Das Dilemma der End-of-Life-Software ist nicht neu, aber es verschärft sich dramatisch. Wenn Wartungsteams eine Schwachstelle entdecken, dokumentieren sie normalerweise nur die betroffenen, noch unterstützten Versionen in der CVE-Datenbank. EOL-Versionen fallen aus diesem Prozess fast standardmäßig heraus – nicht, weil sie sicher sind, sondern weil niemand sie überprüft hat.
Die Zahlen sind beeindruckend: Laut dem Sonatype 2026 State of the Software Supply Chain Report sind von 12 Millionen analysierten Paketversionen etwa 5,4 Millionen am Ende ihres Lebenszyklus. Die öffentlich zugänglichsten EOL-Datenbanken wie endoflife.date verzeichnen hingegen nur etwa 7.000 Versionen. Das ist eine Lücke von über 99 Prozent.
Die Verteilung nach Ökosystem ist besorgniserregend: Bei npm sind etwa 25 Prozent aller Paketversionen EOL, bei NuGet 18 Prozent, bei Cargo 13 Prozent. Diese Versionen tauchen aktiv in Enterprise-SBOMs auf – mit keinerlei CVE-Untersuchungsabdeckung und ohne Reparaturpfad.
Ein konkretes Beispiel verdeutlicht das Ausmaß: CVE-2026-22732, eine kritische Schwachstelle in Spring Security (CVSS 9.1 von März 2026), lässt Security-Header wie Cache-Control oder Strict-Transport-Security stillschweigend fallen. Der offizielle CVE-Record listet Spring Security 5.7.x bis 7.0.x als betroffen auf. Spring Security 6.2.x ist nicht aufgeführt – obwohl es tatsächlich vulnerabel ist. Spring Boot 3.2 wird mit Security 6.2 ausgeliefert. Organisationen, die Boot 3.2 nutzen, erhalten keine Scanner-Warnung, obwohl sie unmittelbar betroffen sind.
Das Phänomen wiederholt sich konsistent: In etwa 80 Prozent der Fälle muss eine EOL-Version gepatcht werden, die im offiziellen CVE-Record nicht aufgelistet ist. Die tatsächliche Auswirkungsbreite jeder Schwachstelle ist systematisch größer als in den Aufzeichnungen dokumentiert.
Der zweite, noch besorgniserregendere Faktor ist künstliche Intelligenz. Projekte wie Anthropic’s Project Glasswing können Schwachstellen im gesamten Codebase-Bereich identifizieren – einschließlich jahrzehntelang unentdeckter Vulnerabilities. Für unterstützte Software ist dies tatsächlich positiv. Für EOL-Software jedoch: KI wird Schwachstellen in Versionen entdecken, die kein Maintainer überwacht. Diese Befunde werden nicht offiziell gegen EOL-betroffene Versionsangaben untersucht. Sie triggern keine Scanner-Alerts. Es gibt keine Patches.
Das BSI empfiehlt Unternehmen dringend, ihre Abhängigkeitsgraphen auf EOL-Komponenten zu überprüfen – einschließlich transitiver Abhängigkeiten. Die Bedeutung für DSGVO-Compliance ist erheblich: Unbekannte Schwachstellen in veralteter Software können zu Datenverletzungen führen, die Meldepflichten auslösen und Bußgelder bis zu vier Prozent des Jahresumsatzes nach sich ziehen.