40.000 CVEs pro Jahr: Warum KI-gestütztes Schwachstellenmanagement kein Luxus mehr ist

Im Jahr 2024 wurden über 40.000 neue CVEs veröffentlicht — ein Anstieg von 38 Prozent gegenüber dem Vorjahr. Die CISA führte davon weniger als 200 in ihrem KEV-Katalog als aktiv ausgenutzt. Für Security-Teams bedeutet das: 99,5 Prozent aller veröffentlichten Schwachstellen werden nie aktiv ausgenutzt. Aber welche 0,5 Prozent die gefährlichen sind, lässt sich mit CVSS allein nicht bestimmen.

Warum CVSS als Priorisierungsgrundlage versagt

Das Common Vulnerability Scoring System (CVSS) bewertet die theoretische Schwere einer Schwachstelle auf einer Skala von 0 bis 10. Das Problem: CVSS berücksichtigt weder den Kontext der Umgebung noch die tatsächliche Ausnutzungswahrscheinlichkeit.

Eine Schwachstelle mit CVSS 9.8 in einer Software, die im Unternehmen nicht eingesetzt wird, ist irrelevant. Eine Schwachstelle mit CVSS 6.5 in einem aus dem Internet erreichbaren System, für das ein Exploit-Kit existiert, ist eine akute Bedrohung. CVSS unterscheidet zwischen diesen Szenarien nicht.

Laut einer Analyse von Qualys werden weniger als 3 Prozent aller CVEs mit CVSS ≥ 9.0 jemals aktiv ausgenutzt. Gleichzeitig haben einige der folgenreichsten Angriffe der letzten Jahre Schwachstellen mit mittlerem CVSS-Score genutzt — weil der Kontext (exponiertes System, verfügbarer Exploit, attraktives Ziel) den Unterschied machte.

Risikobasierte Priorisierung: Was wirklich zählt

Moderne Schwachstellenmanagement-Ansätze ersetzen CVSS nicht, sondern ergänzen es um Kontextfaktoren:

• Exploit-Verfügbarkeit: Existiert ein öffentlicher Exploit? Wird die Schwachstelle in Exploit-Kits gehandelt?
• Aktive Ausnutzung: Führt die CISA die CVE im KEV-Katalog? Gibt es Threat-Intelligence-Berichte über aktive Kampagnen?
• Asset-Kontext: Ist das betroffene System aus dem Internet erreichbar? Verarbeitet es sensible Daten? Ist es ein Hochwertziel (Domain Controller, SIEM, VPN-Gateway)?
• Kompensatorische Kontrollen: Gibt es Netzwerksegmentierung, WAF-Regeln oder andere Maßnahmen, die die Ausnutzung erschweren?

Systeme wie EPSS (Exploit Prediction Scoring System) nutzen Machine Learning, um die Wahrscheinlichkeit aktiver Ausnutzung innerhalb der nächsten 30 Tage vorherzusagen. EPSS korreliert dabei öffentliche Exploit-Daten, Social-Media-Aktivität, Threat-Intelligence-Feeds und historische Ausnutzungsmuster.

Wie KI das Schwachstellenmanagement verändert

Bei 40.000+ CVEs pro Jahr und begrenzten Patch-Ressourcen brauchen Security-Teams Automatisierung. KI-gestützte Systeme leisten dabei Mehreres:

1. Automatisierte Priorisierung

KI-Modelle bewerten jede neue CVE in Echtzeit gegen den spezifischen Kontext des Unternehmens: Welche Assets sind betroffen? Wie exponiert sind sie? Gibt es Exploits? Das Ergebnis ist eine risikoadjustierte Prioritätenliste, die sich täglich aktualisiert.

2. Korrelation mit Threat Intelligence

KI verknüpft Schwachstellendaten mit aktuellen Bedrohungsinformationen: Welche APT-Gruppen nutzen diese CVE? In welchen Branchen? Mit welchen TTPs? Diese Kontextualisierung ist manuell bei 40.000 CVEs nicht leistbar.

3. Patch-Impact-Analyse

Nicht jeder Patch kann sofort eingespielt werden. KI-gestützte Systeme bewerten den Impact eines Patches auf Produktionssysteme und schlägen optimale Patch-Fenster vor — oder empfehlen kompensatorische Maßnahmen für CVEs, die nicht sofort gepatcht werden können.

4. Vorhersage zukünftiger Ausnutzung

EPSS und ähnliche Modelle sagen voraus, welche CVEs in den nächsten Wochen wahrscheinlich ausgenutzt werden — bevor ein Exploit öffentlich verfügbar ist. Das verschafft Security-Teams einen Zeitvorsprung.

Die Grenzen von KI im Schwachstellenmanagement

KI ist kein Allheilmittel. Drei Einschränkungen sind relevant:

• Datenqualität: KI-Modelle sind nur so gut wie ihre Eingabedaten. Ohne vollständiges Asset-Inventar, aktuelle Scan-Ergebnisse und zuverlässige Threat-Intelligence-Feeds liefert auch die beste KI falsche Prioritäten
• Zero-Days: Für Schwachstellen ohne CVE-Nummer und ohne öffentliche Information gibt es keine Trainingsdaten. KI kann nur priorisieren, was bekannt ist
• Kontext-Verständnis: Ob ein System geschäftskritisch ist, ob ein Patch Ausfallzeiten verursacht, ob regulatorische Anforderungen gelten — diese Informationen muss ein Mensch liefern

Von der Schwachstellenliste zum Risikomanagement

Der Paradigmenwechsel im Schwachstellenmanagement lässt sich in einem Satz zusammenfassen: Nicht jede CVE ist ein Risiko, und nicht jedes Risiko hat eine CVE.

Effektives Schwachstellenmanagement integriert:

• Vulnerability Scanning: Regelmäßige Scans aller Assets — nicht nur Server, sondern auch Netzwerkgeräte, IoT, Cloud-Ressourcen
• Asset Management: Ohne vollständiges Inventar keine kontextbasierte Priorisierung
• Threat Intelligence: Aktuelle Informationen darüber, welche CVEs aktiv ausgenutzt werden
• SIEM-Integration: Schwachstellendaten mit Security-Events korrelieren — wenn ein verwundbares System gleichzeitig verdächtigen Traffic zeigt, steigt die Priorität sofort
• Reporting: Management-taugliche Dashboards, die Risiko in Geschäftssprache übersetzen — nicht 40.000 CVEs, sondern die 50, die jetzt gefixt werden müssen

Handlungsempfehlungen

• CVSS nicht als alleiniges Kriterium verwenden: Ergänzen Sie CVSS um EPSS, KEV-Status, Exploit-Verfügbarkeit und Asset-Kontext
• Asset-Inventar vervollständigen: KI-gestützte Priorisierung funktioniert nur mit vollständigem Überblick über alle Assets
• CISA KEV als Minimum-Baseline: Jede CVE im KEV-Katalog muss innerhalb der von CISA gesetzten Frist gepatcht werden — das ist die absolute Untergrenze
• Schwachstellenmanagement mit SIEM verbinden: Wenn Ihr SIEM weiß, welche Systeme verwundbar sind, kann es Angriffe auf genau diese Systeme priorisiert erkennen
• Patch-Zyklen verkürzen: Für aktiv ausgenutzte Schwachstellen müssen Notfall-Patch-Prozesse existieren — unabhängig vom regulären Patch-Zyklus