Die Cybersicherheitsbranche steht vor einer systemischen Wahrnehmungskrise. Seit Jahren verlassen sich Unternehmen auf das Common Vulnerability Scoring System (CVSS), um zu priorisieren, was behoben werden muss. Allerdings haben kürzliche, aufsehenerregende Verstöße – allen voran „Operation Lunar Peek“ – einen fatalen Fehler aufgedeckt: CVSS wertet Schwachstellen isoliert aus, während Angreifer sie in Ketten ausnutzen.
Wenn Sicherheitsteams jede Schwachstelle als eigenständigen Datenpunkt behandeln, schaffen sie blinde Flecken, die nationalstaatliche Akteure immer geschickter ausnutzen.
Die Palo Alto-Fallstudie: Ein Versagen der Logik
Während der Operation Lunar Peek im November 2024 verschafften sich Angreifer Root-Zugriff auf über 13.000 Verwaltungsschnittstellen von Palo Alto Networks. Dieser massive Verstoß wurde durch die „Verkettung“ zweier spezifischer Schwachstellen ermöglicht:
- CVE-2024-0012: Eine Authentifizierungsumgehung (hohe Bewertung: 9,3).
- CVE-2024-9474: Ein Fehler bei der Rechteausweitung (mit 6,9 niedriger bewertet).
Da der zweite Fehler relativ niedrig bewertet wurde, lag er unter den Schwellenwerten vieler Enterprise-Patches. Da der Eskalationsfehler außerdem technisch gesehen „Administratorzugriff“ erforderte, wurde er als niedrige Priorität eingestuft. Der schwerwiegende Fehler bestand darin, dass nicht erkannt wurde, dass die erste Schwachstelle genau den Administratorzugriff ermöglichte, den die zweite Schwachstelle benötigte.
Wie Adam Meyers, SVP für Counter Adversary Operations bei CrowdStrike, anmerkt, leidet die Triage-Logik oft unter einer Form der „Amnesie“, bei der verbundene Bedrohungen als unzusammenhängende Ereignisse behandelt werden.
5 kritische blinde Flecken im modernen Schwachstellenmanagement
Die Kluft zwischen dem theoretischen Schweregrad (CVSS) und dem realen Risiko wird aufgrund der Entwicklung von fünf Bedrohungsklassen immer größer:
1. Schwachstellenverkettung
Wie in Palo Alto zu sehen ist, greifen Angreifer nicht jeweils einen Fehler an. Sie kombinieren einen Fehler mit „mittlerem“ Risiko mit einem Fehler mit „hohem“ Risiko, um eine „kritische“ Katastrophe zu erzeugen. Wenn Ihr Triage-Prozess nur einzelne Ergebnisse berücksichtigt, wird Ihnen der Gesamteffekt immer entgehen.
2. Der Waffenwettlauf
Das Zeitfenster für die Verteidigung schrumpft. Daten aus dem CrowdStrike 2026 Global Threat Report zeigen, dass Gegner des China-Nexus neu gepatchte Schwachstellen innerhalb von zwei bis sechs Tagen als Waffe ausnutzen können. Mit einer durchschnittlichen „Breakout-Zeit“ von Angreifern von nur 29 Minuten ist das traditionelle „Patch Tuesday“-Modell obsolet.
3. Das „Lagerbestände“-Risiko
Nationalstaatliche Akteure halten sich oft jahrelang an bekannten Schwachstellen (CVEs) fest und warten auf den richtigen Moment zum Zuschlagen. Bei den „Salt Typhoon“-Angriffen wurden Cisco-Geräte über seit über einem Jahr gepatchte Schwachstellen kompromittiert. CVSS berücksichtigt nicht die „alternde“ Gefährdung, was bedeutet, dass eine Schwachstelle, die seit 14 Monaten nicht gepatcht wurde, mit der gleichen Dringlichkeit behandelt wird wie eine gestern entdeckte.
4. Die Identitätslücke
Nicht alle Schwachstellen sind codebasiert. Ein Social-Engineering-Anruf bei einem Helpdesk kann Millionen von Dollar an Softwaresicherheit umgehen, ohne dass ein einziges CVE ausgestellt wird. Darüber hinaus erzeugen Agentic AI -Systeme, wenn sie beginnen, mit ihren eigenen API-Tokens und Berechtigungen zu arbeiten, eine neue „Identitätsoberfläche“, die herkömmliche Softwarescanner einfach nicht sehen können.
5. KI-gesteuerte Entdeckungsexplosion
Die schiere Menge an Schwachstellen erreicht ihren Höhepunkt. Da die CVE-Offenlegungen jährlich um über 20 % zunehmen und KI-Modelle wie Claude von Anthropic in der Lage sind, Fehler in großem Umfang und zu geringen Kosten zu finden, bereitet sich die Branche auf einen „Schwachstellen-Tsunami“ vor. Wenn KI zu einer zehnfachen Steigerung der Erkennung führt, wird die derzeitige Infrastruktur zur Verwaltung von Patches zusammenbrechen.
Strategischer Aktionsplan für Sicherheitsführer
Um vom reaktiven Patching zur proaktiven Verteidigung überzugehen, müssen Unternehmen ihre Governance-Modelle weiterentwickeln:
- Audit für Ketten: Betrachten Sie nicht nur einzelne CVEs. Führen Sie „Kettenabhängigkeitsprüfungen“ für alle bekannten ausgenutzten Sicherheitslücken (KEV) durch. Wenn auf demselben System eine Authentifizierungsumgehung und ein Fehler bei der Rechteausweitung vorliegen, müssen sie als eine einzige, kritische Priorität behandelt werden.
- Beschleunigen Sie SLAs: Gehen Sie bei mit dem Internet verbundenen Systemen zu einem 72-Stunden-Patchfenster für KEVs. Wöchentliche Zyklen reichen nicht mehr aus, um modernen Ausbruchsgeschwindigkeiten entgegenzuwirken.
- Verfolgen Sie „Alter der Sicherheitslücke“: Stellen Sie dem Board Berichte zur Verfügung, aus denen nicht nur hervorgeht, was ungepatcht ist, sondern wie lange es schon ungepatcht ist. Alterungsexposition ist ein primäres Ziel für anspruchsvolle Schauspieler.
- Identität und Software-Governance vereinheitlichen: Integrieren Sie Helpdesk-Authentifizierungsprotokolle und KI-Anmeldeinformationsverwaltung in Ihre Standard-Pipeline für die Schwachstellenberichterstattung.
Schlussfolgerung: Sich ausschließlich auf CVSS-Ergebnisse zu verlassen, erzeugt ein falsches Sicherheitsgefühl. Echte Widerstandsfähigkeit erfordert den Übergang vom „Bewerten von Fehlern“ zum „Analysieren von Angriffspfaden“, wobei der Geschwindigkeit, dem Umfang und der Vernetzung moderner Ausbeutung Rechnung getragen werden muss.
