Die auffälligste Zahl im “DBIR” betrifft den Einstiegsweg: Schwachstellen-Ausnutzung war im vergangenen Jahr der häufigste erste Zugriffsvektor bei Sicherheitsverletzungen, ein Plus von 31 Prozent gegenüber dem Vorjahr. Gleichzeitig schlossen Organisationen weniger kritische Lücken vollständig als zuvor – 26 Prozent gegenüber 38 Prozent. Gut die Hälfte (58 Prozent) wurde nur teilweise behoben, 16 Prozent blieben ganz unbearbeitet.

Auch das Tempo ließ nach: Die mittlere Behebungsdauer stieg von 32 Tagen im Jahr 2024 auf 43 Tage, und die Zahl der zu patchenden kritischen Fehler lag 50 Prozent höher als im Vorjahr. Das ist bemerkenswert, weil der “2025 DBIR” noch deutliche Fortschritte bei der Behebung gezeigt hatte – ein Trend, der sich aus den Vorjahren fortgesetzt hatte.

Parallel beobachtete Verizon eine dramatische Zunahme erkannter Schwachstellen, wahrscheinlich angetrieben durch KI-gestützte Fehlersuche. Laut Bericht enthielt der Datensatz von 2022 noch 68,7 Millionen Einträge, jener von 2025 bereits 527,3 Millionen – fast das Achtfache.

Die Ursachen sind vielschichtig. Die Menge kritischer Schwachstellen wächst, und selbst die bestausgestatteten Organisationen können laut “DBIR” in der ersten Woche nur 30 bis 40 Prozent davon patchen. Hinzu kommen komplexe Umgebungen aus IT, Betriebstechnik (OT), IoT-Geräten, KI- und Cloud-Produkten, dazu Ressourcen- und Betriebsgrenzen sowie konkurrierende Prioritäten. Manche Lücken bleiben dadurch Wochen oder Monate offen – und Angreifer wissen das. Alte Schwachstellen aus zurückliegenden Jahren werden weiterhin ausgenutzt.

Ein wesentlicher Profiteur der KI sind dem Bericht zufolge die Angreifer selbst. Sie nutzen große Sprachmodelle, um Malware zu entwickeln, Schwachstellen zu finden, Phishing-Köder zu bauen und Aufklärung zu automatisieren. Laut “DBIR” recherchierte oder nutzte der mittlere Bedrohungsakteur KI-Unterstützung in 15 dokumentierten Techniken, einzelne Akteure in bis zu 40 oder 50.

Patrick Münch, Chief Security Officer von Mondoo, sagt gegenüber Dark Reading, Angreifer hätten einen asymmetrischen Vorteil, weil sie nur einen erfolgreichen Weg finden müssten und KI die Kosten von Angriffsversuchen gegen null senke. Dauerhaft sei diese Asymmetrie aber nicht: Die Zukunft liege in agentenbasierter Behebung. Erfolgreich seien jene Verteidiger, die KI nicht als Assistenten für bessere Tickets einsetzten, sondern als autonome Abläufe, die ohne menschliche Engstellen erkennen, einordnen, priorisieren und beheben.

Verizons eigene Empfehlung fällt schlichter aus: Priorisierung von Patches. Nicht jede Schwachstelle wiegt gleich schwer; entscheidend seien aktive Ausnutzung und Aktualität. Forscher fanden, dass eine Lücke umso unwahrscheinlicher erneut ausgenutzt wird, je länger ihre letzte Ausnutzung zurückliegt. Die Wahrscheinlichkeit eines Wiederaufflammens sinkt nach etwa 30 Tagen, erneut nach 90 Tagen und nochmals nach rund neun Monaten; nach einem Jahr entspricht sie etwa der einer nie ausgenutzten Schwachstelle. Aktive Ausnutzung müsse jedoch ungeachtet des Alters stets oberste Priorität haben.

Tim Jarrett, Vice President of Strategic Product Management bei Veracode, empfiehlt, die Erkennung nach vorne zu verlagern, bevor es überhaupt zur aktiven Ausnutzung kommt. Für bereits vorhandene Schwachstellen rät er – wie der “DBIR” – zur Priorisierung nach Ausnutzungsstatus über den KEV-Katalog und das Exploitability Prediction Scoring System sowie zum Einsatz automatisierter Behebungswerkzeuge.