Eine Milliarde Datensätze, eine Erkenntnis: Manuelles Patchen hat eine Obergrenze — und wir haben sie erreicht

Eine Milliarde Datensätze. 10.000 Organisationen. Vier Jahre. Und ein Ergebnis, das die Grundannahme der gesamten Branche infrage stellt: Schneller patchen funktioniert nicht mehr. Nicht weil die Teams zu langsam wären. Sondern weil das Modell selbst an eine physikalische Grenze gestoßen ist.

Die Qualys Threat Research Unit (TRU) hat die bislang umfassendste Langzeitanalyse zum Schwachstellenmanagement veröffentlicht: „The Broken Physics of Remediation“. Die Datenbasis — über eine Milliarde Remediation-Datensätze aus dem CISA KEV-Katalog (Known Exploited Vulnerabilities) — zeigt in ernüchternder Klarheit, dass das Wettrennen zwischen Angreifern und Verteidigern bereits entschieden ist. Und zwar nicht zugunsten der Verteidiger.

Die Kernzahlen

Zwischen 2022 und 2025 stieg das Volumen geschlossener Schwachstellen-Events von 73 Millionen auf 473 Millionen — ein Anstieg um 650 Prozent. Organisationen arbeiten also deutlich mehr als noch vor vier Jahren. Trotzdem verschlechtert sich die Lage: Der Anteil kritischer Schwachstellen, die sieben Tage nach Disclosure noch offen sind, stieg im selben Zeitraum von 56 auf 63 Prozent.

Mehr Arbeit, schlechtere Ergebnisse. Qualys nennt das die „human ceiling“ — eine strukturelle Obergrenze, die durch keinen realistischen Zuwachs an Personal, Prozessreife oder Management-Druck durchbrochen werden kann.

Die vielleicht alarmierendste Zahl: Laut Google M-Trends 2026 liegt die durchschnittliche Time-to-Exploit bei minus sieben Tagen. Das bedeutet: Angreifer nutzen die schwerwiegendsten Schwachstellen im Durchschnitt eine Woche aus, bevor ein Patch überhaupt existiert. Das klassische Modell „Patch schneller als der Angreifer exploitet“ ist damit nicht nur schwierig umzusetzen — es ist mathematisch unmöglich.

88 Prozent: Die Verteidiger verlieren das Wettrennen

Qualys hat 52 aktiv ausgenutzte Schwachstellen im Detail analysiert. Das Ergebnis: 88 Prozent der Schwachstellen im Datensatz wurden langsamer gepatcht, als sie ausgenutzt wurden. Bei der Hälfte begann die Ausnutzung vor der öffentlichen Bekanntgabe.

Zum Zeitpunkt der Disclosure waren 85 Prozent der verwundbaren Assets ungepatcht. Nach 21 Tagen waren es noch 33 Prozent. Nach 90 Tagen noch 12 Prozent. Jedes dieser ungepatchten Assets ist ein offenes Fenster für Angreifer — und bei Schwachstellen, die bereits aktiv ausgenutzt werden, kein theoretisches Risiko, sondern ein reales.

Manuelle Prozesse verschlimmern das Problem: Die durchschnittliche Schließungszeit bei manueller Remediation liegt vier- bis fünfmal über dem Median. Die Organisationen, die am längsten brauchen, sind nicht die mit den wenigsten Ressourcen — sondern die mit den meisten manuellen Schritten im Prozess.

Neue Metriken für eine neue Realität

Ein wesentlicher Beitrag der Studie sind zwei neue Metriken, die die Schwächen bisheriger Kennzahlen adressieren:

Average Window of Exposure (AWE): Misst die tatsächliche Zeitspanne von der ersten Exploitation bis zur vollständigen Remediation — nicht ab Disclosure, nicht ab Patch-Verfügbarkeit, sondern ab dem Moment, in dem die Schwachstelle in freier Wildbahn ausgenutzt wird. AWE bildet die reale Gefährdungsdauer für die Mehrheit der Organisationen ab: rund 21 Tage.

Risk Mass: Erfasst die kumulative Exposition einer Organisation, solange eine Schwachstelle offen bleibt. Berechnung: Anzahl verwundbarer Assets multipliziert mit der Anzahl der Tage, die jedes Asset exponiert bleibt. Risk Mass macht sichtbar, was CVSS-Scores und MTTR-Metriken verbergen: dass eine „mittelschwere“ Schwachstelle auf 10.000 Servern über 30 Tage ein größeres Gesamtrisiko darstellen kann als eine kritische Schwachstelle auf drei Systemen, die in zwei Tagen gepatcht wird.

Die Implikation: Das reaktive Modell ist am Ende

Die Qualys-Studie argumentiert nicht für schnelleres Patchen. Sie argumentiert dafür, dass das gesamte Betriebsmodell — Scan, priorisiere, erstelle Ticket, patche, verifiziere, schließe Ticket — an einer mathematischen Grenze angekommen ist, die durch Optimierung nicht überwunden werden kann.

Die Analogie im Report-Titel ist bewusst gewählt: Die „Physik“ der Remediation ist „gebrochen“. Die Geschwindigkeit der Angreifer übersteigt die Reaktionsfähigkeit menschengestützter Prozesse — und der Abstand wird größer, nicht kleiner. Mit Anthropics Mythos Preview, das tausende Zero-Days autonom findet, wird dieses Ungleichgewicht in den kommenden Monaten noch dramatischer werden.

Qualys schlägt stattdessen ein Risk Operations Center (ROC) vor — eine Architektur, die drei Elemente in einem operativen Kreislauf verbindet: eingebettete Intelligenz zur Risikopriorisierung, deterministische Bestätigung der tatsächlichen Ausnutzbarkeit (nicht nur des theoretischen Schweregrads) und autonome Remediation, die ohne menschliche Intervention an jedem Schritt skaliert.

Was das für Unternehmen konkret bedeutet

MTTR als alleinige Metrik ist unzureichend. Wer seine Patch-Performance nur an der Mean Time to Remediate misst, übersieht das eigentliche Risiko. AWE und Risk Mass liefern ein realistischeres Bild — weil sie messen, was den Angreifer interessiert: Wie lange war das Fenster offen, und wie viele Assets waren dahinter?

Automatisierung ist keine Option, sondern Voraussetzung. Die Daten zeigen eindeutig: Manuelle Prozesse sind der stärkste Verzögerungsfaktor. Jede Organisation, die Schwachstellenmanagement noch über manuelle Ticketsysteme und geplante Wartungsfenster abwickelt, operiert in einem Modell, das die Daten als gescheitert ausweisen.

Priorisierung muss exploitability-basiert sein, nicht severity-basiert. Ein CVSS-Score von 9.8 auf einem System, das hinter drei Firewalls steht und nicht aus dem Internet erreichbar ist, hat eine andere Dringlichkeit als ein CVSS 7.5 auf einem exponierten Webserver, für den ein funktionierender Exploit existiert. Qualys nennt das „deterministic confirmation of actual exploitability“ — die Prüfung, ob eine Schwachstelle in der spezifischen Umgebung tatsächlich ausnutzbar ist, nicht nur theoretisch ausnutzbar sein könnte.

Patch-Zyklen müssen dem Risiko folgen, nicht dem Kalender. Monatliche Patch-Zyklen waren für eine Welt konzipiert, in der Time-to-Exploit bei Wochen oder Monaten lag. Bei einer Time-to-Exploit von minus sieben Tagen ist ein monatlicher Zyklus strukturell nicht mehr verteidigungsfähig.

NIS-2 verlangt genau das, was die Daten zeigen. Die Richtlinie fordert technische Maßnahmen zur Angriffserkennung und ein Risikomanagement, das der tatsächlichen Bedrohungslage entspricht. Wer sich auf manuelle Patch-Prozesse mit monatlichen Zyklen beruft, wird es schwer haben, die Angemessenheit dieser Maßnahmen vor einer Behörde zu begründen — insbesondere, wenn die Qualys-Daten zeigen, dass dieses Modell nachweislich nicht funktioniert.

Einordnung

Die Qualys-Studie ist kein Alarmismus und kein Produktmarketing (auch wenn Qualys natürlich Lösungen verkauft). Sie ist eine datengetriebene Analyse, die eine unbequeme Wahrheit belegt: Das operative Modell, auf dem die Mehrheit aller Sicherheitsprogramme aufgebaut ist, funktioniert nicht mehr. Nicht weil die Teams schlecht sind. Sondern weil die Mathematik nicht mehr aufgeht.

Die Konsequenz ist nicht, aufzugeben. Die Konsequenz ist, das Modell zu ändern. Weg von „Scan, priorisiere, patche manuell“ hin zu automatisierter, risikobasierter, kontinuierlicher Remediation. Wer das nicht tut, fällt nicht langsam zurück — er fällt exponentiell zurück, weil das Volumen schneller wächst als jede manuelle Kapazität.