Mögliche Angriffsflächen innerhalb von Unternehmen verändern sich fast täglich. Darauf sind Cyberkriminelle vorbereitet, Firmen typischerweise nicht. Diese Dynamik verlangt neue Massnahmen.
Nahezu jede dritte Schwachstelle wird heute bereits am ersten Tag nach ihrer Veröffentlichung von Cyberkriminellen ausgenutzt, wie eine Erhebung der US-Sicherheitsfirma Vulncheck zeigt. Vor zwei Jahren betrug die Time-to-Exploit noch fünf Tage, wie eine vergleichbare Studie herausfand. Und im Jahr 2022 hatten Unternehmen sogar noch 32 Tage Zeit für eine entsprechende Reaktion.
Innert drei Jahren haben Angreifer ihr Tempo also um Faktor 30 erhöht und reagieren heute innert einem Tag statt einem Monat auf neue Schwachstellen. Davon sind die meisten Unternehmen meilenweit entfernt. Je nach Branche benötigen die meisten Firmen zwischen 63 und 104 Tagen, um Sicherheitslücken zu schliessen, so eine Studie des Sicherheitsdienstleisters Edgescan. Selbst bei kritischen Schwachstellen, die von der US-Cybersicherheitsbehörde CISA als besonders gefährlich eingestuft werden, vergehen im Schnitt 137 Tage bis zur Reparatur.
Warum Sicherheitsteams nicht mithalten können
Warum die meisten Unternehmen den Cyberkriminellen mindestens in Sachen Tempo unterlegen sind, liegt an der fast schon täglichen Zunahme der Angriffsflächen. Cloud‑Migration, SaaS und AI-generierter Code öffnen laufend neue Einfallstore. «Vibe Coding» vergrössern sie weiter: viel kontextloser Code und zusammengesetzte Snippets ohne Architektur und Reviews. Ergebnis: Die Angriffsfläche wächst in Echtzeit.
Diese Dynamik wird von traditionellen Sicherheitstests nicht erfasst. Hinzu kommt, dass die eingesetzten Tools typischerweise massiv zunehmen. Verschiedene Scanner, Penetrationstests und Crowdsourcing-Plattformen produzieren fragmentierte Ergebnisse, lernen aber nicht voneinander. Folglich ertrinken Teams in Alerts, ohne den Überblick über die wirklich kritischen Bedrohungen zu behalten.
Nicht zu vergessen: Den meisten Unternehmen fehlen die Ressourcen für eine angemessene Reaktion – typischerweise sowohl beim Personal als auch beim Budget. Beides wird in der Regel erst nach einem erlebten Angriff gesprochen, statt als präventive Massnahme im Vorfeld.
Klare Diagnose, erste Lösungsansätze
Während sich die Cybersecurity-Branche über die beschriebenen Ursachen des Problems weitgehend einig ist, gibt es mehrere Wege, um das Problem zu lösen. Es zeichnet sich aber ab, dass diese nur über folgende Fähigkeiten gehen werden: kontinuierlich aktiv, sich rasch anpassend an ändernde Angriffsflächen und Bedrohungen und zu einem hohen Grad autonom.
Die Umsetzung solcher Konzepte ist jedoch komplex. Viele Unternehmen kämpfen bereits mit der Integration bestehender Sicherheitstools. Permanente Überwachung generiert ausserdem noch mehr Daten und Alerts, was das Problem der Informationsflut zusätzlich verschärft. Und auch die beste Technologie nützt nichts, solange qualifizierte Mitarbeitende fehlen, um die Ergebnisse zu interpretieren und entsprechende Massnahmen einzuleiten. Der Fachkräftemangel in der Cybersecurity bleibt also das Grundproblem.
Der Wandel hat begonnen
Trotz aller Hürden zeichnet sich der Paradigmenwechsel ab. Immer mehr Unternehmen erkennen, dass statische, punktuelle Sicherheitstests der neuen Bedrohungslage nicht mehr gewachsen sind. Laut einer Studie des US-Sicherheitsdienstleisters Cycognito planen 65% der Unternehmen kontinuierliche, automatisierte oder sogar autonome Testverfahren aufzubauen. Gleichzeitig wächst der globale Security Testing-Markt laut dem Marktforschungsunternehmen Imarc rasant: von 13 Milliarden Dollar im Jahr 2024 auf prognostizierte 58,3 Milliarden bis 2033.
Die Regulierung wird den Wandel zusätzlich beschleunigen. Mit NIS2, der verschärften EU-Richtlinie für Cybersicherheit, und dem Cyber Resilience Act, der Produktsicherheit in der EU regelt, steigt der Compliance-Druck. Auch Schweizer Unternehmen müssen aufgrund dieser Vorgaben nachweisen können, dass ihre Sicherheitsmassnahmen überall wirken, der aktuellen Bedrohungslage entsprechen kontinuierlich aktiv sind.
Entscheidend wird sein, ob die Branche pragmatische Umsetzungspfade findet, die auch Unternehmen ohne grosse, dedizierte Cyber-Security Teams gehen können. Denn die aktuellen Bedrohungen betreffen nicht nur Konzerne, sondern alle.
Über Florian Badertscher
Florian Badertscher, Co-Founder & COO Bug Bounty Switzerland, zählt zu den führenden Cybersicherheits-Experten der Schweiz mit über 20 Jahren Berufserfahrung. Er initiierte 2015 das erste flächendeckende Bug-Bounty-Programm für die gesamte Swisscom-Gruppe, das er bis 2021 leitete. Das Programm umfasst auch Systeme stark regulierter Branchen wie Telekommunikation und Finanzwesen. Badertscher ist in der Sicherheits-Community bestens vernetzt und ein gefragter Sprecher bei Fachveranstaltungen. Er gehört dem Expertenrat des Bundesrates für digitale Identität an. Nach früheren Stationen bei Compass Security und Swisscom verfügt er über umfassende Erfahrung in den Bereichen Cyber Defense, Incident Response und Penetration Testing. Er hat einen Executive MBA in Innovationsmanagement sowie einen Bachelor in IT-Sicherheit und ist zertifizierter OSSTMM Security Tester.
Dieser Artikel ist zuerst bei inside-IT im Rahmen der Medienpartnerschaft zwischen ihnen und dem Digital Business Transformation Forum erschienen:
https://www.inside-it.ch/cyber-verteidigung-im-tempo-der-angreifer-20250924
