Laut Malevich machen CVEs nur rund 25 Prozent der Expositionen aus, die Angreifer tatsächlich ausnutzen. Den weitaus größeren Anteil bilden Fehlkonfigurationen, zwischengespeicherte Zugangsdaten, übermäßige Berechtigungen und Identitätsschwächen. Daraus ergibt sich das erste Kriterium: die Abdeckung. Zusammengekaufte Produktportfolios sehen nur, wofür die jeweils übernommenen Werkzeuge gebaut wurden; reine Aggregatoren können lediglich normalisieren, was ihre Datenquellen liefern; Plattformen für eine einzelne Domäne decken nur einen Ausschnitt ab. Eine integrierte Plattform sollte bestehende wie aufkommende Expositionstypen – etwa KI-Workloads und Maschinenidentitäten – nativ erfassen.

Abdeckung allein genügt jedoch nicht; entscheidend ist auch, wie viel eine Plattform über jeden Befund weiß. Wer Ergebnisse von Drittwerkzeugen einliest, ist auf deren Metadaten beschränkt. Wer Expositionen selbst aufspürt, kontrolliert jede Informationsebene – von der Ausnutzbarkeit bis zur Behebung. Fehlt die Tiefe, entsteht laut Malevich nur Rauschen.

Das zweite Kriterium betrifft Angriffspfade. Manche zusammengesetzten Produkte zeigen Pfade an, die jedoch allein aus der Netzwerktopologie und der Konnektivität abgeleitet sind – wie ein Angreifer sich real seitlich fortbewegen würde, modellieren sie nicht. Aggregatoren liefern gar keine Pfade, sondern nur normalisierte Listen. Der eigentliche Prüfstein ist, ob eine Plattform Pfade über Umgebungsgrenzen hinweg verfolgen kann: Wer lokal Cloud-Zugangsdaten erbeutet, umgeht jede cloud-native Verteidigung, weil der Pfad außerhalb ihrer Sichtbarkeit beginnt.

Drittens geht es um echte Validierung. Statt nur ein oder zwei Bedingungen je Befund zu prüfen, sollte eine Plattform mehrere Bedingungen testen – etwa ob eine verwundbare Bibliothek von einem laufenden Prozess geladen wird oder ob ein Port offen und erreichbar ist – und binäre Antworten liefern: ausnutzbar oder nicht, erreichbar oder nicht.

Viertens müssen Sicherheitskontrollen in die Analyse einfließen. Eine mit CVSS 9.8 bewertete Schwachstelle, die eine Firewall blockiert, taugt nicht zur seitlichen Bewegung; eine Identitätsschwäche mit dem Wert 5.5 und direktem Pfad zu einem Domänencontroller dagegen ist ein Notfall. Plattformen, die Firewalls, MFA, EDR und Segmentierung ignorieren, priorisieren in die falsche Richtung.

Das fünfte Kriterium ist die Priorisierung selbst. Sie sollte allein beantworten, ob eine Exposition ein kritisches System gefährdet. Reines Scoring, Sortierung nach Asset-Tags oder das Annehmen unvalidierter Pfade berücksichtigen weder das individuelle Umfeld noch die tatsächliche Ausnutzbarkeit. Wirksame Priorisierung setzt bei den kritischen Systemen an und arbeitet rückwärts. Bildet eine Plattform all dies in einem Graphen ab, treten Engstellen hervor, an denen eine einzige Behebung mehrere Angriffspfade beseitigt – in großen Unternehmensumgebungen schrumpft die Prioritätenliste so auf etwa 2 Prozent aller Expositionen.

Schließt eine Behebung eine solche Engstelle, aktualisieren kontinuierliche Exposure-Management-Plattformen den Graphen in Echtzeit, sodass die Prioritätenwarteschlange stets das aktuelle Risiko widerspiegelt. Erst wenn eine Plattform Ausnutzbarkeit validieren, Sicherheitskontrollen modellieren und jeden gangbaren Pfad zu den kritischen Systemen abbilden kann, lasse sich die Eingangsfrage – Sind wir tatsächlich sicherer? – ehrlich mit Ja beantworten.