Warum modernes Schwachstellenmanagement mehr ist als Patchen

Jeden Tag werden neue Schwachstellen veröffentlicht. Allein im Jahr 2025 wurden 48.904 neue CVEs registriert – durchschnittlich mehr als 130 neue Schwachstellen pro Tag. Damit hat sich die Zahl der veröffentlichten Schwachstellen innerhalb weniger Jahre drastisch erhöht. (Quelle: CVE Program) Für Security-Verantwortliche stellt sich deshalb längst nicht mehr die Frage, ob Schwachstellen existieren.

Sondern: Welche davon erhöhen das Risiko des eigenen Unternehmens tatsächlich?

Denn eines ist klar: Kein Security-Team kann jede Schwachstelle sofort analysieren, bewerten und beheben. Modernes Schwachstellenmanagement entscheidet deshalb nicht darüber, wie schnell gepatcht wird. Es entscheidet darüber, ob die richtigen Entscheidungen zur richtigen Zeit getroffen werden.

Schwachstellen finden ist heute nicht mehr das Problem

Vulnerability Scanner, Threat Intelligence und Herstellerinformationen liefern heute mehr Informationen denn je. Die eigentliche Herausforderung beginnt erst danach.

  • Welche Systeme sind betroffen?

  • Wie kritisch sind diese für das Unternehmen?

  • Existiert bereits ein Exploit?

  • Wird die Schwachstelle bereits aktiv ausgenutzt?

  • Und welche Auswirkungen hätte ein erfolgreicher Angriff tatsächlich?

Zwischen einer veröffentlichten CVE und einem realen Unternehmensrisiko liegen häufig Welten. Genau deshalb reicht ein hoher CVSS-Score allein nicht aus.

Man schützt nur, was man kennt

Jedes Schwachstellenmanagement beginnt mit einer einfachen Voraussetzung: Ein Unternehmen muss seine eigenen Assets kennen. Server, Clients, Netzwerkkomponenten, Cloud-Ressourcen oder geschäftskritische Anwendungen. Nur wenn bekannt ist, welche Systeme vorhanden sind und welche Bedeutung sie für den Geschäftsbetrieb haben, lassen sich Schwachstellen sinnvoll bewerten.

Ein unvollständiges Asset Inventory führt zwangsläufig zu unvollständigen Risikoentscheidungen. Asset Management ist deshalb keine administrative Pflichtübung. Es ist die Grundlage jeder belastbaren Cybersecurity-Strategie.

Nicht jede Schwachstelle ist ein Notfall

Eine Schwachstelle mit einem CVSS-Score von 9,8 wirkt zunächst alarmierend. Doch ihre tatsächliche Relevanz hängt vom Kontext ab. Ein internes Testsystem stellt ein anderes Risiko dar als ein öffentlich erreichbarer VPN-Gateway. Ein Legacy-System in einem isolierten Netzwerk muss anders bewertet werden als ein produktionskritischer Internetdienst.

Deshalb sollte jede Bewertung mindestens folgende Fragen beantworten:

  • Ist das betroffene System exponiert?

  • Welche Geschäftsprozesse hängen davon ab?

  • Existieren bereits Schutzmaßnahmen?

  • Wird die Schwachstelle aktiv ausgenutzt?

  • Welche Auswirkungen hätte eine Kompromittierung?

Erst daraus entsteht ein realistisches Bild des tatsächlichen Risikos.

Patchen ist wichtig. Aber nicht immer sofort möglich.

Updates gehören zu den wirksamsten Sicherheitsmaßnahmen. Trotzdem lässt sich nicht jedes System unmittelbar aktualisieren. Produktionsumgebungen benötigen Wartungsfenster. Legacy-Systeme erhalten teilweise keine Sicherheitsupdates mehr. Geschäftskritische Anwendungen müssen vor jedem Update getestet werden. Wer in solchen Situationen ausschließlich auf kurzfristige Workarounds setzt, baut seine IT-Landschaft über Jahre immer weiter aus – mit zusätzlichen Ausnahmen, Sonderregelungen und individuellen Anpassungen.

Es entsteht eine sprichwörtliche Flickenjacke: ein System, das zwar immer wieder repariert wurde, dadurch aber nicht zwangsläufig sicherer, robuster oder einfacher zu betreiben ist. Deshalb gehören zu einem modernen Schwachstellenmanagement nicht nur Patches, sondern auch fundierte Risikobewertungen, geeignete Mitigationsmaßnahmen und klare Entscheidungsprozesse.

Priorisierung schlägt Aktionismus

Die Anzahl neuer Schwachstellen wächst schneller als die verfügbaren Ressourcen. Auch die National Vulnerability Database (NVD) musste ihre Prozesse anpassen und priorisiert aufgrund der stark gestiegenen Anzahl neuer CVEs inzwischen bestimmte Analysen. Für Unternehmen bedeutet das: Nicht jede Schwachstelle muss sofort behoben werden. Aber jede Schwachstelle muss bewertet werden. Dabei helfen heute unterschiedliche Informationsquellen:

  • CVSS zur technischen Bewertung

  • EPSS zur Einschätzung der Exploit-Wahrscheinlichkeit

  • CISA Known Exploited Vulnerabilities (KEV) für aktiv ausgenutzte Schwachstellen

  • Threat Intelligence

  • Business-Kritikalität der betroffenen Assets

Erst die Kombination dieser Informationen ermöglicht fundierte Priorisierungsentscheidungen.

Cyberresilienz entsteht durch Prozesse, nicht durch Tools

Scanner werden intelligenter. Threat Intelligence wird präziser. KI unterstützt bereits heute bei der Analyse großer Datenmengen. Trotzdem bleibt die wichtigste Aufgabe unverändert: Risiken bewerten. Entscheidungen treffen. Maßnahmen priorisieren.

Cyberresilienz entsteht nicht durch möglichst viele Security-Lösungen. Sie entsteht durch wiederholbare Prozesse, klare Verantwortlichkeiten und eine Organisation, die Risiken nachvollziehbar steuert. Modernes Schwachstellenmanagement ist deshalb keine technische Disziplin mehr. Es ist Risikomanagement.

Fazit

Schwachstellen wird es immer geben. Die entscheidende Frage lautet nicht, wie viele davon existieren. Sondern wie professionell Unternehmen damit umgehen. Wer seine Assets kennt, Schwachstellen im richtigen Kontext bewertet und Maßnahmen konsequent priorisiert, reduziert nicht nur seine Angriffsfläche. Er schafft die Grundlage für nachhaltige Cyberresilienz.

Wie sieht modernes Schwachstellenmanagement in der Praxis aus? Welche Rolle spielen Asset Management, CVSS, Vulnerability Scanner und KI? Und warum wird aus gut gemeintem Patchen manchmal eine sprichwörtliche Flickenjacke? Darüber spricht Michael mit Jan-Philipp Küsters in der aktuellen Folge von Cybersecurity Basement.

Annika Gamerad

Event & Marketing Specialist

Published on 29.06.2026