Nahezu jede dritte Schwachstelle wird heute bereits am ersten Tag nach ihrer Veröffentlichung von Cyberkriminellen ausgenutzt, wie eine Erhebung der US-Sicherheitsfirma Vulncheck zeigt. Vor zwei Jahren betrug die Time-to-Exploit noch fünf Tage, wie eine vergleichbare Studie herausfand. Und im Jahr 2022 hatten Unternehmen sogar noch 32 Tage Zeit für eine entsprechende Reaktion.

Innert drei Jahren haben Angreifer ihr Tempo also um Faktor 30 erhöht und reagieren heute innert einem Tag statt einem Monat auf neue Schwachstellen. Davon sind die meisten Unternehmen meilenweit entfernt. Je nach Branche benötigen die meisten Firmen zwischen 63 und 104 Tagen, um Sicherheitslücken zu schliessen, so eine Studie des Sicherheitsdienstleisters Edgescan. Selbst bei kritischen Schwachstellen, die von der US-Cybersicherheitsbehörde CISA als besonders gefährlich eingestuft werden, vergehen im Schnitt 137 Tage bis zur Reparatur.

Warum die meisten Unternehmen den Cyberkriminellen mindestens in Sachen Tempo unterlegen sind, liegt an der fast schon täglichen Zunahme der Angriffsflächen. Cloud‑Migration, SaaS und AI-generierter Code öffnen laufend neue Einfallstore. "Vibe Coding" vergrössern sie weiter: viel kontextloser Code und zusammengesetzte Snippets ohne Architektur und Reviews. Ergebnis: Die Angriffsfläche wächst in Echtzeit.

Diese Dynamik wird von traditionellen Sicherheitstests nicht erfasst. Hinzu kommt, dass die eingesetzten Tools typischerweise massiv zunehmen. Verschiedene Scanner, Penetrationstests und Crowdsourcing-Plattformen produzieren fragmentierte Ergebnisse, lernen aber nicht voneinander. Folglich ertrinken Teams in Alerts, ohne den Überblick über die wirklich kritischen Bedrohungen zu behalten.

Nicht zu vergessen: Den meisten Unternehmen fehlen die Ressourcen für eine angemessene Reaktion – typischerweise sowohl beim Personal als auch beim Budget. Beides wird in der Regel erst nach einem erlebten Angriff gesprochen, statt als präventive Massnahme im Vorfeld.

Während sich die Cybersecurity-Branche über die beschriebenen Ursachen des Problems weitgehend einig ist, gibt es mehrere Wege, um das Problem zu lösen. Es zeichnet sich aber ab, dass diese nur über folgende Fähigkeiten gehen werden: kontinuierlich aktiv, sich rasch anpassend an ändernde Angriffsflächen und Bedrohungen und zu einem hohen Grad autonom.

Die Umsetzung solcher Konzepte ist jedoch komplex. Viele Unternehmen kämpfen bereits mit der Integration bestehender Sicherheitstools. Permanente Überwachung generiert ausserdem noch mehr Daten und Alerts, was das Problem der Informationsflut zusätzlich verschärft. Und auch die beste Technologie nützt nichts, solange qualifizierte Mitarbeitende fehlen, um die Ergebnisse zu interpretieren und entsprechende Massnahmen einzuleiten. Der Fachkräftemangel in der Cybersecurity bleibt also das Grundproblem.

Trotz aller Hürden zeichnet sich der Paradigmenwechsel ab. Immer mehr Unternehmen erkennen, dass statische, punktuelle Sicherheitstests der neuen Bedrohungslage nicht mehr gewachsen sind. Laut einer Studie des US-Sicherheitsdienstleisters Cycognito planen 65% der Unternehmen kontinuierliche, automatisierte oder sogar autonome Testverfahren aufzubauen. Gleichzeitig wächst der globale Security Testing-Markt laut dem Marktforschungsunternehmen Imarc rasant: von 13 Milliarden Dollar im Jahr 2024 auf prognostizierte 58,3 Milliarden bis 2033.

Die Regulierung wird den Wandel zusätzlich beschleunigen. Mit NIS2, der verschärften EU-Richtlinie für Cybersicherheit, und dem Cyber Resilience Act, der Produktsicherheit in der EU regelt, steigt der Compliance-Druck. Auch Schweizer Unternehmen müssen aufgrund dieser Vorgaben nachweisen können, dass ihre Sicherheitsmassnahmen überall wirken, der aktuellen Bedrohungslage entsprechen kontinuierlich aktiv sind.

Entscheidend wird sein, ob die Branche pragmatische Umsetzungspfade findet, die auch Unternehmen ohne grosse, dedizierte Cyber-Security Teams gehen können. Denn die aktuellen Bedrohungen betreffen nicht nur Konzerne, sondern alle.