Bei Lumen arbeiteten zuvor mehr als 40 unabhängige IT- und Sicherheitswerkzeuge nebeneinander, die jeweils nur Teilaspekte der Umgebung erfassten. Die Systeme kamen laut Quelltext zu unterschiedlichen Ergebnissen bei Geräteanzahl, Zuständigkeiten und Abdeckungsstatus. Wenn die Unternehmensführung wissen wollte, welcher Anteil der Server mit EDR ausgestattet war, musste das Team auf mehrere Quellen zurückgreifen, die sich teilweise widersprachen. Geoff Krahn beschrieb die Lage so: „Wir waren ständig in Incident-Response-Anrufen, ohne zu wissen, wem was gehörte.“

Mit Axonius führte Lumen diese verstreuten Quellen in einem gemeinsamen Modell zusammen. Dabei zeigte sich, wie groß die Lücke zwischen angenommener und tatsächlicher Sicht auf die Umgebung war. Krahn zufolge war das für die gesamte Organisation ein Weckruf, weil das Ausmaß der eigenen Verantwortung erst dadurch quantifizierbar wurde. Zugleich habe die Sichtbarkeit von Kontrolllücken geholfen, Unterstützung und Finanzierung durch die Unternehmensführung zu erhalten.

Besonders relevant wurde die konsolidierte Datenbasis bei kritischen Schwachstellen. Nach Angaben von Krahn kann sein Team heute innerhalb weniger Minuten feststellen, welche Systeme betroffen sind, ob diese extern exponiert sind und wer für sie verantwortlich ist. Anschließend lassen sich Warnungen über einen auf Axonius aufsetzenden Chatbot an Ingenieurteams weitergeben. Krahn bezeichnete nahezu sofort verfügbare Informationen darüber, wie viele Assets für eine Zero-Day-Schwachstelle anfällig sind, wem sie gehören und ob sie extern erreichbar sind, als entscheidend für schnelle Reaktion und Kommunikation.

Lumen betreibt zudem Tausende interne Anwendungen. Für das Unternehmen reicht es deshalb nicht aus, nur den Patch-Status einzelner Server zu kennen. Nach dem Quelltext beantwortet das noch nicht, welche Anwendung auf einem System läuft, wer sie verantwortet oder welcher Umsatzstrom bei einer Kompromittierung gefährdet wäre. Durch die Verknüpfung von CMDB-Beziehungen mit Kontrollabdeckung, Schwachstellendaten und End-of-Life-Status entwickelte Lumen in Axonius deshalb ein „Application Posture Dashboard“. Dieses bewertet Risiken auf Anwendungsebene statt nur auf Infrastrukturebene. Krahn plant, diese Sicht direkt mit den von Lumen verkauften Produkten zu verbinden, um Cyber-Exposition mit Umsatz zu verknüpfen.

Der Quelltext stellt diesen Ansatz dem verbreiteten Priorisierungsmodell nach CVSS gegenüber. Laut „2026 Axonius Actionability Report“ verlassen sich noch 56 Prozent der Organisationen in erster Linie auf CVSS, obwohl weithin Konsens bestehe, dass Ausnutzbarkeit, Wirkungsradius und Geschäftsauswirkungen die Priorisierung bestimmen sollten. In der Praxis führe das dazu, dass kritische Probleme hinter Tausenden mittelgradigen Befunden verschwinden, die für die konkrete Umgebung kaum Risiko bedeuten. Krahn nannte das frühere Modell unverblümt „scannen und zuspammen“: alles scannen, Ergebnisse ausschütten und hoffen, dass zuerst das Richtige behoben wird.

Mit belastbaren Asset-Daten schlug Lumen nach eigenen Angaben einen anderen Weg ein. Axonius Exposures half dem Team dabei, technische Befunde mit Asset-Kontext, geschäftlicher Kritikalität und Kontrollabdeckung zu kombinieren, um jene Maßnahmen sichtbar zu machen, die die größte Risikoreduktion versprechen. Krahn sagte, Exposure-Management werde es ermöglichen, das Schwachstellenmanagement über „scannen und zuspammen“ hinaus zu einem intelligenten, risikobasierten Vorgehen weiterzuentwickeln.

Die verbesserte Transparenz wirkte sich laut Krahn auch auf strategische Entscheidungen aus. Die Sicht, die Axonius auf End-of-Life-Probleme in den Systemen eröffnet habe, habe direkt zur Entscheidung beigetragen, den Großteil der Infrastruktur in die Cloud zu migrieren. Das habe das Gesamtrisiko um 40 Prozent gesenkt. Der Quelltext zieht daraus eine grundsätzliche Schlussfolgerung: Wenn selbst ein Unternehmen mit eigenem Sicherheitsteam und mehr als 40 Inventarsystemen seine Cyber-Asset-Sicht um den Faktor 60 verfehlt, dürften ähnliche Lücken auch anderswo wahrscheinlich sein.