Die Geschwindigkeit des Cyber-Kriegs hat sich fundamental verändert. Während ein menschlicher Angreifer früher Stunden oder Tage brauchte, um ein Netzwerk zu infiltrieren, reduziert sich dieser Zeitraum durch KI-gesteuerte Systeme auf Sekunden. Das konkrete Szenario: Ein automatisiertes Angriffsskript exploitiert in Sekunde fünf eine bekannte Schwachstelle, umgeht die Multi-Faktor-Authentifizierung bis Sekunde 20, hinterlässt eine Web-Shell bei Sekunde 30, stiehlt Anmeldedaten bei Sekunde 45 — und hat den kompletten Durchbruch in 73 Sekunden erzielt. Kein Mensch, kein Zögern, keine Meetings dazwischen.
Auf der Verteidigungsseite sieht die Bilanz dramatisch anders aus: Der SIEM-Alert feuert erst nach einer Minute, nachdem der Angreifer längst weg ist. Ein Analyst kümmert sich ab Minute fünf darum, ein Automatisierungs-Playbook wird manuell ausgelöst (Minute 15), ein Jira-Ticket wird eingereicht (eine Stunde später), und die IT-Abteilung sieht das Problem nach vier Stunden. Der Patch geht dann am nächsten Tag raus — 24 Stunden nach einem Angriff, der 73 Sekunden brauchte.
Das eigentliche Problem: Die Zeit verschwindet nicht innerhalb einzelner Tools. EDR, SIEM und Scanner sind schnell. Die Verzögerung tritt zwischen den Systemen auf — in den Slack-Nachrichten, PDF-Reports zur Freigabe, Approval-Warteschlangen und manuell nachgebauten Scripts. Dieses “Spaghetti-Handoff” zwischen Teams und Systemen ist der echte Killer.
Das BSI warnt bereits vor dieser Asymmetrie. Die klassischen Annahmen der Schwachstellenverwaltung sind brüchig geworden. Vor einem Jahrzehnt brauchten Exploits Monate, um nach einer CVE-Veröffentlichung in freier Wildbahn zu erscheinen. 2024 waren es noch 56 Tage, 2025 bereits 23 Tage. Aktuell liegt der Median bei etwa zehn Stunden. Diese Kompression ist nicht zufällig: Das Reversieren von Sicherheitspatches in funktionierende Exploits ist längst keine Spezialisten-Kunst mehr — es ist eine KI-Prompt-Frage geworden.
Für deutsche Unternehmen unter der DSGVO bedeutet dies existenzielle Herausforderungen. Datenleaks müssen dem BfDI innerhalb von 72 Stunden gemeldet werden. Bei einer Patch-Verzögerung von 24 Stunden und einer Attacke, die 73 Sekunden dauert, ist die Compliance-Verpflichtung bereits verletzt, bevor die Behördenbenachrichtigung überhaupt möglich ist.
Die Lösung liegt in drei Säulen: Identifizieren (was kann man überhaupt sehen?), Schützen (wie robust sind Kontrollen wirklich?) und — meist unterschätzt — Validieren. Validierung besteht aus zwei Teilen: Defensive Validierung durch Breach-and-Attack-Simulation prüft, ob Prevention- und Detection-Controls tatsächlich funktionieren. Offensive Validierung durch autonomes Penetration-Testing zeigt auf, ob Angreifer echte Angriffspfade ins Netzwerk finden.
Doch selbst kontinuierliche Schleifen reichen nicht aus, wenn der Gegner im Maschinentempo agiert. Die Antwort heißt autonome Validierung: Agenten lesen Alerts, führen Tests durch, triggern Fixes und schreiben Reports — während Menschen aufgeholt haben, was sie verpasst haben.