Container-Technologien sind in deutschen Unternehmen längst zum Standard geworden: Laut aktuellen Marktdaten nutzen 79 % aller Unternehmen Kubernetes für das Management ihrer Cloud-Anwendungen, und Gartner prognostiziert, dass bis 2027 mehr als 90 % der Unternehmen weltweit containerisierte Anwendungen in der Produktion betreiben werden. Gleichzeitig warnen 42 % der DevOps- und Sicherheitsfachleute, dass Sicherheit die größte Herausforderung bei Kubernetes-Implementierungen bleibt — ein Befund, der sich in Deutschland spiegelt, wo 85 % der Unternehmen laut Studien ein „digitales Chaos“ durch wachsende IT-Komplexität fürchten.
Das zentrale Problem: Während klassische Schwachstellenscanner bekannte CVEs in Container-Images erkennen, bleibt eine zweite Risikoklasse weitgehend unsichtbar — Software, die das Ende ihres Support-Lebenszyklus (End-of-Life/End-of-Support) erreicht hat und keine Sicherheitsupdates mehr erhält. Ein veraltetes Basis-Image, ein nicht mehr gepflegtes Runtime-Framework oder eine abgekündigte Bibliothek, die in Tausenden von Containern weiterläuft: Diese Komponenten stellen kein theoretisches Risiko dar, sondern eine aktive Angriffsfläche.
Das Problem: Lifecycle-Blindspot in Cloud-nativen Umgebungen
Traditionelle Asset-Management-Modelle wurden für Server und Endgeräte entwickelt. In modernen Cloud-native-Umgebungen jedoch steckt kritische Software tief in Container-Images — Betriebssystem-Pakete, Language-Runtimes, Open-Source-Bibliotheken — und bewegt sich kontinuierlich durch CI/CD-Pipelines in die Produktion, oft schneller als Governance-Prozesse es nachverfolgen können.
Ein veraltetes Basis-Image wird nicht in einem einzelnen Workload deployed — es wird wiederverwendet und repliziert sich über Cluster, Namespaces und Teams hinweg. Mit dem Aufkommen KI-gestützter Angriffswerkzeuge verschärft sich die Lage: Frontier-AI kann Softwareinventare automatisiert analysieren, abgekündigte Komponenten identifizieren und diese Schwachstellen mit anderen Einfallsvektoren korrelieren, bevor Sicherheitsteams überhaupt Kenntnis davon erhalten.
| 79 %
der Unternehmen nutzen Kubernetes weltweit |
85 %
der deutschen Unternehmen fürchten IT-Komplexität als Sicherheitsrisiko |
> 90 %
werden bis 2027 Container in Produktion einsetzen (Gartner) |
EOL/EOS-Erkennung für Container und Kubernetes
Qualys erweitert die EOL/EOS-Softwareerkennung seiner CSAM-Plattform (Cybersecurity-Asset-Management) auf Container-Images und Kubernetes-Workloads. Damit schließt sich eine der letzten großen Lücken im Software-Lifecycle-Management: Sicherheitsteams erhalten Sichtbarkeit darüber, welche abgekündigten Betriebssysteme, Runtimes, Pakete und Bibliotheken in Container-Images stecken, wo diese Images aktiv im Einsatz sind, und welche Workloads aufgrund von Deployment-Kontext und Geschäftskritikalität priorisiert werden müssen. Die Erkennung ergänzt — nicht ersetzt — klassisches Image-Scanning: Während CVE-Scans bekannte Schwachstellen heute identifizieren, deckt die Lifecycle-Erkennung auf, welche Komponenten morgen ungepatcht bleiben werden.
Relevanz für deutsche Unternehmen
Für deutsche Unternehmen in regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, kritische Infrastrukturen — ist der Nachweis und die Behebung von Software ohne aktiven Herstellersupport längst nicht mehr nur eine technische Frage, sondern eine handfeste Compliance-Anforderung. NIS2, DORA und das IT-Sicherheitsgesetz 2.0 verlangen nachweisbares Lifecycle-Management über die gesamte IT-Landschaft — einschließlich container-basierter Anwendungen. Wer Container-Umgebungen aus dem Software-Inventar ausblendet, riskiert nicht nur ungepatchte Angriffsflächen, sondern auch Audit-Lücken.
Von Abhinav Mishra, Qualys Director of Product, Cloud & Container Security
#Qualys











