Im Zentrum der Auswertung steht eine wachsende Lücke zwischen Angriffs- und Verteidigungsgeschwindigkeit. Das Schwachstellenvolumen ist seit 2022 um das 6,5-Fache gestiegen. Laut Google M-Trends 2026 ist die durchschnittliche Zeit bis zur Ausnutzung („Time-to-Exploit") auf minus sieben Tage gefallen — Angreifer bewaffnen die schwerwiegendsten Schwachstellen also bereits, bevor überhaupt ein Patch existiert.
Von 52 untersuchten, prominent ausgenutzten Schwachstellen mit vollständig dokumentierten Zeitverläufen wurden 88 Prozent langsamer behoben, als sie ausgenutzt wurden; die Hälfte war bereits vor Verfügbarkeit eines Patches bewaffnet. Bei Spring4Shell etwa erfolgte die Ausnutzung zwei Tage vor der Offenlegung, während Unternehmen im Schnitt 266 Tage zur Behebung benötigten. Die Schwachstelle in Cisco IOS XE wurde einen Monat vor der Offenlegung ausgenutzt, der durchschnittliche Behebungszeitraum lag bei 263 Tagen.
Qualys benennt dafür eine „manuelle Steuer": Langläufer-Systeme, die manuelle Prozesse nicht erreichen, ziehen die Gesamtexposition von Wochen in Monate. Bei Spring4Shell betrug die durchschnittliche Behebungsdauer das 5,4-Fache des Medians. Während der Median bei Endgeräten verlässlich unter 14 Tagen liegt, lag er bei Cisco IOS XE bei 232 Tagen.
Als aussagekräftigere Kennzahl schlägt der Bericht die „Risikomasse" vor — verwundbare Systeme multipliziert mit den Tagen der Exposition — sowie das durchschnittliche Expositionsfenster (Average Window of Exposure, AWE), das die gesamte Dauer von der Bewaffnung bis zur Behebung erfasst. Beim Beispiel Follina, das 30 Tage vor der Offenlegung bewaffnet wurde und im Schnitt an Tag 55 geschlossen war, dehnte sich das AWE auf 85 Tage. Davon entfielen 36 Prozent auf den blinden Fleck vor der Offenlegung und weitere 44 Prozent auf den langen Schwanz des Patchens — zusammen 80 Prozent. Auf den messbaren Endspurt entfielen weniger als 20 Prozent.
Zugleich verweist die Studie auf einen Fehlfokus: Von 48.172 im Jahr 2025 offengelegten Schwachstellen waren nur 357 aus der Ferne ausnutzbar und tatsächlich aktiv bewaffnet. Organisationen verbrauchen Behebungskapazität für theoretische Risiken, während real ausnutzbare Lücken bestehen bleiben.
Qualys argumentiert, dass Cybersicherheit bislang stets technologischen Umbrüchen folgte — Windows-Sicherheit folgte auf Windows, Cloud-Sicherheit auf die Cloud. KI durchbreche dieses Muster, weil sie nicht nur eine neue Angriffsfläche sei, sondern den Angreifer selbst verändere. Offensive Agenten könnten bereits schneller entdecken, bewaffnen und ausführen, als jede personell besetzte Abwehr reagieren könne.
Als Alternative zum bisherigen Modell aus Scannen, Bewerten, Ticketerstellung und manueller Weiterleitung beschreibt der Bericht ein durchgängiges Risk Operations Center: maschinenlesbar eingebettete Entscheidungslogik, eine aktive Bestätigung, ob eine Schwachstelle in einer konkreten Umgebung tatsächlich ausnutzbar ist, und autonomes Handeln. Ziel sei nicht, menschliches Urteilsvermögen abzuschaffen, sondern es vom taktischen Abarbeiten hin zum Steuern der Richtlinien für die eigenen autonomen Systeme zu verlagern.
