Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Schwachstellenausnutzung hat Zugangsdaten überholt. Das Patch-Modell versagt zunehmend.

Schwachstellenausnutzung hat Zugangsdaten überholt. Das Patch-Modell versagt zunehmend.

von Patrick Spencer updated Mai 29, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Neunzehn Jahre lang dokumentierte der Verizon DBIR dieselbe unbequeme Wahrheit: Die meisten Angreifer verschafften sich Zugang durch gestohlene Zugangsdaten. Im 2026 DBIR zeigt sich erstmals eine Umkehr dieses Musters. Die Ausnutzung von Schwachstellen ist nun mit 31 % der Datenpannen der wichtigste Angriffsvektor. Der Missbrauch von Zugangsdaten ist auf 13 % gesunken.

Auch in den Aktionsdaten zeigt sich dieser Trend auf Ebene der Aktionsarten – Exploits sind nun in 32 % der Datenpannen als Aktion vertreten, gegenüber 18 % im Vorjahr, also nahezu eine Verdopplung innerhalb eines Jahres. Der Mandiant M-Trends 2026 Report bestätigt dies anhand von Incident-Response-Daten: Exploits machten 32 % der Vorfälle aus, während E-Mail-Phishing nur noch 6 % erreichte. Der Fokus vieler Unternehmen auf Zugangsdaten-basierte Verteidigung bleibt notwendig, ist aber nicht mehr auf die dominierende Bedrohung ausgerichtet.

5 Wichtige Erkenntnisse

1. Die Ausnutzung von Schwachstellen ist jetzt der wichtigste Angriffsvektor.

Der 2026 Verizon DBIR zeigt: In 31 % der Datenpannen erfolgte der Erstzugriff über Schwachstellen-Exploits, während der Missbrauch von Zugangsdaten auf 13 % fiel. Erstmals in 19 Jahren DBIR-Berichterstattung steht die Ausnutzung von Schwachstellen an erster Stelle. Die Verteidigungsmaßnahmen, die Unternehmen in den letzten fünf Jahren aufgebaut haben – MFA, Phishing-resistente Authentifizierung, Credential Monitoring – waren für die vorherige Bedrohungslage richtig, sind aber nun auf die falsche Hauptbedrohung ausgerichtet.

2. Die Behebungsrate für KEV-Schwachstellen sinkt.

Nur 26 % der von CISA als kritisch eingestuften KEV-Schwachstellen wurden 2025 von Unternehmen vollständig behoben, gegenüber 38 % im Vorjahr. Die mittlere Zeit bis zur vollständigen Behebung stieg von 32 auf 43 Tage. Unternehmen sahen sich im Median mit 50 % mehr kritischen Schwachstellen konfrontiert als im Vorjahr. Die Zahl der Schwachstellen wächst schneller als die Behebungskapazität. Das ist ein strukturelles Problem, kein Ausführungsproblem. Eine Incident-Response-Strategie, die auf Patchen als Hauptkontrolle setzt, basiert auf dem falschen Fundament.

3. KI verkürzt das Angreifer-Zeitfenster auf Stunden.

Synack fand heraus, dass sich die mittlere Zeit zur Behebung von 63 auf 38 Tage verbesserte – ein echter Fortschritt, der dennoch von der Geschwindigkeit der Ausnutzung übertroffen wird. Das Exploit-Fenster ist auf Stunden geschrumpft. CrowdStrike dokumentiert einen Anstieg KI-gestützter Angreiferaktivität um 89 % und einen Anstieg von Zero-Days um 42 %. Die Lücke zwischen Offenlegung und Waffnung schließt sich schneller, als sich die Verteidiger anpassen können.

4. Die Anreicherung der NVD bricht unter der Last zusammen.

Der Dragos OT/ICS-Report 2026 fand heraus, dass 15 % der CISA- und NVD-CVEs im Jahr 2025 falsche CVSS-Scores hatten – davon waren 64 % zu niedrig angesetzt. 25 % der öffentlichen Sicherheitshinweise enthielten weder Patch noch Abhilfemaßnahme. Wenn die zugrundeliegende Bewertungsinfrastruktur in 15 % der Fälle falsch liegt und ein Viertel der Schwachstellenmeldungen keine Lösung bietet, kann Data Governance nicht davon ausgehen, dass der CVE zur Datenabsicherung bekannt ist.

