Die Verwaltung von IT-Schwachstellen steht im Zentrum jeder modernen Cybersecurity-Strategie. Doch trotz jahrzehntelanger Bemühungen wirken viele traditionelle Methoden zunehmend unzureichend im Kampf gegen die wachsende Flut an Sicherheitslücken, die Unternehmen täglich konfrontieren. In Deutschland wie weltweit vertrauen viele Organisationen auf das Common Vulnerabilities and Exposures-System – kurz CVE –, um Schwachstellen zu identifizieren, zu katalogisieren und zu bewerten. Doch wie gut funktioniert dieses System wirklich? Und welche neuen Ansätze können Unternehmen helfen, Cyberrisiken effektiver zu managen? Diese Frage führt uns über die klassische Schwachstellenverwaltung hinaus und fordert ein Umdenken in der Sicherheitsstrategie. Das CVE-System ist seit mehr als 25 Jahren eine feste Größe im Cybersecurity-Bereich.
Es bietet eine standardisierte Plattform, um Schwachstellen weltweit zu erfassen und ihre Risikostufen durch das Common Vulnerability Scoring System (CVSS) einzuschätzen. Zuletzt wurden weltweit rund 290.000 CVEs registriert, doch die Zahl der tatsächlich ausgenutzten Schwachstellen bleibt im Vergleich dazu deutlich geringer. Gerade einmal sechs Prozent der registrierten Schwachstellen sind bisher für echte Angriffe genutzt worden. Dennoch stellt die reine Anzahl an Einträgen eine enorme Herausforderung dar.
Sicherheitsverantwortliche in Unternehmen sehen sich einem regelrechten „Vulnerability Treadmill“ gegenüber – einer Situation, in der ständig neue Schwachstellen gemeldet werden und das Patchen kaum Schritt hält. Das Problem wird weiter verschärft durch die bürokratischen Verzögerungen, die in jüngster Zeit beim National Vulnerability Database (NVD) der US-Regierung zu einem massiven Rückstau führten. Mehr als 24.000 CVEs warten auf ihre vollständige Bewertung und Anreicherung mit Zusatzinformationen. Solche Verzögerungen lassen Sicherheitsverantwortliche im Ungewissen, welche Gefahren tatsächlich prioritär behandelt werden sollten.
Eine zusätzliche Herausforderung ist die künftige Unsicherheit durch den Wegfall einiger staatlich finanzierter Programme, die die CVE-Datenbank bislang unterstützten. Glücklicherweise konnte die Finanzierung aufgrund des Drucks aus der Community zunächst gesichert werden, doch der Zwischenfall verdeutlicht, wie fragil solche zentralen Systeme sein können. Zudem stellt sich die Frage, ob allein auf CVE-basierende Daten die gesamte Bedrohungslage realistisch abbilden. Verschiedene Organisationen betreiben eigene Datenbanken, die teilweise deutlich mehr Schwachstellen erfassen als das MITRE-CVE-System oder das NVD. Beispielsweise publiziert China seit Jahren ein eigenes CNNVD-System.
Politische Barrieren erschweren zwar die Zusammenarbeit zwischen internationalen Datenbanken, doch technisch bieten sie wertvolle zusätzliche Erkenntnisse. Auch bleiben viele Schwachstellen lange Zeit unentdeckt oder werden nie öffentlich bekannt, sogenannte Zero-Day-Exploits, die von Angreifern besonders intensiv genutzt werden können. Im Jahr 2023 beispielsweise konstatierte Google’s Threat Analysis Group fast hundert entdeckte Zero-Day-Lücken – vor allem in Betriebssystemen, mobilen Geräten und Browsern. Angesichts der Menge verfügbarer Schwachstellen und der begrenzten Kapazitäten in IT-Sicherheitsabteilungen ist es entscheidend, Prioritäten zu setzen. Genau hier liefert das Exploit Prediction Scoring System (EPSS) wichtige Unterstützung.
Es prognostiziert, wie wahrscheinlich eine Schwachstelle in freier Wildbahn ausgenutzt wird. Dadurch können Sicherheitsteams etwa entscheiden, ob sie möglichst viele Schwachstellen abdecken oder sich fokussiert auf kritische Schwachstellen konzentrieren möchten. Allerdings zeigt eine Analyse im öffentlichen Verwaltungssektor, dass bereits durch die erste Gruppe von etwa 260 Schwachstellen die Wahrscheinlichkeit, dass eine davon ausgenutzt wird, bei über 99% liegt, auch wenn einzelne Schwachstellen nur geringe Ausnutzungswahrscheinlichkeiten besitzen. Dieser Effekt ist auf Wahrscheinlichkeitsdynamik zurückzuführen und verdeutlicht die enorme Komplexität bei der Priorisierung in großen Umgebungen. Ein kritischer Umstand ist zudem, dass Angreifer meist nicht einzelne Schwachstellen fokussieren, sondern ganze Systeme kompromittieren möchten.
