27. Mai 2026 | Artikel drucken |

Fortinet 2026: Time-to-Exploit sinkt auf 24-48 Stunden – was DACH-SOCs jetzt operationalisieren müssen

7 Min. Lesezeit

Fortinet hat am 30. April 2026 den Global Threat Landscape Report 2026 veröffentlicht. Eine Zahl zwingt deutsche SOCs zu einem operativen Umdenken: die Time-to-Exploit, also die Zeit zwischen Vulnerability-Disclosure und aktiver Ausnutzung, ist auf 24 bis 48 Stunden gesunken. Im letzten Report waren es noch 4,76 Tage. Detection-Playbooks die auf Wochen-Zyklen ausgelegt sind, werden damit binnen einer Quartalsplanung obsolet.

Das Wichtigste in Kürze

  • Time-to-Exploit von 4,76 Tagen auf 24-48 Stunden. Fortinet dokumentiert eine Halbierung im Halbjahres-Takt. Wer einen Patch-Zyklus über ein Wochenende lässt, hat das Fenster verpasst.
  • Ransomware-Opfer plus 389 Prozent in einem Jahr. 7.831 bestätigte Opfer global, davon 291 in Deutschland. WormGPT, FraudGPT und BruteForceAI haben die Eintrittsschwelle für Angriff-as-a-Service kollabiert.
  • Manufacturing ist Hauptziel. 1.284 Vorfälle in Fertigung, 824 in Business Services. Deutsche Industriebetriebe sind hier nicht Beobachter, sie sitzen in der Hauptkategorie.

Verwandt:BKA jagt REvil-Anführer nach 130 DE-Angriffen  /  Samsung MagicINFO-Lücken aktiv ausgenutzt

Was Time-to-Exploit als Metrik bedeutet

Was ist Time-to-Exploit (TTE)? Time-to-Exploit ist die Zeitspanne zwischen der öffentlichen Disclosure einer Vulnerability und ihrer ersten beobachteten aktiven Ausnutzung in freier Wildbahn. Sie wird von FortiGuard Intelligence über honeypots, dark-web-Monitoring und Sensor-Daten gemessen. Im Unterschied zur Time-to-Patch beschreibt sie nicht die Verteidiger-Geschwindigkeit, sondern den Angreifer-Druck.

Die Verkürzung von 4,76 Tagen auf 24 bis 48 Stunden ist keine kosmetische Veränderung. Sie bedeutet, dass jede Patch-Bewertung, die mehr als einen Werktag braucht, mit hoher Wahrscheinlichkeit zu spät kommt. Wer als CISO heute noch eine Drei-Stufen-Freigabe für sicherheitskritische Patches lebt, hat sein Playbook gegen ein Risikobild von vor zwei Jahren geschrieben.

Die Verschiebung trifft DACH-Mittelstand asymmetrisch. Konzern-SOCs haben in den letzten 18 Monaten viel in Automation investiert. Mittelständische IT-Abteilungen arbeiten noch mit Patch-Tuesday-Kadenz und Ticketing-Prozessen, die für gemütliche Wochen-Zyklen designt waren. Diese Schere wird durch den Fortinet-Befund schmerzhaft sichtbar.

Die Halbierung der Reaktionszeit als Stat

Eine harte Zahl trägt mehr als ein langer Absatz. Im Fortinet-Report von 2025 lag die Time-to-Exploit bei 4,76 Tagen. Im aktuellen Report sind es 24 bis 48 Stunden, also rund ein Viertel bis ein Zehntel des Vorjahreswertes. Das ist die größte dokumentierte Verkürzung seit Beginn der TTE-Erfassung.

4,76 Tage → 24-48 h
Verkürzung der Time-to-Exploit zwischen Fortinet-Report 2025 und 2026. Im neuen Worst-Case bleibt unter einem Arbeitstag, um einen kritischen Patch zu verifizieren, freizugeben und auszurollen.
Quelle: Fortinet 2026 Global Threat Landscape Report, FortiGuard Labs, 30. April 2026.

Die Ursache ist im Report sauber benannt. Generative KI hat die Eintrittsschwelle für Reconnaissance und Exploit-Entwicklung gesenkt. Ein Angreifer-Team, das vor zwei Jahren eine Woche für die Adaption eines Public-PoC-Codes auf ein produktives Ziel brauchte, schafft das heute mit LLM-Unterstützung in Stunden. Das gilt für die Angriffsmaschinen bis zur Spear-Phishing-Personalisierung gleichermaßen.

Die 389-Prozent-Marke bei Ransomware

Die zweite Headline aus dem Report verdient eine eigene Einordnung. Fortinet identifiziert für das Berichtsjahr 7.831 bestätigte Ransomware-Opfer weltweit, gegenüber rund 1.600 im Vorjahr. Das ist ein Anstieg um 389 Prozent. Drei Länder dominieren die Geografie: die USA mit 3.381, Kanada mit 374 und Deutschland mit 291 dokumentierten Fällen.

Deutschland steht damit auf Platz drei der globalen Opfer-Liste, nicht auf einem hinteren Rang. Wer im DACH-Markt argumentiert, dass die deutsche Industrie weniger angreifbar sei als der amerikanische Markt, sollte diese Zahl in seinem Briefing haben. Die Top-Sektoren weltweit sind Manufacturing mit 1.284 Opfern, Business Services mit 824 und Retail mit 682. Deutscher Mittelstand sitzt sehr deutlich im Kern dieses Pattern.

Treiber der Welle sind laut Fortinet kommerzielle Crime-as-a-Service-Toolkits wie WormGPT, FraudGPT und BruteForceAI. Diese Werkzeuge senken die Eintrittsschwelle für mittelmäßig versierte Angreifer dramatisch. Wer früher Wochen brauchte, um eine glaubwürdige CFO-Mail zu fälschen, klickt heute ein Toolkit zusammen und liefert sie automatisiert an hundert Empfänger.

Was deutsche SOCs jetzt operationalisieren müssen

Die Implikation ist banal in der Theorie und unangenehm in der Praxis. Detection und Response müssen vom Wochen-Takt auf den Stunden-Takt. Konkret sind das vier Schritte, die ohne externe Beratung umsetzbar sind.

Was bricht im alten Playbook

  • Patch-Freigabe-Boards mit wöchentlicher Kadenz
  • Endpoint-Isolation nur mit menschlichem Approval
  • CVE-Triage manuell, Excel-getrieben
  • Vendor-Advisories als E-Mail-Verteiler

Was 2026 trägt

  • Automatische Patch-Pre-Approval für Tier-1-CVEs
  • Endpoint-Auto-Isolation bei klaren Behavior-Patterns
  • CISA-KEV-Feed als operative Trigger-Quelle
  • SOC-Routing auf 24-Stunden-Bereitschaft, nicht Bürozeiten

Diese Liste ist nicht neu. Sie wird seit zwei Jahren in jedem Security-Whitepaper genannt. Was sich verändert hat, ist die Folge des Nichthandelns. Bei 4,76 Tagen Time-to-Exploit war ein wöchentlicher Patch-Zyklus knapp vertretbar. Bei 24 bis 48 Stunden ist er fahrlässig. NIS2 lässt diese Lücke nicht offen, sie wird in Audits jetzt sichtbar.

Was die Zahl nicht heißt

Es gibt eine Lesart, die ich nicht teile. Die Time-to-Exploit-Zahl wird gelegentlich als Argument für Vollautomation interpretiert, im Sinne von KI-Defense gegen KI-Offense. Das ist verkürzt. Automation hilft an klar definierten Stellen, etwa bei Endpoint-Isolation oder Patch-Pre-Approval. Sie hilft nicht im Triage-Schritt, der nach wie vor Erfahrung und Magazin-Wissen braucht. Wer einen vollautomatischen SOC verspricht, verkauft eine Reduktion, die im Schadensfall teuer wird.

Was die 24-bis-48-Stunden-Marke ehrlich heißt, ist eine Verschiebung des Reaktionsfensters. Dieses Fenster muss durch eine Mischung aus automatisierten Frühwarn-Triggern, vorab definierten Entscheidungsregeln und einem menschlichen Eingriff, der nicht erst gerufen werden muss, sondern Bereitschaft hat. Dafür braucht es Personal, Tooling und ein realistisches Budget. Das alles in einer Phase, in der NIS2-Audits beginnen und Versicherer die Cyber-Prämien neu kalkulieren.

Wer Security-Artikel über konkrete Reaktionsfristen liest, klickt seit anderthalb Jahren überproportional oft. Das ist kein Marketing-Beleg, es ist ein Signal. Die Leser, also CISOs und Security-Architekten in DACH, suchen nicht mehr nach Hype-Frames, sondern nach Frist-Logik. Fortinets Report 2026 liefert diese Logik in Zahlen, die schwer zu ignorieren sind.

Häufige Fragen

Was ist der Fortinet Global Threat Landscape Report?

Der Fortinet Global Threat Landscape Report ist ein jährlich von FortiGuard Labs veröffentlichter Bericht über die globale Bedrohungslage. Datenbasis sind Sensoren in Fortinet-Produkten, dark-web-Monitoring und Adversary-Intelligence über FortiRecon. Die 2026er Ausgabe ist am 30. April 2026 erschienen.

Was ist der Unterschied zwischen Time-to-Exploit und Time-to-Encrypt?

Time-to-Exploit (TTE) misst die Zeit zwischen Vulnerability-Disclosure und erster aktiver Ausnutzung. Time-to-Encrypt bezeichnet im Ransomware-Kontext die Zeit vom Initial Access bis zur tatsächlichen Verschlüsselung der Daten. Fortinet meldet die TTE-Verkürzung auf 24 bis 48 Stunden, was die Reaktionsfenster für Patching dramatisch verschiebt.

Wie groß ist der Ransomware-Anstieg laut Report?

389 Prozent gegenüber dem Vorjahr. 7.831 bestätigte Opfer global gegenüber rund 1.600 im Berichtsjahr davor. Deutschland steht mit 291 dokumentierten Fällen auf Platz drei nach den USA und Kanada.

Welche Sektoren sind besonders betroffen?

Manufacturing mit 1.284 Vorfällen ist klar die Spitze, gefolgt von Business Services mit 824 und Retail mit 682. Der deutsche Industrie-Mittelstand sitzt damit im Zentrum des Top-Pattern.

Was sollte ein DACH-CISO konkret jetzt tun?

Patch-Freigabe-Logik auf 24-Stunden-Maßstab umstellen, automatische Pre-Approval für Tier-1-CVEs definieren, Endpoint-Auto-Isolation für klare Behavior-Patterns einschalten und den CISA-KEV-Feed als operative Trigger-Quelle in den SOC einbinden. NIS2-Audits prüfen genau diese Punkte.

Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

llama.cpp MTP-Support: Lokale 27B-Modelle 1,7x schneller auf Consumer-GPUs

mybusinessfuture

Stanford AI Index 2026: Inaccuracy schlägt Cybersecurity als Top-Risiko

digital-chiefs

Nvidia/Huang: Hyperscaler-AI-CapEx bis 2030 auf 3-4 Bil. US-Dollar

Quelle Titelbild: Pexels / Tima Miroshnichenko

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH