KI verändert Vulnerability Management: Warum alte Patch-Prozesse nicht mehr reichen
KI-Modelle finden Schwachstellen schneller als klassische Prozesse sie beheben. Unternehmen müssen ihr Vulnerability Management neu ausrichten.
Kurzfassung für Entscheider
Künstliche Intelligenz verändert die Sicherheitslage nicht abstrakt, sondern sehr konkret: Schwachstellen werden schneller gefunden, schneller zu Angriffsketten kombiniert und schneller relevant. Anthropic berichtet, dass das Projekt Glasswing mit Claude Mythos Preview tausende hochkritische Schwachstellenkandidaten in weit verbreiteter Software identifiziert hat. Ein Teil wurde bereits validiert, gepatcht oder in Advisories überführt.
Für Unternehmen ist das eine doppelte Entwicklung. Verteidiger bekommen bessere Werkzeuge, aber Angreifer profitieren mittelfristig ebenfalls von leistungsfähigeren Modellen. Wer weiterhin mit langsamen Freigaben, unklarer Asset-Transparenz und manuellen Patch-Prozessen arbeitet, verliert Zeit genau dort, wo Zeit entscheidend ist.
Was sich strategisch ändert
Früher konnte man viele Schwachstellenprozesse monatlich oder quartalsweise denken. Dieses Modell wird zunehmend riskant. Wenn KI die Entdeckung und Analyse beschleunigt, müssen Unternehmen schneller entscheiden können: Ist ein System betroffen? Ist es extern erreichbar? Gibt es aktive Ausnutzung? Gibt es eine Kompensation, falls Patchen nicht sofort möglich ist?
Die Antwort liegt nicht darin, alles blind sofort zu patchen. Die Antwort liegt in besseren Daten, klaren Prioritäten und kürzeren Entscheidungswegen. Ein gutes Vulnerability Management verbindet Asset-Inventar, Exposure Management, Patch-Prozesse, Logging, Detection und Incident Response.
Empfehlungen für Führungskräfte
- Patch-Ziele für aktiv ausgenutzte und internetexponierte Systeme verkürzen.
- Asset-Transparenz als Sicherheitskennzahl behandeln.
- Kritische Softwareabhängigkeiten und Open-Source-Komponenten erfassen.
- Ausnahmen im Patch-Prozess befristen und begründen lassen.
- Detection und Logging stärken, damit ungepatchte Risiken überwacht werden können.
- Incident-Response-Workflows vereinfachen, damit Teams nicht zwischen zu vielen Tools hängen bleiben.
Technischer Abschnitt
Claude Mythos Preview wurde im Rahmen von Project Glasswing ausgewählten Partnern zur defensiven Schwachstellensuche bereitgestellt. Laut Anthropic wurden mehr als 10.000 hochkritische oder kritische Schwachstellenkandidaten gemeldet. Nach Analyse wurden tausende Kandidaten bewertet, ein Teil als echte Treffer bestätigt und mehrere Findings bereits upstream gepatcht. Besonders relevant ist der Hinweis, dass KI nicht nur einzelne Bugs findet, sondern auch beim Verknüpfen von Schwachstellen zu Angriffsketten stärker wird.
Technisch bedeutet das: Priorisierung darf nicht nur auf CVSS basieren. Zusätzlich zählen Exploit-Reife, externe Erreichbarkeit, betroffene Identitäten, Datenkritikalität, vorhandene Kompensationsmaßnahmen und Detektionsfähigkeit. Organisationen sollten KEV-Listen, Hersteller-Advisories, SBOM-Informationen, EDR-Telemetrie und Cloud/SaaS-Exposure in einem gemeinsamen Entscheidungsprozess zusammenführen.
Der Incident-Response-Aspekt ist ebenfalls wichtig. Wenn Teams bei einem Sicherheitsereignis zwischen Monitoring, Ticketing, IAM, Cloud-Konsole, Kommunikationskanälen und Netzwerktools wechseln müssen, entsteht Verzögerung. Automatisierte Anreicherung, klare Routing-Regeln und vorbereitete Playbooks reduzieren die Zeit von Alert zu Entscheidung.
Quellen
- The Hacker News zu Claude Mythos und Project Glasswing: https://thehackernews.com/2026/05/claude-mythos-ai-finds-10000-high.html
- BleepingComputer zu Incident-Response-Workflows: https://www.bleepingcomputer.com/news/security/webinar-too-many-tools-are-slowing-network-incident-response/


