Das kollabierte Exploitation-Fenster

Wie KI das Sicherheitsversprechen des Schwachstellenmanagements zerstört

Bild Getty Images / Credits: Dragos Condrea

Die Zeit zwischen der Offenlegung einer Schwachstelle und deren Ausnutzung schrumpft dramatisch. Was jahrzehntelang die Grundlage moderner ITSicherheitsstrategien war – Patch vor Exploit – gerät durch KI-basierte Angreifer an sein strukturelles Ende. Große Sprachmodelle analysieren Code, Patches und Abhängigkeiten inzwischen in Sekunden. Zero-Days könnten damit vom Ausnahmefall zur Normalität werden.

Ashish Malpani, Head of Product Marketing bei Corelight, bringt es im schriftlichen Interview mit Computing Deutschland auf den Punkt: „Die Annahme, dass Verteidiger Zeit zum Patchen haben, bevor Angreifer eine Schwachstelle weaponizen, ist nicht mehr gültig.“

Wenn Sekunden genügen

Patch-first-Sicherheitsprogramme basierten jahrzehntelang auf einem einfachen Kalkül: Zwischen Disclosure und Ausnutzung vergehen Tage oder Wochen. Dieses Zeitfenster existiert faktisch nicht mehr.

Ein eindrucksvolles Beispiel liefert Claude Mythos Preview, ein autonom arbeitendes LLM-System aus dem Anthropic-Umfeld: Es entdeckte eine 27 Jahre alte Schwachstelle in OpenBSD sowie eine 16 Jahre alte Lücke in Videoverarbeitungs-Code, die zuvor mehr als fünf Millionen automatisierte Tests überstanden hatte.

Das Entscheidende ist neben der Geschwindigkeit vor allem die Konsequenz: Die Frage ist nicht länger, ob ein ungepatchtes System kompromittiert wird – sondern wann.

Kritische Infrastrukturen: besonders exponiert

Gerade kritische Infrastrukturen stehen dabei unter strukturellem Dauerstress. Sie vereinen IT- und OT-Systeme, bestehen aus verteilten Netzen, laufen regional fragmentiert und umfassen oft mehrere Technologiegenerationen parallel. Viele dieser Systeme lassen sich selbst bei bekannten Schwachstellen nicht zeitnah patchen – im schlimmsten Fall gar nicht.

Maschinenschnelle Angreifer kalkulieren diese Realität ein. Klassische Vulnerability-Management-Ansätze greifen hier zu kurz. Entscheidend wird stattdessen die Fähigkeit, Exploitation in Echtzeit zu erkennen, sobald sie passiert.

KI als Exploit-Architekt – nicht nur als Beschleuniger

Eine zentrale These Malpanis: KI ersetzt nicht nur manuelle Schritte – sie erschließt völlig neue Formen von Angriffen.

Claude Mythos demonstrierte autonome Ketten aus Privilege Escalation und Remote Code Execution, die menschliche Forscher so kaum verbunden hätten. Und das zu Kosten, die früher undenkbar waren: Ein funktionierender RCE-Exploit entstand für rund 50 US-Dollar Rechenbudget.

Das ist kein inkrementeller Fortschritt, sondern ein qualitativer Sprung. Die Eintrittshürde für hochklassige Exploit-Forschung sinkt drastisch.

Verteidigung unter denselben Bedingungen – aber nur mit guten Daten

Die gute Nachricht: Dieselben Reasoning-Fähigkeiten lassen sich auch defensiv einsetzen. Die Schlechte: KI ist nur so gut wie die Daten, mit denen sie arbeitet.

Organisationen, die fragmentierte, verzögerte oder niedrig aufgelöste Telemetriedaten einspeisen, erhalten entsprechend unzuverlässige Erkennungen. Effektiv reagieren können laut Malpani nur jene Unternehmen, die bereits über eine hochwertige, kontinuierliche Network-Evidence-Schicht verfügen – als Grundlage für KI-gestützte Detection-Workflows.

