Die Zahlen sind eindeutig: Von 52 hochkarätig genutzten Schwachstellen wurden 88 Prozent langsamer geschlossen als sie ausgebeutet wurden. Das prominenteste Beispiel ist Spring4Shell — hier benötigten Unternehmen durchschnittlich 266 Tage zur Behebung, während Angreifer die Lücke bereits zwei Tage vor der Offenlegung exploitieren konnten. Bei der Cisco IOS XE-Schwachstelle vergingen sogar 263 Tage durchschnittlicher Remediationszeit, während die Waffe einen Monat früher einsatzbereit war.
Diese Diskrepanz ist keine Frage von Intelligenz oder Engagement. Sie ist eine Frage der Operationalisierung. Das sogenannte “Manual Tax” — die Überlastung durch manuelle Prozesse — führt zu exponentiellen Verzögerungen bei der Behebung. Bei Spring4Shell lag die durchschnittliche Remediationsdauer beim 5,4-fachen des Medianwerts. Dieser Unterschied ist entscheidend: Der Median erzählt eine beruhigende Geschichte, der Durchschnitt die unbequeme Wahrheit. Besonders kritisch ist die Situation bei Infrastruktursystemen, wo selbst der beste Fall acht Monate Exposition bedeutet.
Die traditionelle Metrik der Schwachstellenzählung (CVE-Count) ist zum Fehlindikator geworden. Stattdessen sollten Organisationen “Risk Mass” messen — die Anzahl gefährdeter Assets multipliziert mit Tagen der Exposition. Ein weiterer Schlüsselindikator ist das “Average Window of Exposure” (AWE), das die vollständige Dauer von Weaponisierung bis Behebung abbildet. Bei der Follina-Schwachstelle etwa betrug die durchschnittliche Behebung 55 Tage nach Disclosure, doch das AWE erstreckte sich über 85 Tage: 36 Prozent entfallen auf die Zeit vor Offenlegung, 44 Prozent auf das Tail-End der Patch-Verteilung. Der gemessene Sprint macht weniger als 20 Prozent aus.
Die zentrale Erkenntnis lautet: Das aktuelle Betriebsmodell hat eine mathematische Grenze erreicht, die keine noch so große Personalsteigerung oder Prozessoptimierung überwinden kann. Von 48.172 Schwachstellen, die 2025 gemeldet wurden, waren nur 357 tatsächlich remotely exploitabel und aktiv weaponisiert — Teams verschwenden Remediationszyklen auf theoretische Risiken, während echte Exploitierungslücken offen bleiben.
Die Lösung liegt in autonomen, geschlossenen Sicherheitskreisläufen. Ein “Risk Operations Center” ersetzt das alte “Scan-and-Report”-Modell durch embedded Intelligence, aktive Validierung der echten Exploitierbarkeit und automatisierte Maßnahmen im erforderlichen Tempo. Das Ziel ist nicht die Eliminierung menschlicher Urteile, sondern deren Erhöhung: Sicherheitspraktiker sollen von taktischer Ausführung zu strategischer Steuerung autonomer Systeme übergehen.
Die Organisationen, die bereits im Vorteil sind, gewinnen nicht mit größeren Teams — sie gewinnen durch die Entfernung menschlicher Latenz aus dem kritischen Pfad. Time-to-Exploit wird nicht wieder positiv. Schwachstellenvolumen wird nicht sinken. Die einzige Frage ist, ob Organisationen ihre Verteidigungsarchitektur der mathematischen Realität anpassen werden, bevor sich das Fenster zwischen menschlicher und autonomer Abwehr endgültig schließt.