5. Die architektonische Antwort liegt in Data-Layer-Governance.

Wenn der Patch zu spät kommt – oder ohne korrekten CVSS-Score, oder ohne Lösung – müssen die Daten dennoch geschützt werden. Zero-trust-Zugriff, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Protokollierung hängen nicht davon ab, den CVE zu kennen. Log4Shell mit CVSS 10 wurde in Kiteworks-Umgebungen effektiv zu CVSS 4, weil Data-Layer-Abwehrmechanismen griffen, als die Anwendungsebene verwundbar war.

Sie Vertrauen Auf Die Sicherheit Ihres Unternehmens. Aber Können Sie Es Nachweisen?

Jetzt lesen

Das Remediation-Problem: 26 % Gehen Rückwärts

Nur 26 % der von CISA als kritisch gelisteten KEV-Schwachstellen wurden 2025 vollständig behoben – gegenüber 38 % im Vorjahr. Die mittlere Zeit bis zur vollständigen Behebung stieg von 32 auf 43 Tage. Unternehmen sahen sich im Median mit 50 % mehr kritischen Schwachstellen konfrontiert als im Vorjahr, was einen Teil der Erklärung liefert, aber nicht die ganze. Der Synack 2026 State of Vulnerabilities Report analysierte über 11.000 ausnutzbare Schwachstellen: Es wurden 48.244 veröffentlichte CVEs gezählt (plus 20 % im Jahresvergleich), die mittlere Behebungszeit sank von 63 auf 38 Tage – eine Verbesserung, die jedoch von der Entdeckung und Waffnung neuer Schwachstellen überholt wird.

Der CrowdStrike 2026 Global Threat Report ergänzt die Angreifer-Perspektive: 42 % mehr Zero-Day-Exploits, 89 % mehr KI-gestützte Angreiferaktivität im Jahresvergleich und die systematische Waffnung von Zero-Days durch eCrime-Gruppen in internet-exponierten Unternehmenssystemen – MFT, ITSM, ERP – also genau den Kategorien, in denen die für Angreifer wertvollsten Daten liegen. Das Muster ist eindeutig: Angreifer werden schneller, Verteidiger verbessern sich, aber nicht schnell genug, um die Lücke zu schließen.

Der NVD-Zusammenbruch: Wenn CVSS-Scores Falsch Oder Fehlend Sind

Das Patch-basierte Verteidigungsmodell basiert auf einer stillschweigenden Annahme: Schwachstellen werden schnell bewertet, die CVSS-Scores sind korrekt und Abhilfemaßnahmen werden mit der Offenlegung veröffentlicht. Der Dragos 2026 OT/ICS Cybersecurity Year in Review zeigt, wie unhaltbar diese Annahme geworden ist. 15 % der CISA- und NVD-CVEs hatten 2025 falsche CVSS-Scores – davon waren 64 % zu niedrig, was bedeutet, dass die Bewertung die Schwere systematisch unterschätzt. 25 % der öffentlichen Sicherheitshinweise enthielten weder Patch noch Abhilfe. Die Anreicherung der NVD kann inzwischen bis zu zwei Jahre dauern.

Die strukturellen Folgen: Schwachstellenmanagement-Tools, die nach CVSS priorisieren, arbeiten in 15 % der Fälle mit fehlerhaften Daten, wobei die Korrekturen meist zu einer Unterschätzung des Risikos führen. Für ein Viertel der gemeldeten Schwachstellen ist Patchen keine Option. Die Priorisierung auf Basis von NVD-Daten arbeitet mit einem permanenten Rückstand. Deshalb können Datenklassifizierung und Data-Layer-Governance nicht auf CVE-Kenntnis zur Durchsetzung von Schutzmaßnahmen bauen – der Schutz muss der Offenlegung vorausgehen.

Architektonische Konsequenz: Patchen Ist Notwendig, Aber Nicht Mehr Ausreichend

Die gemeinsame Erkenntnis aus den Daten von 2026 DBIR, Synack, Mandiant, CrowdStrike und Dragos ist nicht, dass Patch-Management gescheitert ist. Sondern: Patch-Management kann die Verteidigungslast nicht mehr allein tragen. Das Reaktionsfenster der Verteidiger wird in Stunden gemessen; der typische Patch-Zyklus in Tagen oder Wochen; die zugrundeliegenden Schwachstellendaten werden immer unzuverlässiger; und ein relevanter Anteil der gemeldeten Schwachstellen bleibt ohne Lösung.

