Die Threat Research Unit (TRU) von Qualys veröffentlicht die Ergebnisse der Studie „The Broken Physics of Remediation“ die bislang umfassendste Analyse zu Schwachstellenmanagement und Exploitation-Trends. Sie basieren auf der Auswertung von über einer Milliarde CISA-KEV-Datensätzen aus mehr als 10.000 Organisationen weltweit über einen Zeitraum von vier Jahren (2022–2025) und zeigt deutlich, dass die Geschwindigkeit moderner Angriffe klassische Sicherheitsprozesse inzwischen überholt hat. Unternehmen können mit dieser Dynamik nur Schritt halten, wenn sie konsequent auf Automatisierung und KI-gestützte Priorisierung setzen.
Angriffsgeschwindigkeit überholt Verteidigungsfähigkeit
Die Ergebnisse verdeutlichen, dass das Volumen an Schwachstellen die manuelle Bearbeitungskapazität längst übersteigt. So stieg die Zahl behobener Schwachstellen um das 6,5-Fache – von 73 Millionen im Jahr 2022 auf 473 Millionen im Jahr 2025. Gleichzeitig hat sich die Dynamik auf Angreiferseite dramatisch verändert: Die durchschnittliche Time-to-Exploit liegt inzwischen bei -1 Tag. Damit werden Schwachstellen häufig bereits ausgenutzt, bevor sie überhaupt öffentlich bekannt werden. Parallel dazu stoßen klassische Sicherheitsprozesse zunehmend an ihre Grenzen. Trotz steigender Ticketzahlen bleiben 63 Prozent der kritischen Schwachstellen sieben Tage nach ihrer Entdeckung ungepatcht – ein Anstieg gegenüber 56 Prozent im Jahr 2022, der die Ineffektivität rein manueller Remediation-Ansätze unterstreicht.
Metriken und Priorisierung werden entscheidend
Vor diesem Hintergrund führt Qualys mit der Kennzahl „Average Window of Exposure“ (AWE) eine neue Metrik ein, die den tatsächlichen Zeitraum zwischen Ausnutzung und Behebung misst und damit ein realistischeres Bild des Risikos liefert als klassische Kennzahlen wie MTTR. Die Analyse zeigt, dass 85 Prozent der betroffenen Systeme zum Zeitpunkt der Offenlegung ungepatcht sind, 33 Prozent nach 21 Tagen weiterhin verwundbar bleiben und selbst nach 90 Tagen noch 12 Prozent exponiert sind. Besonders kritisch ist zudem die zunehmende Bedeutung von Zero-Day-Angriffen: Von 52 aktiv ausgenutzten Schwachstellen wurde die Hälfte bereits vor ihrer öffentlichen Bekanntmachung angegriffen, in Extremfällen – etwa bei einer Windows-Kernel-Schwachstelle – bis zu 182 Tage vorher. Gleichzeitig verlangsamen manuelle Prozesse die Behebung erheblich, da durchschnittliche Remediation-Zeiten vier- bis fünfmal über dem Median liegen. Ein prominentes Beispiel ist die Schwachstelle Spring4Shell, deren Behebung im Schnitt 266 Tage dauerte.
Die Studie zeigt außerdem, dass weniger als ein Prozent der Schwachstellen tatsächlich kritisch ist: Von 48.172 im Jahr 2025 veröffentlichten Schwachstellen waren nur 357 aktiv ausnutzbar und es lagen entsprechende exploits vor. Dies unterstreicht die Notwendigkeit risikobasierter Priorisierung, um relevante Bedrohungen gezielt zu identifizieren und Ressourcen effizient einzusetzen. In diesem Kontext gewinnt künstliche Intelligenz zunehmend an Bedeutung. Agentic AI-Ansätze wie „Agent Val“ ermöglichen eine schnellere Validierung der tatsächlichen Ausnutzbarkeit und helfen Sicherheitsteams, sich auf echte, anstatt theoretischer Risiken zu konzentrieren. Gleichzeitig rücken Edge-Systeme wie Firewalls, VPNs und Gateways verstärkt in den Fokus, da sie das höchste strategische Risiko pro Schwachstelle aufweisen.
Fazit
Die Studie macht deutlich, dass sich die „Physik“ der Schwachstellenbehebung grundlegend verändert hat. Heute ist Geschwindigkeit der entscheidende Faktor. Unternehmen müssen ihre Sicherheitsstrategien entsprechend neu ausrichten – weg von reaktiven, manuellen Prozessen hin zu automatisierten, KI-gestützten und risikoorientierten Ansätzen, um der Geschwindigkeit moderner Angriffe wirksam begegnen zu können.
Mehr erfahren Sie hier im Blog: https://blog.qualys.com/vulnerabilities-threat-research/2026/03/23/the-broken-physics-of-remediation
Weitere Artikel
CISA Advisory warnt vor Attacken auf KRITIS
Neue Studie von Armis zeigt: Sicherheitsteams in Deutschland sind mit ihren Threat Intelligence-Daten überfordert und übersehen unwissentlich Schwachstellen
CISA nimmt sechs weitere Schwachstellen in ihre Liste bekannter Schwachstellen auf
Selbst Drucker sind angreifbar