netzwerk (LAN). Endgeräte stellen keine Verbindung zu beliebigen externen Peers her und alle teilnehmenden Systeme werden vom Cloud-Agenten authentifiziert und verwaltet.
Dieses Modell gewährleistet Vertrauen auf Unternehmensniveau und bietet gleichzeitig die Geschwindigkeit und Ausfallsicherheit, die für eine moderne Fehlerbehebung erforderlich sind.
Anbindung von P2P an „TruRisk Eliminate“
„TruRisk“ hat die Art und Weise, wie Unternehmen ihr Schwachstellenmanagement priorisieren, revolutioniert. Der Fokus liegt dabei auf den Schwachstellen mit den größten geschäftlichen Auswirkungen. Eine Priorisierung ist jedoch nur dann sinnvoll, wenn sie zu einer zeitnahen Behebung führt.
Die P2P-Patch-Verteilung beschleunigt „TruRisk Eliminate“ direkt, indem sie traditionelle Verteilungsengpässe beseitigt. Patches verbreiten sich organisch in der gesamten Umgebung, erreichen Endgeräte schneller, verbrauchen weniger Bandbreite und ermöglichen eine groß angelegte Behebung ohne zentralisierte Engpässe.
Die Auswirkungen sind messbar:
- Schnellere Bereitstellung kritischer Patches,
- Verkürzte Zeit bis zur Behebung von Schwachstellen mit hohem Risiko,
- Parallele Ausführung über große Endpunktbestände hinweg,
Praktisch gesehen wandelt sich das Schwachstellenmanagement von einem reaktiven, infrastrukturgebundenen Prozess zu einem sich selbst optimierenden Behebungssystem. Risiken werden nicht nur identifiziert, sondern auch schneller und konsequenter beseitigt.
Wichtige Vorteile
Die Peer-to-Peer-Patch-Verteilung bietet architektonische Vorteile, die direkt zur Risikominderung beitragen:
- Über 99 Prozent Einsparung an WAN-Bandbreite.
Vermeidet redundante Downloads von der zentralen Infrastruktur.
- Bis zu 92 Prozent schnellere Patch-Bereitstellung.
Patch-Teile werden gleichzeitig von mehreren Peers heruntergeladen.
- Bis zu 25-fache Geschwindigkeit mit Multi-Peer.
Kein Single Point of Failure. Wenn ein Peer nicht verfügbar ist, setzen andere die Verteilung fort.
- Manipulationssichere Bereitstellung.
Kryptografische CIDs stellen sicher, dass nur validierte, manipulationssichere Inhalte geteilt werden.
- Kein Infrastruktur-Overhead.
Endpunkte erkennen und optimieren die gemeinsame Nutzung innerhalb des LAN automatisch, ohne manuelle Konfiguration.
- Eliminierung von redundantem Netzwerkverkehr.
Sobald ein Patch in ein Netzwerksegment gelangt, kann er von allen Systemen darin wiederverwendet werden.
Peer-to-Peer (P2P) vs. Qualys.Gateway.Service (QGS): Wann ist welche Lösung die richtige?
Sowohl die P2P-Patch-Verteilung als auch der Qualys-Gateway-Service (QGS) tragen zur Optimierung der Patch-Bereitstellung bei, sind jedoch für unterschiedliche betriebliche Anforderungen konzipiert.
QGS zentralisiert die Kommunikation der Cloud-Agenten über ein sicheres Gateway und bietet Patch-Caching, TLS-Terminierung sowie eine vereinfachte Ausgangskontrolle. Er eignet sich am besten für Unternehmen, die eine zentralisierte Agent-Konnektivität und vorhersehbare Datenverkehrsströme wünschen.
Die P2P-Patch-Verteilung konzentriert sich auf die Geschwindigkeit und den Umfang der Fehlerbehebung. Sobald Patch-Inhalte in die Umgebung gelangen – entweder direkt oder über QGS –, verteilen die Endpunkte diese lokal. Dadurch werden interne Engpässe reduziert und umfangreiche Patch-Zyklen beschleunigt.
In vielen Umgebungen ergänzen sich die beiden Technologien: QGS bietet einen kontrollierten Einstiegspunkt für die Agent-Kommunikation, während P2P Patches schnell an Endpunkte innerhalb des Netzwerks verteilt.
Schnellentscheidungsmatrix

Faustregel
Die beiden Technologien lösen unterschiedliche operative Herausforderungen und entfalten ihre größte Wirkung oft erst im Zusammenspiel:
- Nutzen Sie QGS für zentralisierte Konnektivität und Caching.
- Nutzen Sie P2P für die schnelle und skalierbare Ausführung von Patches.
- Nutzen Sie beide, um Kontrolle am Netzwerkrand mit Geschwindigkeit im Netzwerk zu verbinden.
Ein Wandel hin zu schnellerer Risikobeseitigung
Die Kombination aus „TruRisk“-Priorisierung, autonomen Entscheidungsmodellen und P2P-Verteilung stellt einen grundlegenden Wandel im Schwachstellenmanagement dar.
Es reicht nicht mehr aus, Risiken zu verstehen. Moderne Sicherheitsreife definiert sich dadurch, wie schnell und zuverlässig Risiken im großen Maßstab beseitigt werden können.

P2P ersetzt die bestehenden Patching-Mechanismen nicht. Stattdessen beseitigt es die Verteilungsengpässe, die die Behebung von Sicherheitslücken in der Vergangenheit verlangsamt haben. In einer Welt, in der Angreifer mit maschineller Geschwindigkeit agieren, müssen auch Verteidiger so schnell handeln.
Abschließender Gedanke
Da sich die Angriffsflächen vergrößern und die Zeitfenster für Angriffe immer kürzer werden, werden diejenigen Unternehmen erfolgreich sein, die die Lücke zwischen Priorisierung und Umsetzung schließen.
„TruRisk“ zeigt Ihnen, worauf es ankommt. P2P sorgt dafür, dass das Problem behoben wird, bevor das Zeitfenster schließt.
Von Spencer Brown, Produktmanager, Cloud Agent, Qualys











