“Du wusstest es, und du hättest handeln können. Warum hast du es nicht getan?” Diese Frage möchte kein Unternehmensführer nach einem Sicherheitsvorfall beantworten. Doch immer häufiger sind Führungskräfte und Vorstände gezwungen, sich ihr zu stellen.
Jahrelang haben Vorstände und Management ein großes Backlog von Schwachstellen als unangenehme, aber akzeptable Realität behandelt. Bei Berichten über Tausende offene High- und Critical-CVEs hörte man regelmäßig die üblichen Ausreden: Andere Prioritäten, das würde Jahre kosten, wie weiß man, dass diese wirklich Critical sind, wir priorisieren ja bereits.
In der Vergangenheit war diese Haltung, obwohl nicht ideal, oft überlebensfähig. Exploits waren langsamer, manueller und erforderten mehr Geschick. Selbst hochentwickelte Angreifer hatten Einschränkungen. Organisationen verließen sich stillschweigend darauf: “Wenn es wirklich so schlecht wäre, wären wir jetzt bereits kompromittiert.”
Diese Welt existiert nicht mehr.
Wir beobachten jetzt, wie Bedrohungsakteure agentic-AI-Systeme nutzen, um den gesamten Angriffs-Workflow zu beschleunigen: Aufklärung, Schwachstellenentdeckung, Exploit-Entwicklung und operative Tempo. Anthropic hat öffentlich beschrieben, wie eine Cyber-Spionage-Kampagne unterbrochen wurde, in der Angreifer Claude einsetzten und damit ihre Geschwindigkeit und Skalierbarkeit erheblich erhöhten. Das Unternehmen warnte explizit, dass solche Fähigkeiten weniger erfahrenen Gruppen ermöglichen, Arbeiten zu leisten, die zuvor deutlich mehr Fähigkeiten und Personal erfordert hätten.
Als Security Leader wissen wir, dass KI Angreifer schneller macht. Aber nun verwandelt Automatisierung ein Backlog in eine Waffe. Im alten Modell konnte man 13.000 High-Schwachstellen als Triage-Problem darstellen. Im neuen Modell können Angreifer von der Kettenfindung bis zur Validierung und Ausnutzung in dramatisch kürzerer Zeit übergehen. “Wir arbeiten das Backlog ab” klingt nicht mehr wie eine Strategie, sondern wie eine Ausrede.
Doch der CISO ist doch verantwortlich? In der Theorie ja, in der Praxis ist das Schwachstellenproblem in vielen Unternehmen strukturell größer als die Verantwortung eines einzelnen Executives. Es ist ein Systemproblem: Legacy-Abhängigkeiten, Veröffentlichungsgeschwindigkeit, fragile Produktionsumgebungen und begrenzte Engineering-Ressourcen. Vorstände können die Governance nicht delegieren.
Delawares Caremark-Rechtsprechung wird häufig in Diskussionen über Board-Aufsicht zitiert: Vorstände müssen Berichtssysteme haben, die bedeutsame Risiken aufdecken, und müssen tatsächlich darauf eingehen. Es geht nicht darum, Direktoren mit Jura zu erschrecken, sondern um den praktischen Governance-Punkt: Wenn der Bericht “Wir haben Tausende ernsthafter Schwachstellen offen” lautet, ist die Aufgabe des Vorstands, Aufsicht auszuüben.
Vorstände sollten die operative Realität suchen. Der Fokus sollte auf der Widerstandsfähigkeit der Unternehmenstechnik liegen, nicht nur auf Compliance. Security Leader sollten Betriebssysteme aufbauen, die diese ermöglichen. Diese Fragen helfen, durch performative Cybersicherheit durchzuschauen:
Wie oft führt notfallmäßiges Patchen zu Kundenbeeinträchtigungen? Wenn Emergency Patches regelmäßig Auswirkungen auf die Produktivität haben, entsteht ein schreckliches Dilemma: Exposure akzeptieren oder Ausfallzeiten akzeptieren. Das moderne Unternehmen braucht ein Modell, das die Häufigkeit und den Umfang von Notfall-Remediation reduziert, nicht eines, das den gleichen fragilen Prozess nur beschleunigt.
Wir sehen, wie sich Haftungen verschieben, während Regulatoren und Gerichte den Fokus auf Software-Supply-Chain-Hygiene und operative Resilienz legen.
In der EU ist der Cyber Resilience Act (CRA) jetzt in Kraft, mit Hauptverpflichtungen, die im Dezember 2027 in Kraft treten. Viele Organisationen werden mit stärkeren Erwartungen für Schwachstellenbehandlung, Secure-by-Design-Praktiken und Rechenschaftspflicht im gesamten Software-Lebenszyklus konfrontiert.
Im Finanzsektor ist DORA (Digital Operational Resilience Act) in Kraft getreten und bringt harmonisierte IKT-Risikomanagement- und Betriebsresilienz-Anforderungen in der gesamten EU.
Wir sehen diese Dynamik auch in den USA, wo Fahrlässigkeitsklagen gegen Firmen eingereicht werden, wobei Kläger einen Mangel an Sorgfalt behaupten, der zu Datenschutzverletzungen führte.
Im Zeitalter der KI-beschleunigten Exploits bedeutet “verwaltetes Risiko” oft, anzunehmen, dass Angreifer weiterhin im gestrigen Tempo vorgehen. Das sollte sich ändern.
Vorstände sollten aufhören, diese Annahme zu akzeptieren. CISOs sollten aufhören zu tun, als wären “schneller patchen” oder eine Risikoakzeptanz ausreichend. Und Organisationen sollten in die Reduzierung der Schwachstellenexposition an der Quelle investieren, damit der nächste Audit-Bericht nicht eine Tabellenkalkulation akzeptierter Risiken ist, sondern der Beweis einer schrumpfenden Angriffsfläche.
Indem Unternehmen die Schwachstellen-Rückstände und Remediation-Belastung strukturell reduzieren, können Teams Engineering-Zeit von Null-ROI-Feuerbekämpfung auf High-ROI-Innovation umleiten, die echten Wettbewerbsvorteil und Umsatzwachstum antreibt.
Denn wenn nach dem Breach die Schuldzuweisungen beginnen und jemand fragt, warum das Unternehmen sich entschied, mit 13.000 High-Schwachstellen in der Produktion zu leben, lautet die einzige verteidigbare Antwort: Das haben wir nicht. Wir haben das System geändert.