Wenn alles „Priority 1“ ist, ist nichts mehr priorisierbar

Ein besonders schmerzhafter Befund: Mit 99 Prozent der von Claude Mythos gefundenen Schwachstellen, die bislang ungepatcht sind, verliert klassische Risikopriorisierung ihre Bedeutung. CVSS-Scores helfen nicht, wenn jede Lücke sofort ausnutzbar ist.

„Der Remediation-Prozess kann mit maschineller Discovery nicht mehr Schritt halten“, sagt Malpani. Die Antwort darauf heißt “Assume Breach” – ein Paradigmenwechsel mit tiefgreifenden Investitionsfolgen.

Detection statt Illusion von Prävention

Assume Breach bedeutet konkret:

Automatisiertes Patchen bleibt relevant, kann das Grundproblem aber nicht allein lösen. Entscheidend ist die Detection‑ und Response‑Schicht – nicht das unvollständige Schließen aller Lücken.

Menschliche Verantwortlichkeit bleibt unerlässlich.

Wenn Maschinen in Echtzeit angreifen, wird der Mensch im Security Operations Center zwangsläufig zum langsamsten Glied. Bedeutet das, dass KI künftig autonom über Gegenmaßnahmen entscheidet?

Malpani warnt vor einem Automatismus: Fehlentscheidungen in maschineller Geschwindigkeit und Skalierung haben reale Konsequenzen.

Der sinnvollere Weg: KI übernimmt Korrelation, agentische Triage und Beweissammlung, während der Mensch die Entscheidung trifft – allerdings auf Basis eines bereits kuratierten, evidenzgestützten Gesamtbildes statt isolierter Alarme.

“Ich sehe eine Zukunft voraus, in der große Sprachmodelle (LLMs) Werkzeuge zur Abwehr von Exploits und zur Täuschung entwickeln. Dennoch ist es selbst mit automatisierten Gegenmaßnahmen unmöglich, jedes potenzielle Szenario abzudecken, sodass der Bedarf an defensiver KI weiterhin besteht.”

Masse und Präzision

Ein besonders unbequemer Aspekt: Die Kosten für hochentwickelte Vulnerability-Forschung sind massiv gesunken. Anthropic beschränkte Mythos Preview bewusst auf ein Konsortium, um eine offensive Nutzung zu verhindern – doch die Fähigkeit selbst ist kein exklusives Gut.

Gut finanzierte Angreifer und staatliche Akteure entwickeln vergleichbare Systeme. Sicherheitsmodelle, die davon ausgehen, „kein attraktives Ziel“ zu sein, sind damit obsolet.

Die Bedrohungslandschaft entwickelt sich zweigleisig:

Letztere tarnen sich als legitimer Traffic und lassen sich nur durch verhaltensbasierte Anomalieerkennung identifizieren – klassische Signaturen versagen hier.

Ein Paradigma ist endgültig tot

Auf die Frage, welches Sicherheitsparadigma wir offiziell begraben sollten, antwortet Malpani klar: “Die Annahme, dass Sicherheitslücken nur wenige Wochen bestehen und das Schwachstellenmanagement nach Priorität erfolgen kann, trifft nicht mehr zu.”

In einer Welt, in der Sekunden genügen, ist diese Vorstellung, dass Exploitation-Fenster Wochen dauern und Schwachstellen priorisierbar sind, nicht nur falsch – sondern gefährlich.

Sicherheit neu denken

Der zentrale Maßstab ist nicht mehr Verhinderung, sondern die Begrenzung des Schadens. Der Engpass ist die Datenqualität. Einzig, wer heute in hochwertige Netzwerkdaten investiert, verschafft sich die realistische Chance, mit Angreifern der Mythos‑Klasse Schritt halten zu können.

“Eine Verteidigungs-KI, die unvollständige oder qualitativ minderwertige Daten analysiert, wird schnell zu unzuverlässigen Einschätzungen gelangen. Das dringlichere und realistischere Ziel besteht darin, KI-gesteuerte Arbeitsabläufe mit hochwertigen Netzwerkdaten in Echtzeit zu versorgen, damit Verteidiger so schnell reagieren können, wie es die aktuellen Bedrohungen erfordern.”

Image
Description
Ashish Malpani ist Head of Product Marketing bei Corelight.