
Es ist wieder soweit! Während Sie die letztjährige Cybersecurity Awareness Month PSA über die Passwortstärke durchgehen, könnte es auch an der Zeit sein, Ihre eigenen Best Practices zu überprüfen. Obwohl wir wissen, dass jeder Patch Tuesday Ihrem Unternehmen neue Kopfschmerzen bereiten kann, ist es dennoch wichtig, dass Sie Ihre Security-Lage im Hinblick auf das Schwachstellen-Management kennen.
Warum wächst Ihr Schwachstellen-Backlog weiter?
Jede Anwendung hat verschiedene Abhängigkeiten – zum Beispiel können die Treiber Ihrer Grafikkarte von Elementen des Windows-Betriebssystems abhängen, um Bilder anzuzeigen. Wenn ein Security-Update des Betriebssystems diese Abhängigkeiten unterbricht, werden Ihre Nutzer mit nicht funktionierender Hardware aufwachen.
Sie können Ihre Treiber oder die Version Ihres Betriebssystems zurücksetzen, um das anfängliche Problem zu beheben, aber dann müssen Sie darauf warten, dass jemand einen aktualisierten Patch veröffentlicht, der Ihre Hardware unterstützt. Wenn Ihre Organisation eine Schule oder ein kleines Unternehmen ist, das Hardware betreibt, die das Ende ihrer Lebensdauer erreicht hat, könnten Sie Pech haben. Sogar bei großen Unternehmen kann es vorkommen, dass sich die Patch-Management-Programme aufgrund scheinbar wichtigerer Anliegen auf unbestimmte Zeit verzögern.
Gleichzeitig sind Ihre Schwachstellen weiterhin ausnutzbar.
Schwachstellen werden immer anfälliger
Böswillige Akteure nehmen die Zeit wahr, die Organisationen benötigen, um ihre Infrastruktur effektiv zu patchen. Früher benötigten Angreifer etwa 63 Tage nach der Entdeckung, um eine Zero-Day-Schwachstelle auszunutzen. Diese Zeitspanne hat sich auf durchschnittlich 32 Tage verringert. Gleichzeitig sind ungepatchte Schwachstellen die Ursache für über 60 % der Datenschutzverletzungen.
Zu den Sorgen der Security-Administratoren kommt hinzu, dass Schwachstellen in zunehmendem Maße entdeckt werden. Im Jahr 2024 entdeckten Forscher 61 % mehr Schwachstellen als in den Vorjahren, und die Zahl der ausgenutzten Schwachstellen stieg um 96 %. Dies könnte mit dem Aufkommen von „vibecodierter Software“ zusammenhängen, die teilweise oder vollständig von KI generiert wird.
KI-geschriebener Code enthält zwar ungefähr genauso viele Fehler wie von Menschen geschriebener Code, aber KI macht es einfach, schneller mehr Code zu schreiben. Und mehr Code bedeutet insgesamt mehr Schwachstellen. Darüber hinaus könnten Entwickler ein unrealistisches Vertrauen in die Fähigkeit von KI haben, sicheren Code zu schreiben. Dies bedeutet, dass sie möglicherweise vergessen, nach Schwachstellen zu suchen, die dann in die Produktionssoftware gelangen.
Wie finden Sie ungepatchte häufige Schwachstellen und Sicherheitsrisiken (CVEs)?
Jetzt, da Sie wissen, dass ungepatchte Schwachstellen selbst die ausgereiftesten Organisationen mit den neuesten Anwendungen plagen können, stellt sich die Frage: Wie gehen Sie anders vor?
Zunächst einmal ist es durchaus möglich, dass eine Organisation vergisst, dass sie eine ungepatchte Anwendung hat. Wenn Sie immer noch Tabellenkalkulationen verwenden, um Patches nachzuverfolgen, und jemand eine Zeile nicht aktualisiert, könnten diese Informationen verloren gehen.
Aus diesem Grund beginnt die Einführung oder Überarbeitung Ihrer Patch-Management-Strategie in der Regel mit dem Asset Management. Sie benötigen eine Liste aller Software, die Sie derzeit ausführen, und dann müssen Sie die Versionsnummern zwischen der auf Ihrer Infrastruktur laufenden Software und der aktuellsten Version des Herstellers abgleichen.
Nicht jede ungepatchte Anwendung enthält eine kritische Schwachstelle. Aus diesem Grund ist es nützlich, Ihre veraltete Software mit der CVE-Datenbank abzugleichen, einem von der Community unterstützten Archiv bekannter Schwachstellen.
Was passiert, nachdem Sie ungesicherte Anwendungen identifiziert haben?
Es könnte sein, dass Sie über Dutzende ungepatchter Anwendungen verfügen. Für einige von ihnen kann die Lösung so einfach sein wie das Herunterladen und Installieren des Patches – aber selbst wenn es so eindeutig ist, müssen Sie den Patch möglicherweise noch testen, bevor Sie ihn in die Produktion einführen. Dies nimmt wertvolle Zeit in Anspruch.
Andere ungepatchte Anwendungen können ungepatcht bleiben, entweder weil der Hersteller nie einen Patch veröffentlicht hat oder weil die aktuellste Version weiterhin nicht mit Ihrer Hardware kompatibel ist. Hier müssen Sie Schutzmaßnahmen improvisieren, wie zum Beispiel die Anwendung in einem sicheren Subnetz zu platzieren.
Es wird sehr wichtig sein, dass Sie Ihre Bemühungen priorisieren – denn Sie werden mit ziemlicher Sicherheit nicht genug Zeit haben, um jede Anwendung zu aktualisieren.
Priorisierung Ihrer ungepatchten Schwachstellen
Security-Forscher kombinieren häufig zwei Rubriken, um die Prioritäten für das Patch-Management festzulegen. Das Common Vulnerability Scoring System (CVSS) wurde vom National Infrastructure Advisory Council entwickelt, um den Schweregrad von Software-Schwachstellen auf einer Skala von null bis zehn zu bewerten. Allerdings ist das CVSS nicht dazu gedacht, als alleinige Grundlage für die Priorisierung des Schwachstellen-Managements zu dienen.
Das Exploit Prediction Scoring System (EPSS) stuft CVEs danach ein, ob sie wahrscheinlich ausgenutzt werden. EPSS verwendet ein mathematisches Modell, das die Beziehung zwischen der Ausnutzungsaktivität und der Schwere eines Exploits berechnet. Mit diesen Informationen kann vorhergesagt werden, ob in den nächsten 30 Tagen eine große Anzahl böswilliger Akteure versuchen wird, eine Schwachstelle auszunutzen.
Überraschenderweise gibt es nicht viele Überschneidungen zwischen den EPSS- und CVSS-Scores. Forschungen zeigen, dass Angreifer häufig nicht die schwerwiegendsten Schwachstellen priorisieren oder sogar nicht die, die am einfachsten auszunutzen sind.
Dennoch sollten Security Directors ein weites Netz für Security-Intelligenz auswerfen und bei der Priorisierung des Schwachstellenmanagements ihr eigenes Urteilsvermögen einsetzen. Wenn eine Schwachstelle sowohl bei EPSS als auch bei CVSS einen hohen Wert aufweist, sollte sie auf jeden Fall zuerst verwaltet werden. Aber manchmal stellen Sie fest, dass eine hochgradige Schwachstelle eine relativ triviale Anwendung betrifft oder eine, die sich bereits in einem gesicherten und überwachten Teilnetz befindet. Wenn das der Fall ist, möchten Sie vielleicht zuerst andere Schwachstellen angehen.
Mit dem Schwachstellenmanagement Schritt halten: Was steht als Nächstes an?
Schwachstellenmanagement ist kein einmaliges Projekt. Im Idealfall erfolgt es kontinuierlich – und Sie sollten wahrscheinlich etwas Fortschrittlicheres als eine Tabellenkalkulation verwenden.
In einer idealen Welt setzen Sie eine Lösung ein, die proaktiv nach Schwachstellen sucht. Sicherheitslösungen in dieser Kategorie scannen regelmäßig Ihr Netzwerk und prüfen Ihre aktiven Anwendungen, wodurch der Arbeitsaufwand für eine manuelle Softwareprüfung erheblich reduziert wird. Darüber hinaus werden neue Schwachstellen automatisch markiert und nach Schweregrad eingestuft, wodurch die Priorisierung erheblich vereinfacht wird.
Heuristische – auch verhaltensbasierte – Intrusion-Prevention-Systeme sind eine sinnvolle Ergänzung zum Schwachstellen-Management. Diese Tools erkennen die Symptome eines Cyberangriffs, wie zum Beispiel die Erstellung, Verschlüsselung oder Löschung einer großen Anzahl von Dateien. Dann greifen sie ein, um verdächtige Aktivitäten zu sperren. Falls Sie eine Schwachstelle noch nicht behoben haben (oder nicht wissen, dass eine existiert, wie bei einer Zero-Day-Bedrohung), bieten diese Tools eine zweite Verteidigungslinie.
Überwinden Sie die Patch-Müdigkeit mit Barracuda
Managed Vulnerability Security ist ein neues Angebot von Barracuda, das die Last der Verteidigung gegen schwerwiegende Exploits verringert. Dieser Service kombiniert regelmäßige Schwachstellenscans mit dem rechtzeitigen Eingreifen unseres Expertenteams im Security Operations Center (SOC). Unser vollständig verwalteter Service ermöglicht es Ihnen, von der Expertise der Überwachung zu profitieren, ohne Ihre bestehende Workloads zu erhöhen – und gleichzeitig Ihren Schwachstellenrückstand zu beseitigen. Vereinbaren Sie ein Gespräch und erfahren Sie, wie Barracuda Ihnen helfen kann, Ihre Cyber-Resilienz zu stärken.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.