Risikobasierte Patch-Priorisierung

Patch-Management ist ein zentraler Bestandteil einer wirksamen Cybersicherheit. Warum fällt es vielen Unternehmen nach wie vor schwer, Patches risikogerecht zu priorisieren und konsequent umzusetzen?

Angesichts der Größe und Komplexität moderner Angriffsflächen ist es unrealistisch, dass Unternehmen jederzeit alle Schwachstellen vollständig beheben können. Daher ist die Priorisierung von Patches entscheidend: Sie sorgt dafür, dass die kritischsten Schwachstellen zuerst angegangen werden – das optimiert den Ressourceneinsatz und reduziert Sicherheitsrisiken effektiv.

Doch beim Patch-Management zeigt die Untersuchung von Ivanti ein zentrales Problem auf: „Alles hat Priorität.“ Fast alle befragten Sicherheitsexperten stufen sämtliche aufgeführten Faktoren als „mäßige“ oder „hohe“ Dringlichkeit ein. Doch wenn alles priorisiert wird, hat letztlich nichts wirklich Priorität.

Anbieter greifen auf eigene Bewertungen des Schweregrades zurück, um Kunden auf die potenziellen Auswirkungen und die Dringlichkeit neu entdeckter Schwachstellen hinzuweisen. Da ein verbindlicher Industriestandard für Bewertungen des Schweregrades fehlt, sind Unternehmen gezwungen, Patches anhand isolierter Einschätzungen zu vergleichen und zu priorisieren. Hinzu kommt: Diese Bewertungen werden kaum dynamisch angepasst – selbst dann nicht, wenn sich Schwachstellen als akut ausnutzbar erweisen.

Es ist kaum überraschend, dass 39 % der befragten Cybersicherheitsexperten angeben, Schwierigkeiten bei der Priorisierung von Risiken und der Umsetzung von Patches zu haben. Zudem berichten 35 % von Herausforderungen bei der Einhaltung von Compliance-Vorgaben im Zusammenhang mit Patching.

Dieser „Alles hat Priorität“-Ansatz ist weder wirksam noch nachhaltig.

Der effektivste Ansatz für das Patch-Management ist die risikobasierte Priorisierung, die auf den Prinzipien des risikobasierten Schwachstellenmanagements basiert. Anstelle einer rein auf die Schweregradbewertungen der Anbieter oder die einfachen CVSS-Scores beruhenden Methode berücksichtigt dieser Ansatz praxisrelevante Faktoren – etwa die Verfügbarkeit von Exploits, die Bedeutung der betroffenen Assets sowie potenzielle Auswirkungen auf das Unternehmen.

Organisationen konzentrieren ihre Patching-Aktivitäten auf die Schwachstellen, die die größte tatsächliche Bedrohung für ihre spezifische Umgebung darstellen. Dieser strategische Ansatz stellt sicher, dass die Teams sich zunächst um die kritischsten Sicherheitslücken kümmern und damit vorhandene Ressourcen gezielter einsetzen sowie die Gesamtsicherheitslage nachhaltig stärken.

87 % der Fachkräfte im Bereich Cybersicherheit fehlen entscheidungsrelevante Daten, um fundierte Sicherheitsentscheidungen treffen zu können.

Für risikobasierte Entscheidungen ist der Zugriff auf verlässliche Echtzeitdaten aus der gesamten IT-Landschaft unerlässlich. Doch die Untersuchung von Ivanti zeigt: Viele Unternehmen bleiben deutlich hinter diesem Anspruch zurück.

Diese Datenlücken halten Unternehmen davon ab, fundierte Sicherheitsentscheidungen zu treffen::

• Sichtbarkeitslücken: 45 % der Unternehmen berichten von Blindspots in ihrem Datenbestand – etwa durch Schatten-IT –, die Sicherheitsteams vor erhebliche Herausforderungen bei der Überwachung ihrer Angriffsfläche stellen.


• Kontextbezogene Lücken: 41 % der Unternehmen geben an, dass ihnen kontextbezogene Daten darüber fehlen, welche Schwachstellen ihre Systeme für Bedrohungsakteure angreifbar machen.


• Compliance-Lücken: Mehr als ein Drittel der Unternehmen (37 %) berichtet über Blindspots in Bezug auf Patch-Konfigurationen, den Compliance-Status und/oder die Einhaltung von Patch-SLAs.
   

Diese Lücken haben schwerwiegende Folgen. KI und Automatisierung werden häufig als Lösungen zur Verbesserung der sicherheitsrelevanten Entscheidungsfindung und der betrieblichen Effizienz angeführt. Doch bestehende Datenlücken schränken die Fähigkeit von KI erheblich ein, umfassende Datensätze zu analysieren und präzise Erkenntnisse zu gewinnen – ein wesentliches Hindernis für fundierte, evidenzbasierte Entscheidungen.

Silo-Strukturen, unzugängliche Daten und Datenlücken führen zu dauerhaft eingeschränkter Datenqualität – ein grundlegendes Problem, das kein KI-Tool allein beheben kann. Tatsächlich nennen 37 % „Probleme mit der Datenqualität“ als wesentliche Hürde für den Einsatz von KI-Tools für die Cybersicherheit.

Sicherheitsexperten berichten von weit verbreiteten organisatorischen Silos bei IT- und Sicherheitsteams, die durch unzusammenhängende Technologie-Stacks und kulturelle Unterschiede zwischen den beiden Bereichen entstehen.

