2. Juli 2026 | Artikel drucken |

Wenn Angreifer schneller sind als der Patch

4 Min. Lesezeit

Zwischen der Veröffentlichung einer Schwachstelle und ihrer Ausnutzung lagen früher Wochen. Inzwischen sind es oft nur Tage. Angreifer setzen KI ein, um dieses Fenster weiter zu verkürzen, während die Zahl der veröffentlichten Schwachstellen steigt. Der State of Vulnerabilities Report 2026 wertet mehr als 11.000 Befunde aus produktiven Kundenumgebungen aus. Sein Kernbefund: Über das Risiko entscheidet nicht die Menge der Lücken, sondern das Tempo, mit dem die kritischen geschlossen werden.

Das Wichtigste in Kürze

  • Mehr Schwachstellen: Die Zahl der branchenweit veröffentlichten CVEs stieg 2025 um 20 Prozent auf über 48.000.
  • Schwerere Befunde: High-Severity-Funde legten um 10 Prozent zu, Remote-Code-Ausführung um 39 Prozent, Brute Force um 17,4 Prozent.
  • Tempo entscheidet: Wer kontinuierlich testet, senkt die durchschnittliche Behebungsdauer um 47 Prozent.
  • Neue Angriffsfläche: Sicherheitsprüfungen an KI- und LLM-Umgebungen nahmen um 120 Prozent zu.

Verwandt:Adaptive MFA als Zero-Trust-Hebel  /  Ab wann die Meldefrist-Uhr tickt

Das Zeitfenster zwischen Lücke und Angriff schrumpft

Die Bedrohungslage hat sich 2025 verschärft. Angreifer verkürzen mit KI die Spanne zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung. Allein im vergangenen Jahr stieg die Zahl der branchenweit veröffentlichten CVEs um 20 Prozent auf über 48.000. Für den State of Vulnerabilities Report 2026 wurden über 11.000 Schwachstellen aus Kundenumgebungen des Jahres 2025 ausgewertet.

Der Report stammt von Synack, einem Anbieter für KI-gestützte Penetrationstests. Seine Einordnung zielt weniger auf die absolute Zahl der Funde als auf deren Dynamik.

CTO-Statement

„Die Regeln haben sich 2025 geändert. Zeit ist jetzt die größte Schwachstelle. Angreifer werden immer neue Lücken finden. Was sich verändert hat, ist die Geschwindigkeit, mit der sie diese entdecken und ausnutzen.“

Dr. Mark Kuhr, Mitbegruender und CTO von Synack– Dr. Mark Kuhr, Mitbegründer und CTO, Synack

Die Risikostruktur verschiebt sich

Die Gesamtzahl der gefundenen Schwachstellen blieb im Jahresvergleich weitgehend stabil. Verschoben hat sich ihre Zusammensetzung. Befunde mit hohem Schweregrad nahmen um 10 Prozent zu. Am deutlichsten fiel der Anstieg bei Remote-Code-Ausführung aus, die um 39 Prozent zulegte. Brute-Force-Angriffe stiegen um 17,4 Prozent, Content Injection um 8 Prozent.

Der Report liest dieses Muster als Verlagerung hin zu identitätsbasierten Angriffen. Es passt zu der Beobachtung, dass Angreifer KI nutzen, um Zugriffskontrollen in großem Maßstab zu testen. Für Security-Teams zählt damit weniger die reine Menge der Befunde. Entscheidend wird, welche Lücken reale Angriffspfade öffnen und welche zuerst geschlossen gehören.

Schwachstellen nach Typ im Jahresvergleich 2024 und 2025

20242025
Cross-Site Scripting
3.247
3.020
Autorisierung/Rechte
2.858
2.652
SQL-Injection
1.202
902
Informationslecks
957
896
Authentifizierung
744
688
Server-Fehlkonfiguration
662
576
Business-Logik
595
562
Content Injection
476
514
Brute Force
190
223
Remote Code Execution
115
160
CSRF
258
139
Daten: Synack State of Vulnerabilities Report 2026 · Darstellung: SecurityToday

47 Prozent

Rückgang der Behebungsdauer bei kontinuierlichem Testen

Unternehmen mit laufenden Tests schlossen Lücken mit hohem Schweregrad 42 Tage schneller als 2024, kritische Lücken 38 Tage schneller. Zugleich waren 37 Prozent aller Befunde kritisch oder hochgradig.

Was ist MTTR? Die Mean Time To Remediate ist die durchschnittliche Zeitspanne von der Entdeckung einer Schwachstelle bis zu ihrer Behebung. Je kürzer dieser Wert, desto kleiner das Fenster, in dem eine bekannte Lücke aktiv ausgenutzt werden kann. Der Report nennt diese Kennzahl als zentralen Hebel gegen das steigende Angriffstempo.