Die architektonische Schlussfolgerung: Die Verteidigung muss auch dann greifen, wenn der Patch zu spät kommt, ohne korrekten CVSS-Score ankommt oder nie erscheint. Das Kiteworks-Beispiel: Log4Shell mit CVSS 10 im Dezember 2021 wurde in Kiteworks-Umgebungen effektiv zu CVSS 4 – nicht, weil Kunden schneller patchten, sondern weil die gehärtete virtuelle Appliance, eingebettete WAF, Single-Tenant-Isolierung, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Protokollierung die Data-Layer-Exponierung auf einen Bruchteil der Applikationsebene begrenzten. Der Patch kam rechtzeitig – die Daten mussten nicht darauf warten.

Fünf architektonische Eigenschaften machen den Unterschied: Eine gehärtete virtuelle Appliance mit eingebauter Firewall, WAF und Intrusion Detection – so sorgen umgebende Schutzmechanismen für Eindämmung, während gepatcht wird. FIPS 140-3-validierte Doppelverschlüsselung (Datei- plus Festplattenebene, getrennte Schlüssel) während der Übertragung und im ruhenden Zustand – damit ein Exploit auf Anwendungsebene nicht zur Datenexfiltration auf Data-Layer-Ebene wird. Single-Tenant-Isolierung eliminiert den Cross-Tenant-Blast-Radius. Manipulationssichere Audit-Protokollierung in Echtzeit an SIEM ohne Drosselung oder Log-Verlust. Und zero-trust-Zugriffskontrolle auf Data-Layer-Ebene mit attributbasierter Zugriffskontrolle bei jeder Anfrage – damit ein Perimeterbruch nicht auf die darunterliegende Data-Layer-Ebene durchschlägt.

Compliance-Grundlage: FedRAMP, FIPS 140-3, CMMC und der Hardening-Standard

Die systematische Waffnung internet-exponierter Unternehmenssysteme, wie sie der 2026 DBIR dokumentiert, spricht für Härtungszertifizierungen, die über kommerzielle Mindeststandards hinausgehen. 75 % der Behörden verlangen FedRAMP für Cloud-Services und 69 % FIPS 140-3-validierte Kryptografie laut Kiteworks 2025 Data Forms Report. Diese Anforderungen existieren, weil die Behörden, die sie schreiben, operative Erfahrung mit denselben Angreifern haben, die jetzt kommerzielle Systeme attackieren – wie der DBIR dokumentiert.

Nur 46 % der Unternehmen aus dem Defense Industrial Base (DIB) sehen sich laut Kiteworks DIB Preparedness Report für CMMC Level 2 vorbereitet, 57 % haben keine NIST 800-171-Gap-Analyse abgeschlossen und 62 % verfügen nicht über ausreichende Governance-Kontrollen. Die Bedrohungslage nach dem DBIR macht CMMC-Härtung weit über den DIB-Kontext hinaus relevant – Zugangskontrolle, Audit, Identifikation und Authentifizierung sowie Systemschutz sind genau die Kontrollen, die greifen, wenn das Patch-Modell versagt.

Was Sicherheitsverantwortliche Dieses Quartal Tun Sollten

Erstens: Akzeptieren Sie, dass Patch-basierte Verteidigung allein nicht mehr ausreicht. Weiterhin in Patch-Geschwindigkeit zu investieren bleibt notwendig, ist aber keine architektonische Antwort für eine Umgebung, in der Exploit-Fenster Stunden betragen und die Behebungsraten sinken.

Zweitens: Prüfen Sie die Data-Layer-Governance jedes Systems, das regulierte oder sensible Daten verarbeitet. Die Testfrage: Wenn morgen eine kritische Schwachstelle ohne Patch in diesem System auftaucht, was schützt die darin liegenden Daten? Wenn die Antwort lautet „wir patchen schnell“, ist das keine architektonische Lösung.

Drittens: Priorisieren Sie Härtungszertifizierungen bei der Auswahl von Plattformen für sensiblen Datenaustausch. Der DBIR dokumentiert die systematische Waffnung von MFT-, ITSM- und ERP-Schwachstellen. Plattformen, die unabhängig nach FedRAMP High, FIPS 140-3 und CMMC Level 2 bewertet wurden, bieten nachweislich rigorosere Härtung als andere.

Viertens: Bauen Sie das forensische Protokoll vor dem Vorfall auf. Der DBIR dokumentiert 73 Tage als mittlere Zeitspanne zwischen Vorfall und Offenlegung. Manipulationssichere, vollständige Audit-Protokolle aller Datenbewegungen in Echtzeit sind die Grundlage der forensischen Nachvollziehbarkeit. Fragmentierte oder gedrosselte Logs bestehen den Forensik-Test nicht.

Fünftens: Konsolidieren Sie fragmentierte Datenbewegungen unter einer zentralen Steuerungsebene. Jede Einzellösung bringt ihre eigene Patch-Oberfläche und ihr eigenes Risiko mit. Das Kiteworks Private Data Network – konsolidiert E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und KI-Integrationen unter einer gehärteten Architektur – reduziert die Zahl der internet-exponierten Unternehmensplattformen mit sensiblen Daten, statt sie zu erhöhen.

Erfahren Sie mehr darüber, wie Sie sensible Daten vor Schwachstellenausnutzung schützen: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Die Ausnutzung von Schwachstellen ist jetzt mit 31 % der Datenpannen der wichtigste Angriffsvektor und überholt erstmals in der DBIR-Geschichte den Missbrauch von Zugangsdaten (13 %). Zusammen mit dem Rückgang der KEV-Behebungsrate auf 26 % und KI-beschleunigter Ausnutzung ist klar: Patch-Geschwindigkeit allein reicht nicht mehr. Data-Layer-Governance mit Audit-Trails und zero-trust-Zugriff muss greifen, wenn Patches zu spät kommen.

Notwendig, aber nicht mehr ausreichend. Die mittlere KEV-Behebungszeit stieg auf 43 Tage, während das Exploit-Fenster auf Stunden schrumpfte. Die Rechnung geht allein durch Patchen nicht mehr auf. Data-Layer-Governance – gehärtete Architektur, FIPS 140-3-Verschlüsselung, manipulationssichere Audit-Protokolle – muss die Daten während des Patch-Fensters schützen, nicht erst danach.

Der DBIR dokumentiert die systematische Waffnung von Schwachstellen in MFT-, ITSM- und ERP-Systemen. Die architektonische Antwort ist eine gehärtete, Single-Tenant-Defense-in-Depth-Infrastruktur – mit eingebettetem WAF/IDS, FIPS 140-3-Doppelverschlüsselung und manipulationssicherer Protokollierung – so bleiben die Daten geschützt, während ein Patch aussteht. Kiteworks ist für dieses Profil FedRAMP Moderate Authorized und FedRAMP High In Process.

Auditoren erwarten zunehmend dokumentierte Defense-in-Depth auf Data-Layer-Ebene, nicht nur CVE-Inventarisierung. Der 26 %-KEV-Remediation-Wert des DBIR verschiebt die Audit-Erwartung auf: „Was schützt die Daten, wenn der Patch zu spät kommt?“ Single-Tenant-Isolierung, FIPS 140-3-Verschlüsselung, manipulationssichere Audit-Protokolle und ABAC-Durchsetzung sind die dokumentierte architektonische Antwort.

Fordern Sie mindestens FedRAMP Moderate Authorization (FedRAMP High In Process für hochsensible Workloads), FIPS 140-3-validierte Verschlüsselungsmodule, SOC 2 Typ II, ISO 27001/27017/27018 und kontinuierliche unabhängige Penetrationstests. Der DBIR dokumentiert internet-exponierte Unternehmensplattformen als primäres Angriffsziel – Härtungszertifizierungen sind der praktische Mindeststandard für jede Plattform, die regulierte Inhalte verarbeitet.

Weitere Ressourcen

  • Blogbeitrag So schützen Sie Studiendaten in internationalen Forschungsprojekten
  • Blogbeitrag Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand zählt
  • Blogbeitrag Zero Trust Data Protection: Umsetzungsstrategien für mehr Sicherheit
  • Blogbeitrag Datenschutz durch Technikgestaltung: So integrieren Sie DSGVO-Kontrollen in Ihr Managed File Transfer-Programm
  • Blogbeitrag So verhindern Sie Datenpannen mit sicherem Filesharing über Ländergrenzen hinweg

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks