Die Herausforderung ist beispiellos: Während im Jahr 2022 noch 68,7 Millionen Einträge in Schwachstellen-Datenbanken verzeichnet waren, stieg diese Zahl 2025 auf 537,3 Millionen — fast eine Verachtfachung. Diese explosionierende Menge wird maßgeblich durch KI-gestützte Sicherheitsforschung angetrieben, die automatisiert Bugs aufspürt.
Doch während die Anzahl der entdeckten Schwachstellen explodiert, verschärft sich das Remediations-Dilemma zusehends. Organisationen benötigen im Durchschnitt 43 Tage zur Behebung kritischer Vulnerabilities — zwei Wochen länger als noch 2024. Besonders bemerkenswert: Selbst best-ausgestattete Unternehmen können maximal 30 bis 40 Prozent aller kritischen Schwachstellen in der ersten Woche patchen. Der Rest bleibt eine potenzielle Angriffsfläche.
Das eigentliche Problem liegt in der Komplexität moderner IT-Umgebungen. Deutsche Mittelständler und Enterprise-Unternehmen jonglieren gleichzeitig mit klassischer IT-Infrastruktur, Operational Technology (OT), Internet-of-Things-Geräten, Cloud-Lösungen und zunehmend KI-Systemen. Jeder dieser Bereiche erfordert unterschiedliche Sicherheitsstrategien und Patch-Prozesse. Hinzu kommen organisatorische Zwänge und Prioritäten-Konflikte, die dazu führen, dass manche Vulnerabilities Wochen oder Monate ungepatcht bleiben.
Threat-Actors haben diese Schwachstellen längst durchschaut — im doppelten Sinne. Sie nutzen Large Language Models nicht nur zur Entwicklung von Malware und Phishing-Kampagnen, sondern auch zur automatisierten Reconnaissance und Vulnerability-Analyse. Der Median eines Threat-Actors recherchiert oder nutzt KI in 15 verschiedenen Angriffsszenarien; manche sogar in 40 bis 50.
Die asymmetrische Situation ist klar: Angreifer benötigen nur einen erfolgreichen Weg — und KI senkt die Kosten für Exploitations-Versuche gegen Null. Verteidiger hingegen müssen alle Wege sichern.
Verizon empfiehlt daher Fokus auf Priorisierung statt Vollständigkeit. Nicht alle Schwachstellen sind gleich kritisch. Die Forschung zeigt: Je länger ein Exploit nicht mehr aktiv genutzt wurde, desto unwahrscheinlicher ist eine erneute Ausnutzung. Nach etwa 30 Tagen, erneut nach 90 Tagen und nach neun Monaten sinkt die Exploitationswahrscheinlichkeit deutlich. Nach einem Jahr ähnelt das Risiko dem eines nie exploitierten Bugs.
Für deutsche Organisationen bedeutet dies: Aktiv ausgenutzte Schwachstellen müssen Vorrang haben, unabhängig vom Alter. Automatisierte Remediation-Tools und das CISA-Katalog der bekanntermaßen ausgebeuteten Vulnerabilities bieten dabei Orientierung. Der BSI-Standard IT-Grundschutz sollte als Rahmen für diese Priorisierung dienen.