Die Methoden zur Kompromittierung sind dabei vielfältig, und selbst wenn eine Schwachstelle nicht bekannt ist, kann ein erfahrener Angreifer andere Wege finden. Studien mit Penetrationstestern zeigen, dass die durchschnittliche Erfolgsrate bei Angriffen auf willkürliche Internetziele bei etwa 30 Prozent liegt. Wenn man davon ausgeht, dass ein Angreifer bei einer einzigen Maschine eine Erfolgswahrscheinlichkeit zwischen fünf und 40 Prozent hat, statten selbst relativ moderate Erfolgsraten Angreifern mit Zugriff auf viele potenzielle Ziele nahezu sichere Erfolgschancen aus. Schon durch das Anvisieren von 100 Systemen ist es für einen Angreifer wahrscheinlich, mindestens ein System zu kompromittieren. In Unternehmen mit Tausenden von Geräten zeigt sich, wie erschöpfend die Aufgabe der Schwachstellenverwaltung allein sein muss.
Vor diesem Hintergrund wird immer klarer, dass das traditionelle reine Vulnerability Management an seine Grenzen kommt und ein Umdenken erforderlich ist. Es reicht nicht mehr, nur Schwachstellen zu entdecken und zu managen. Vielmehr sollte der Fokus auf Threat Mitigation liegen – also der aktiven, dynamischen Einschätzung und Abwehr von Bedrohungen im Kontext der Geschäftsprozesse und IT-Landschaft. Patches etwa müssen gezielt dort eingesetzt werden, wo externe Angriffe realistisch passieren können. Interne Systeme sollten durch Architekturmaßnahmen geschützt werden, die Angriffe erschweren oder Eindringlinge isolieren.
Ein entscheidender Baustein dafür ist die konsequente Reduktion der Angriffsfläche. Unnötige oder verwaiste Systeme, die potenziell via Internet zugänglich sind, müssen entfernt werden. Die Einführung von Segmentierungen im Netzwerk, regelbasierten Zugriffssteuerungen und Zero-Trust-Architekturen hilft, die Bewegung eines Angreifers innerhalb der Infrastruktur stark einzuschränken. Die Idee dahinter ist, dass ein einzelner kompromittierter Endpunkt nicht automatisch die gesamte Organisation gefährdet. Dieses Konzept steht im Gegensatz zur reinen Reaktion auf Meldungen neuer Schwachstellen.
Die Etablierung robuster Baselines für Systemkonfigurationen unterstützt die Sicherheitsarbeit langfristig. Anstatt bei jeder neuen Meldung sofort zu reagieren, sollte es feste Pläne geben, basierend auf geprüften und genehmigten Sicherheitsstandards. Sicherheitsteams legen diese Standards fest, IT-Abteilungen setzen sie um und achten auf die Einhaltung. Schwachstellenscans bleiben eine wichtige Basis für Assetmanagement und Compliance, bekommen jedoch keinen hohen Ad-hoc-Prioritätsstatus mehr. Dieser Wandel ermöglicht eine effizientere Verwendung von Ressourcen und weniger Betriebsunterbrechungen.
Darüber hinaus ist es zentral, menschliche Faktoren in Sicherheitsstrategien einzubeziehen. Security-Teams sollten Führungskräfte früh mit ins Boot holen, um die Unterstützung auf Managementebene sicherzustellen. Sicherheitsmaßnahmen, die als Hemmschuh empfunden werden, haben meist geringeren Erfolg. Ein enabler-orientierter Ansatz, der die Nutzer mitdenkt, ist wesentlich nachhaltiger. Zugleich bleiben tiefergehende Threat-Modeling-Prozesse und ethische Hacking-Tests unverzichtbar, um realistische Angriffsszenarien zu simulieren und defensive Maßnahmen zu validieren.
Der Blick in die Zukunft zeigt, dass technologische Weiterentwicklungen, etwa im Bereich von künstlicher Intelligenz, das Bedrohungsbild ständig verändern. Neue Angriffsvektoren entstehen, doch auch Verteidigungsmaßnahmen können durch Automatisierung und vorausschauende Analysen optimiert werden. Ein moderner Sicherheitsprozess muss deshalb agil und lernfähig sein, nicht im starren Patch-Management verharren. Insgesamt zeigt sich, dass die Schwachstellenverwaltung durch das CVE-System zwar eine unverzichtbare Grundlage bildet, jedoch nicht ausreicht, um in der heutigen und zukünftigen Bedrohungslandschaft zu bestehen. Die Herausforderung liegt darin, die Flut von Sicherheitsinformationen intelligent zu filtern, Chancen für gezielte Prävention zu erkennen und Sicherheitsarchitekturen so zu gestalten, dass sogar erfolgreiche Einzelkompromittierungen weitreichende Folgen vermeiden.
Ein Paradigmenwechsel hin zu Threat Mitigation in Kombination mit Risk Reduction und resilienten Systemen ist notwendig, um den teils überwältigenden Anforderungen standzuhalten. Nur so lassen sich Sicherheitsressourcen effizient nutzen und Organisationen vor echten Cyberangriffen schützen. Die kommenden Jahre werden zeigen, wie Unternehmen diese Balance aus technischer Innovation, fundierter Risikoanalyse und pragmatischer Umsetzung meistern und damit moderner Cyberverteidigung eine neue Qualität verleihen.