Wo die kritischen Befunde liegen

Der Anteil kritischer und hochgradiger Schwachstellen lag 2025 bei 37 Prozent. In der Fertigung war er mit 43,1 Prozent am höchsten, der Technologiesektor folgte mit 40,0 Prozent.

Anteil kritischer und hochgradiger Schwachstellen nach Branche 2025

Fertigung

43,1%

Technologie

40,0%

Behörden

39,4%

Handel

32,4%

Finanzdienstleister

31,4%

Gesamtdurchschnitt

37,3%

Daten: Synack State of Vulnerabilities Report 2026 · Darstellung: SecurityToday

Bei den Befunden, die den OWASP Top 10:2025 zugeordnet wurden, dominierten zwei Klassen. Auf Injektionen entfielen 40,6 Prozent, auf fehlerhafte Zugriffskontrollen 32,8 Prozent. Beide zusammen stellten den größten Teil der OWASP-zugeordneten Befunde.

KI-Umgebungen werden selbst zum Ziel

Auch KI- und LLM-Systeme rückten stärker in den Fokus der Prüfer. Die Zahl der Sicherheitsprüfungen in diesem Bereich stieg auf der ausgewerteten Plattform um 120 Prozent. Der Report deutet das als Signal, dass KI-Infrastrukturen zunehmend als eigenständige Angriffsfläche behandelt werden, nicht nur als Werkzeug der Angreifer.

Was Security-Teams jetzt priorisieren

Aus den Daten ergeben sich klare Schwerpunkte für das Schwachstellenmanagement.

1

Kritisch zuerstKritische und hochgradige Befunde konsequent vor allen anderen schließen.
2

Angriffspfade im BlickRemote-Code-Ausführung, Brute Force, Content Injection, Injektionen und fehlerhafte Zugriffskontrollen gezielt beobachten.
3

KI mitprüfenKI- und LLM-Umgebungen fest in die Sicherheitsprüfung aufnehmen.
4

Kontinuierlich testenVon punktuellen Audits auf laufendes Testen umstellen. Das senkt die Behebungsdauer messbar.

Die zentrale Erkenntnis bleibt: Nicht die Zahl der gefundenen Schwachstellen entscheidet über das Risiko, sondern das Tempo, mit dem die kritischen entschärft werden.

Häufige Fragen

Was ist der State of Vulnerabilities Report 2026?

Der Report wertet gut 11.000 Schwachstellen aus, die 2025 in produktiven Kundenumgebungen gefunden wurden. Herausgeber ist Synack, ein Anbieter für KI-gestützte Penetrationstests. Die Auswertung ordnet die Befunde nach Schweregrad, Kategorie und Branche ein.

Warum steigt die Zahl der CVEs, obwohl schneller behoben wird?

Beides läuft parallel. Branchenweit wurden 2025 über 48.000 CVEs veröffentlicht, 20 Prozent mehr als im Vorjahr. Gleichzeitig senken Unternehmen mit kontinuierlichem Testen ihre Behebungsdauer. Mehr bekannte Lücken bedeuten also nicht automatisch mehr Risiko, solange die kritischen schnell geschlossen werden.

Wofür steht MTTR und warum ist der Rückgang relevant?

MTTR steht für Mean Time To Remediate, die durchschnittliche Zeit bis zur Behebung. Über alle Kategorien sank sie laut Report um 47 Prozent. Je kürzer diese Spanne, desto kleiner das Fenster, in dem eine bekannte Lücke ausgenutzt werden kann.

Welche Branchen sind am stärksten betroffen?

Den höchsten Anteil kritischer und hochgradiger Befunde verzeichnete die Fertigung mit 43,1 Prozent, gefolgt vom Technologiesektor mit 40,0 Prozent. Über alle Branchen hinweg lag der Anteil bei 37 Prozent.

Warum tauchen KI-Umgebungen im Report auf?

Die Zahl der Sicherheitsprüfungen an KI- und LLM-Systemen stieg um 120 Prozent. Das deutet darauf hin, dass diese Systeme nicht nur als Angriffswerkzeug dienen, sondern selbst zur Angriffsfläche werden und entsprechend getestet werden müssen.

Mehr aus dem MBF Media Netzwerk

cloudmagazin

KRITIS in die Cloud: Was die Migration absichert

MyBusinessFuture

Die KI-Aufsicht in Deutschland hat jetzt eine Adresse

Digital Chiefs

Die KI schreibt den Code. Wer haftet dafür?

Bildquelle: KI-generiert (Juli 2026). Porträt Dr. Mark Kuhr: Synack

Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH