CTEM: Warum Continuous Threat Exposure Management den Vulnerability Scan ablöst
7 Min. Lesezeit
Vulnerability Scans finden Schwachstellen. Das reicht nicht mehr. Gartner erklärt Continuous Threat Exposure Management (CTEM) zum Top-Investment 2026. Unternehmen, die ihre Security-Investitionen an einem CTEM-Programm ausrichten, sind laut Gartner dreimal seltener Opfer eines erfolgreichen Angriffs. Trotzdem hinken 84 Prozent der Security-Programme beim CTEM-Ansatz hinterher. Der Unterschied: CTEM denkt nicht in einzelnen Schwachstellen, sondern in Angriffspfaden.
Das Wichtigste in Kürze
- 🔒 Unternehmen mit CTEM-Programm sind laut Gartner dreimal seltener Opfer eines Breaches als Unternehmen ohne.
- ⚠️ 84 Prozent der Security-Programme hinken beim CTEM-Ansatz hinterher (The Hacker News, Februar 2026).
- 🛡️ CTEM umfasst fünf Phasen: Scoping, Discovery, Prioritization, Validation, Mobilization.
- 📊 Das BSI fordert 2026 ein „Jahr des Flächenmanagements“: Alle digital erreichbaren Systeme strukturiert erfassen und überwachen.
- 🔧 CTEM integriert Vulnerability Management, Attack Surface Management und Pentesting in einem kontinuierlichen Programm.
Was ist CTEM und warum reicht Vulnerability Management nicht mehr?
Klassisches Vulnerability Management funktioniert nach einem einfachen Prinzip: Scanner findet Schwachstelle, Team patcht Schwachstelle. Das Problem: Die Anzahl der CVEs explodiert. 2024 wurden über 30.000 neue CVEs veröffentlicht, ein Anstieg von 25 Prozent gegenüber dem Vorjahr. Kein Unternehmen kann jede Schwachstelle sofort schließen.
CTEM geht einen Schritt weiter. Statt alle Schwachstellen gleich zu behandeln, bewertet CTEM die tatsächliche Ausnutzbarkeit im Kontext der eigenen Umgebung. Eine kritische Schwachstelle auf einem System ohne Internetzugang ist weniger dringend als eine mittlere Schwachstelle auf einem öffentlich erreichbaren Webserver. Klingt offensichtlich, wird aber in der Praxis selten umgesetzt.
Gartner hat den Begriff CTEM 2022 geprägt und ihn seitdem zum strategischen Leitkonzept entwickelt. In der aktuellen Einschätzung gehört CTEM zu den Top-Investments für 2026. Der Grund: CTEM verbindet Vulnerability Management, Attack Surface Management und kontinuierliches Pentesting in einem zusammenhängenden Programm.
„Organizations that prioritize security investments based on a CTEM program will realize a two-thirds reduction in breaches by 2026.“
Gartner, Implement a Continuous Threat Exposure Management Program
Die fünf Phasen eines CTEM-Programms
Phase 1 – Scoping: Welche Angriffsfläche ist geschäftskritisch? Nicht jedes System ist gleich wichtig. CTEM beginnt mit der Definition der relevanten Bereiche: Externe Angriffsfläche, Identity-Infrastruktur, SaaS-Umgebung, Cloud-Workloads. Das Scoping orientiert sich am Geschäftsrisiko, nicht an der technischen Topologie.
Phase 2 – Discovery: Alle erreichbaren Assets identifizieren. Das umfasst nicht nur bekannte Systeme, sondern auch Shadow IT, vergessene Subdomains, exponierte APIs und Drittanbieter-Abhängigkeiten. Klassische Asset-Inventare sind dafür unzureichend, weil sie nur bekannte Assets erfassen.
Phase 3 – Prioritization: Welche Schwachstellen sind tatsächlich ausnutzbar? Hier liegt der größte Unterschied zum klassischen Vulnerability Management. CTEM bewertet Schwachstellen nach Exploit-Verfügbarkeit, Erreichbarkeit, Business Impact und kontextabhängiger Kompensation (z.B. vorgeschaltete WAF, segmentiertes Netzwerk).
Phase 4 – Validation: Können Angreifer die priorisierten Schwachstellen tatsächlich ausnutzen? Breach-and-Attack-Simulation (BAS), automatisiertes Pentesting und Red-Team-Übungen validieren die theoretische Priorisierung. Schwachstellen, die in der Praxis nicht ausnutzbar sind, werden herabgestuft.
Phase 5 – Mobilization: Die Ergebnisse in operative Prozesse überführen. Tickets an die richtigen Teams, definierte Reaktionszeiten nach Risikostufe, automatisierte Nachverfolgung. Ohne diese Phase bleibt CTEM ein Assessment-Projekt statt eines kontinuierlichen Programms.
CTEM vs. Vulnerability Management: Die praktischen Unterschiede
Vulnerability Management fragt: „Welche Schwachstellen gibt es?“ CTEM fragt: „Welche Angriffspfade sind am wahrscheinlichsten und haben den größten Business Impact?“ Der Perspektivwechsel ist fundamental.
Ein klassischer Vulnerability Scanner meldet 10.000 Findings. Das Security-Team versucht, nach CVSS-Score zu priorisieren. CVSS 9.8 zuerst. Aber ein CVSS 9.8 auf einem isolierten Testsystem ist irrelevant, während ein CVSS 6.5 auf dem exponierten Webserver, der Session-Tokens im URL-Parameter übergibt, ein kritisches Risiko darstellt.
CTEM-Tools wie Rapid7, Tenable One, Palo Alto XSIAM oder CrowdStrike Falcon Exposure Management kombinieren deshalb Schwachstellendaten mit Netzwerktopologie, Identity-Kontext und Threat Intelligence. Das Ergebnis: Statt 10.000 gleichwertiger Findings bekommt das Team eine priorisierte Liste von 50 kritischen Angriffspfaden.
Für NIS2-betroffene Unternehmen ist CTEM besonders relevant. Die Richtlinie verlangt „angemessene technische und organisatorische Maßnahmen“ zur Risikoerkennung. Ein CTEM-Programm liefert genau die strukturierte, kontinuierliche Risikobewertung, die NIS2 fordert.
So starten Sie ein CTEM-Programm im Mittelstand
Schritt 1: Beginnen Sie mit der externen Angriffsfläche. External Attack Surface Management (EASM) ist der am schnellsten umsetzbare Teil von CTEM. Tools wie Censys, Shodan oder Microsoft Defender EASM zeigen innerhalb von Stunden, welche Assets Ihres Unternehmens aus dem Internet erreichbar sind.
Schritt 2: Integrieren Sie Identity-Kontext. Welche Accounts haben privilegierten Zugriff? Welche Service-Accounts nutzen statische Passwörter? Active-Directory-Härtung ist ein kritischer Baustein, der oft übersehen wird.
Schritt 3: Validieren Sie regelmäßig. Ein monatlicher automatisierter Pentest oder eine BAS-Lösung zeigt, ob die priorisierten Risiken tatsächlich geschlossen wurden. Ohne Validation bleibt CTEM ein Papiertiger.
Schritt 4: Definieren Sie klare SLAs für die Mobilization-Phase. Kritische Angriffspfade: Fix innerhalb von 48 Stunden. Hohe Risiken: 7 Tage. Mittlere: 30 Tage. Ohne verbindliche Timelines verliert CTEM seine Wirkung.
Häufige Fragen
Was ist der Unterschied zwischen CTEM und Vulnerability Management?
Vulnerability Management identifiziert Schwachstellen. CTEM geht weiter: Es bewertet Schwachstellen im Kontext der Angriffsfläche, validiert die tatsächliche Ausnutzbarkeit und überführt die Ergebnisse in operative Prozesse. Der Fokus verschiebt sich von „alle Schwachstellen finden“ zu „die relevantesten Angriffspfade schließen“.
Braucht jedes Unternehmen ein CTEM-Programm?
Unternehmen ab ca. 200 IT-Assets profitieren von CTEM. Für kleinere Organisationen reicht ein klassisches Vulnerability-Management-Programm mit regelmäßigem externen Pentest. NIS2-betroffene Unternehmen sollten CTEM in Betracht ziehen, weil es die geforderte kontinuierliche Risikobewertung strukturiert abdeckt.
Welche Tools unterstützen CTEM?
Die großen Plattformen sind Rapid7 (InsightVM + Cloud Risk), Tenable One, Palo Alto XSIAM, CrowdStrike Falcon Exposure Management und Qualys CSAM. Für den Einstieg eignen sich Microsoft Defender EASM (externe Angriffsfläche) und Censys Search (Asset Discovery). Die Kosten beginnen bei wenigen tausend Euro pro Jahr.
Wie lange dauert die Einführung eines CTEM-Programms?
Phase 1 (Scoping) und Phase 2 (Discovery) sind in 2 bis 4 Wochen umsetzbar. Die vollständige Integration aller fünf Phasen dauert typischerweise 3 bis 6 Monate. Der wichtigste Faktor ist nicht die Technik, sondern die organisatorische Verankerung: Klare Zuständigkeiten und verbindliche SLAs für die Behebung.
Ist CTEM für die NIS2-Compliance relevant?
Ja. NIS2 verlangt „angemessene technische Maßnahmen“ zur Risikoerkennung und -bewertung. Ein CTEM-Programm liefert genau das: strukturierte, kontinuierliche Bewertung der Angriffsfläche mit nachweisbarer Priorisierung und Behebung. Für Audits ist CTEM eine starke Dokumentationsgrundlage.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Sora Shimazaki
