SchwachstellenHackerangriffeCloud-Sicherheit

Supply-Chain-Krise: Zu viele Sicherheitslücken, zu wenig Übersicht

Von CyberDeutsch Redaktion
Supply-Chain-Krise: Zu viele Sicherheitslücken, zu wenig Übersicht
Zusammenfassung

Die Lieferkettensicherheit steht vor einer beispiellosen Krise: Schwachstellen werden schneller entdeckt, als sie behoben werden können, während gleichzeitig die Sichtbarkeit über diese Risiken drastisch abnimmt. Laut dem aktuellen Report von Black Kite ist „Geschwindigkeit ohne Sichtbarkeit" das zentrale Problem der modernen Supply-Chain-Sicherheit. Experten warnen, dass die mittlere Zeit bis zur Ausnutzung von Schwachstellen mittlerweile bei minus sieben Tagen liegt – Angreifer nutzen Lücken also regelmäßig, bevor überhaupt Patches verfügbar sind. Parallel verstärkt künstliche Intelligenz diese Problematik: KI-Systeme entdecken neue Vulnerabilities schneller, während gleichzeitig schlecht gepatchte KI-Anwendungen neue Angriffsflächen schaffen. Für deutsche Unternehmen und Behörden ist dies besonders kritisch, da sie oft unbewusst Teil globaler Lieferketten sind und durch kompromittierte Zulieferer Ziel von Cyberangriffen werden können – ohne selbst aktiv schuldig zu sein. Ohne bessere Sichtbarkeit in ihre IT-Infrastruktur und die verwendete Software können Organisationen die Flut kritischer Sicherheitslücken nicht mehr bewältigen. Dies macht Supply-Chain-Security zu einer der dringendsten Herausforderungen für deutsche Unternehmens- und Behördensicherheit.

Das zentrale Problem lässt sich in einer Formel zusammenfassen: Geschwindigkeit ohne Transparenz ist die neue Supply-Chain-Krise. Der Report von Black Kite analysiert drei kritische Erkenntnisse, die das Ausmaß des Problems verdeutlichen.

Zunächst die schiere Menge: Die Zahl der entdeckten Schwachstellen wächst exponentiell. Doch noch problematischer ist die Zeit-zur-Ausnutzung. Mandiant hat in seinem M-Trends-2026-Report gemessen, dass die durchschnittliche Zeit von Schwachstellenentdeckung bis zur Exploitation inzwischen bei minus 7 Tagen liegt – Angreifer nutzen Lücken also routinemäßig aus, bevor überhaupt ein Patch existiert. Traditionelle Patch-Management-Strategien sind damit gescheitert.

Die dritte Erkenntnis ist hoffnungsvoll und gleichzeitig unbequem: Nicht alle Schwachstellen sind gleich kritisch. Black Kite untersuchte 1.024 Schwachstellen basierend auf EPSS-Scores, Aufnahme in die Known-Exploited-Vulnerabilities-Liste und Third-Party-Relevanz. Dabei stellten sie fest, dass nur 58 dieser CVEs für Angreifer durch einfache Open-Source-Intelligence leicht zu entdecken waren – diese 58 sind die wirklich kritischen. Das Problem: Viele Organisationen wissen gar nicht, welche Schwachstellen in ihren Systemen existieren.

Künstliche Intelligenz verschärft die Krise erheblich – auf mehreren Ebenen. Frontier-Modelle werden 2026 mehr Schwachstellen finden als je zuvor. Gleichzeitig führt die rasante Entwicklung einfach zu codierender KI-Anwendungen zu mehr fehlerhafter Software. Hinzu kommt: AI-gesteuerte häufigere Software-Updates bringen vermehrt Risiken mit sich, insbesondere durch kompromittierte Abhängigkeiten in npm-Paketen.

Ein vierter, oft übersehener Faktor sind sogenannte agentic AI-Systeme – KI-gesteuerte autonome Tools, die Zugriffsrechte erhalten und oft unbemerkt in Infrastrukturen eindringen, etwa durch heruntergeladene Web-Apps oder als “Shadow AI”. IT- und Sicherheitsteams wissen oft nicht einmal, dass diese Systeme laufen.

Jeffrey Wheatman, Cyber-Risk-Strategist bei Black Kite, zeigt sich jedoch nicht vollständig pessimistisch: “Viel davon ist effektiv Hintergrundrauschen.” Er erinnert an den Fall eines 27 Jahre alten OpenBSD-Bugs – kritisch, ja, aber praktisch nicht ausnutzbar. Das Fazit bleibt dennoch klar: Mit defensiver KI und verbesserter Sichtbarkeit – idealerweise durch vollständige Software-Bills-of-Materials (SBOMs) von Herstellern – lässt sich das Risiko reduzieren. Doch diese Lösungen sind oft unvollständig, ungenau oder, wie “AI SBOMs”, noch ein Jahr oder mehr entfernt.

Ähnliche Artikel