„Das Patchen, wie wir es kennen, ist passé.”

Die CISOs von Sophos und sysdig warnen vor einer Flut unbehobener Schwachstellen und raten dringend zum Umdenken.

Bild: Getty Images / Credits: valentinrussanov

Die Geschwindigkeit, mit der neue Sicherheitslücken gefunden und ausgenutzt werden, hat eine neue Qualität erreicht. In einem aktuellen Blogbeitrag warnt Ross McKerchar, CISO bei Sophos, vor einer „Vulnerability Flood“, die klassische Sicherheitsmodelle überrollt. Künstliche Intelligenz verändert nicht nur die Art, wie Angreifer vorgehen – sie kippt die gesamte Ökonomie von Schwachstellen. PatchManagement, lange Zeit das Rückgrat der ITSicherheit, wird dabei zunehmend selbst zum strukturellen Risiko.

„Wir erleben gerade keinen normalen Anstieg von Schwachstellen, sondern einen Bruch mit bisherigen Annahmen“, schreibtMcKerchar. KI‑gestützte Modelle wie Claude Mythos seien in der Lage, Zero‑Day‑Lücken mit einer Geschwindigkeit zu finden und auszunutzen, die menschliche Patch‑Zyklen grundsätzlich nicht mehr einholen könnten. Das Problem sei daher nicht mangelnde Disziplin in den Unternehmen – sondern ein System, das für diese Dynamik nicht gebaut wurde.

Diese Diagnose deckt sich mit aktuellen Daten aus der Sicherheitscommunity. Das Projekt Zero Day Clock, das die Zeitspanne zwischen Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung analysiert, zeigt einen drastischen Trend: Lag die durchschnittliche „Time to Exploit“ im Jahr 2018 noch bei 771 Tagen, sind es 2026 weniger als 24 Stunden.

Image
Description
Quelle: Zero Day Clock

Noch alarmierender ist eine weitere Zahl: Rund zwei Drittel aller ausgenutzten Schwachstellen werden am Tag der Offenlegung – oder sogar davor – weaponized. Für diese Lücken existiert zum Zeitpunkt des Angriffs schlicht kein Patch.

Für McKerchar ist klar: Patchen bleibt zwar notwendig, verliert jedoch seine Schutzfunktion. Es wird zur Hygiene, nicht mehr zur Verteidigung. „Wenn ein Modell in der Lage ist, einen Patch‑Diff zu lesen und daraus einen funktionierenden Exploit zu generieren, bevor ein Unternehmen überhaupt seinen Change‑Prozess startet, wird der Patch‑Zyklus selbst zum Angriffsfenster“, warnt er.

Image
Description
Ross McKerchar ist der CISO von Sophos. (Bildquelle: Sophos)

Die mehrjährige Analyse der sogenannten Pacific-Rim-Kampagnen spiegelt dies wider. Staatliche Akteure nutzten systematisch ungepatchte oder aus dem Support gefallene Perimeter‑Geräte als dauerhafte Eintrittstore – nicht aus Nachlässigkeit der Betreiber, sondern weil die Geschwindigkeit der Angreifer jede klassische Reaktion überholte.

Sergej Epp, CISO bei Sysdig, teilt die Einschätzung McKerchars und bringt es drastisch auf den Punkt. In einem LinkedIn-Post schreibt er: „Das Patchen, wie wir es kennen, ist passé. Man kann nichts patchen, was noch nicht gepatcht wurde.“

Epp belegt seine Aussage mit konkreten Beobachtungen aus der Praxis. Erst vor Kurzem analysierte Sysdig eine Schwachstelle in Marimo, einem vergleichsweise unbekannten Python‑Notebook. Neun Stunden und 41 Minuten nach Veröffentlichung der Sicherheitswarnung hatten Angreifer bereits Zugriff.

Image
Description
Die Zeitspanne zwischen der Veröffentlichung der Sicherheitswarnung und der ersten Ausnutzung betrug 9 Stunden und 41 Minuten. (Quelle: sysdig)

Es gab zu diesem Zeitpunkt weder eine CVE‑Nummer noch öffentlich verfügbaren Exploit‑Code. Die Angreifer hatten lediglich das Advisory gelesen und den Angriff selbst gebaut. Innerhalb von weniger als drei Minuten waren Zugangsdaten kompromittiert.