40 % der Unternehmen berichten, dass der Einsatz unterschiedlicher Tools durch IT- und Sicherheitsteams zu Spannungen zwischen den beiden Bereichen führt. Doch diese technologische Kluft ist nur ein Teil des Problems.

Die Untersuchung von Ivanti zeigt auch kulturelle und strategische Spannungen zwischen Sicherheits- und IT-Teams - genauer gesagt, unter Sicherheitsexperten - die eine koordinierte Entscheidungsfindung erschweren:

• 46 % kritisieren den fehlenden Handlungsdruck bei den IT-Teams im Umgang mit Cybersicherheitsproblemen.


• 40 % bemängeln, dass IT-Teams kein klares Bild davon haben, welches Risiko das Unternehmen tatsächlich bereit ist zu tragen.

Diese Unstimmigkeiten werden besonders deutlich, wenn es um das Patch-Management geht. Sicherheitsteams richten ihren Fokus häufig auf das schnelle Testen und Einspielen von Patches, um das Zeitfenster potenzieller Angriffsflächen so klein wie möglich zu halten. IT-Teams hingegen müssen diese Maßnahmen stets auch im Hinblick auf ihre betrieblichen Auswirkungen bewerten – etwa in Bezug auf Ausfallzeiten, Systemverfügbarkeit und mögliche Produktivitätsverluste. Diese Gegensätze führen nicht selten zu Spannungen bei der Festlegung von Patch-Zyklen: Während das Sicherheitsteam auf Schnelligkeit drängt, steht für die IT die Systemstabilität im Vordergrund.

Erschwerend kommt hinzu, dass die Mentalität „Alles ist dringend“ das IT-Team unter Druck setzen kann, Patches zu implementieren, bevor sie ausreichend getestet wurden. Das erhöht das Risiko von Systemabstürzen, ungeplanten Ausfällen oder erfordert unter Umständen, dass bereits installierte Updates deinstalliert werden müssen.

Das Aufeinandertreffen organisatorischer Silos und nicht abgestimmter Prioritäten führt häufig zu einer lückenhaften Kommunikation und unklaren Zuständigkeiten im Patch-Management. Das Ergebnis: eine ineffektive Patch-Priorisierung und ein erhöhtes Risiko sicherheitsrelevanter Schwachstellen.

Angesichts der zunehmenden Raffinesse heutiger Bedrohungen sind kontinuierliche Überwachung und proaktive Reaktion unerlässlich.

KI und Automatisierung weisen den Weg in die Zukunft.

KI- und Automatisierungstechnologien verschaffen Unternehmen entscheidende Vorteile im Umgang mit hochentwickelten Bedrohungsakteuren:

• Priorisierung neu ausrichten: Durch die Verarbeitung großer Datenvolumen ermöglichen KI-Lösungen eine Schwachstellenanalyse, die Bedrohungs- und Risikokontext unternehmensweit berücksichtigt.


• Schwachstellenbehebung optimieren: Intelligente Systeme automatisieren Patch-Workflows, gleichen bestehende Abstimmungsprobleme zwischen Sicherheits- und IT-Teams aus und verringern gleichzeitig kostspielige Ineffizienzen im Patch-Prozess.

2025 könnte das Jahr sein, in dem Unternehmen endlich in der Lage sind, das Potenzial von KI voll auszuschöpfen. Wir haben Sicherheitsexperten gefragt: „Welche Gruppe wird KI in den nächsten 24 Monaten effektiver nutzen – Bedrohungsakteure oder Sicherheitsteams?“ Mehr als die Hälfte (53 %) ist überzeugt, dass Sicherheitsteams KI effektiver nutzen werden, während 21 % meinen, dass Bedrohungsakteure sich den Einsatz von KI gezielt zunutze machen werden.

Trotz des weit verbreiteten Optimismus über das Potenzial von KI, Sicherheitsteams einen strategischen Vorteil zu verschaffen, müssen Unternehmen zunächst erhebliche regulatorische, personelle und finanzielle Hürden überwinden. Sicherheitsexperten berichten Folgendes:

• 48 % der Befragten nennen regulatorische Vorgaben und Datenschutzanforderungen als Hürde.


• 46 % berichten, dass ihnen die Fachkräfte fehlen, um fortschrittliche KI-gestützte Technologien einzuführen.


• Weitere 46 % kritisieren, dass die hohen Kosten von KI-Tools deren Einsatz in der Praxis einschränken.

Kein Wunder also, dass weniger als die Hälfte der von Ivanti befragten Unternehmen KI und Automatisierung ausgerechnet in jenen Bereichen einsetzt, in denen sich diese Technologien bereits als besonders effektiv erwiesen haben – etwa bei vorausschauender IT-Wartung, der Erkennung von Nutzungs- und Netzwerkverkehrsanomalien sowie der automatisierten Reaktion auf Sicherheitsvorfälle.

Dieser Report basiert auf einer im Oktober 2024 durchgeführten Umfrage unter über 2.400 Führungskräften, IT- und Cybersicherheitsexperten sowie Büroangestellten. Die Studie wurde von Ravn Research durchgeführt. Die Teilnehmenden wurden von MSI Advanced Customer Insights ausgewählt. Die Umfrageergebnisse sind nicht gewichtet. Eine umfassendere Analyse der Umfragedaten finden Sie im vollständigen Ivanti-Report zum Stand der Cybersicherheit 2025: Paradigmenwechsel.