Der Vorfall widerlegt eine weitverbreitete Annahme in vielen Unternehmen: dass es sich lohne, vor allem große, marktbeherrschende Produkte abzusichern. „Diese Logik ist überholt“, sagt McKerchar. Angreifer priorisieren heute nicht Marktanteile, sondern Ausnutzbarkeit und Geschwindigkeit. KI mache Nischen‑Software genauso attraktiv wie Enterprise‑Plattformen.

Ein weiteres Beispiel dafür sind neue agentische Werkzeuge wie MOAK (Mother of All KEVs) – eine KI-gestützte Cybersicherheitsplattform, die im April 2026 von Yair Saban und Niv Hoffman ins Leben gerufen wurde. Sie ist darauf ausgelegt, bekannte Schwachstellen (KEVs) innerhalb einer Stunde automatisch zu analysieren und funktionierende Exploits dafür zu generieren – auch ohne spezielle Fachkenntnisse. Was früher hochspezialisierten Angreifern vorbehalten war, wird damit industrialisiert und demokratisiert – oder, wie Epp es ausdrückt: “Sie müssen sich nicht mit Programmierung auskennen. Sie brauchen nur Englischkenntnisse und einen Nachmittag Zeit.”

Für CISOs hat diese Entwicklung weitreichende Konsequenzen. McKerchar plädiert dafür, Sicherheit nicht länger ausschließlich defensiv zu organisieren. Abschottung, längere Patch‑Fenster und Risikobewertungen auf Basis von CVSS‑Scores reichten nicht mehr aus. Erfolgreiche Teams würden heute anders arbeiten: Sie nutzten offensive Werkzeuge selbst – nicht um anzugreifen, sondern um Verifikation und Priorisierung zu beschleunigen.

Das sieht auch Sergej Epp so: „Die Verteidiger, die dies überstehen, sind diejenigen, die sich dieselben Angriffswerkzeuge zu eigen machen und sie nutzen, um die Realität zu überprüfen, bevor es der Angreifer tut.“

Image
Description
Sergej Epp ist CISO bei sysdig. (Bildquelle: sysdig)

Diese Perspektive gipfelt in einem aktuellen Strategiepapier der Cloud Security Alliance (CSA). Das im April 2026 veröffentlichte Briefing Building a Mythos‑ready Security Program beschreibt eine „AI Vulnerability Storm“, in der Claude Mythos nicht als Ausnahme, sondern als Vorbote gesehen wird. Die zentrale Botschaft: Sicherheitsprogramme müssen neu ausgerichtet werden – weg von präventiver Zeitplanung, hin zu Resilienz, Eindämmung und Reaktionsgeschwindigkeit. Patchen wird dabei ausdrücklich nicht verworfen, aber entthront. Entscheidend sei die Fähigkeit, Angriffspfade selbst und frühzeitig zu validieren.

Bemerkenswert ist, dass die CSA dabei nicht in abstrakten Konzepten verharrt. Die Autoren – darunter CSA‑CISO‑Fellow Gadi Evron – fordern explizit, dass Security‑Teams selbst mit agentischen Tools arbeiten. Nicht als Experiment, sondern als Bestandteil des Alltags. Die Einstiegshürden seien niedrig, betont Evron immer wieder: Man brauche kein tiefes Coding‑Wissen, sondern vor allem Zeit und die Bereitschaft, die eigene Rolle neu zu denken.

McKerchars Fazit fällt entsprechend deutlich aus. Die Schwachstellen‑Flut sei kein temporäres Phänomen, sondern das neue Grundrauschen der IT‑Sicherheit. Patch‑Management allein schütze nicht mehr. Entscheidend seien Transparenz, Geschwindigkeit, offensive Verifikation und Resilienz. Oder, wie er es formuliert: Die Frage ist längst nicht mehr, ob Systeme getestet werden – sondern ob Verteidiger schneller sind als der Angreifer.