Schwachstellenmanagement: KI zwingt Unternehmen zum Umdenken

Anthropics Claude Mythos zeigt Schwachstellen in großem Maßstab

Die jüngste Warnung des BSI ist aus einem einfachen Grund bemerkenswert: Nicht, weil Schwachstellen etwas Neues wären. Sondern weil sich gerade die Geschwindigkeit verändert, mit der sie gefunden werden können. Ausgangspunkt ist die Einschätzung, dass KI-gestützte Systeme künftig in der Lage sein könnten, verborgene Softwareschwachstellen in großem Maßstab aufzuspüren. Sichtbar geworden ist das zuletzt am Beispiel des von Anthropic entwickelten Tools Claude Mythos. Das BSI spricht in diesem Zusammenhang von möglichen Umwälzungen im Umgang mit Sicherheitslücken und sogar von einem Paradigmenwechsel für die Cyberbedrohungslage. Und genau darin liegt das Risiko. Denn was Verteidigern hilft, wird früher oder später regelmäßig auch Angreifern helfen.

Für Unternehmen verschiebt sich damit der Fokus. Es reicht nicht mehr, Schwachstellenmanagement als nachgelagerten IT-Sicherheitsprozess zu behandeln, der irgendwo zwischen Patch wird aus einer technischen Entwicklung sehr schnell ein organisatorisches Problem.

Der Cyber Resilience Act (CRA) betrifft Hersteller und andere produktverantwortliche Organisationen von Produkten mit digitalen Elementen. Für sie beginnen zentrale Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle bereits am 11. September 2026.

Die eigentliche Schwäche liegt oft nicht in der Technik

Viele Unternehmen investieren bereits in Security-Tools, Scans und Monitoring. Das ist richtig und wichtig. Es löst aber nur einen Teil des Problems.

Die größere Schwachstelle liegt oft an anderer Stelle: in mangelnder Transparenz über eingesetzte Komponenten, in unklaren Zuständigkeiten, in langen Freigabeschleifen und in Prozessen, die für Routine ausgelegt sind, aber nicht für Zeitdruck. Genau diese Lücken werden gefährlich, wenn neue Schwachstellen schneller auftauchen und im schlimmsten Fall auch schneller ausgenutzt werden können.

Dann geht es nicht mehr nur um die Frage, ob eine Organisation Sicherheitslücken grundsätzlich ernst nimmt. Entscheidend ist, ob sie kurzfristig belastbar sagen kann, ob ihr Produkt betroffen ist und wer intern sofort entscheiden darf.

Welche Maßnahmen Unternehmen jetzt einführen sollten

1. Ein belastbares Schwachstellen-Management mit klaren Zuständigkeiten

Der wichtigste Hebel ist zunächst organisatorisch. Unternehmen brauchen einen festen Prozess, der von der ersten Schwachstellenmeldung bis zur technischen und kommunikativen Reaktion durchgängig funktioniert. Ohne Reibungsverluste. Und ohne spontane Zuständigkeitsdebatten.

Dazu gehören ein definierter Eingangskanal für Sicherheitsmeldungen, eine technische Erstbewertung, eine nachvollziehbare Priorisierung, die Entscheidung über Fix, Workaround oder Monitoring und schließlich eine abgestimmte Kommunikation nach innen und außen. Gerade mit Blick auf den CRA wird deutlich, dass eine solche Struktur nicht bloß sinnvoll, sondern praktisch unverzichtbar ist. Ohne Intake, Bewertung, Exploit-Prüfung, Fix-Koordination und klare Kommunikationswege lässt sich ein sauberer Meldeprozess kaum aufbauen.

2. Triage professionalisieren

Triage ist unter Zeitdruck kein Schlagwort, sondern ein funktionierender Entscheidungsprozess.

Unternehmen sollten verbindlich festlegen, wann ein bloßer Hinweis intern eskaliert, wann aus einer Auffälligkeit eine relevante Schwachstelle wird und wer die Einstufung vornimmt. Gerade bei knappen Fristen und dynamischen Bedrohungslagen entscheidet eine gute Triage darüber, ob ein Unternehmen handlungsfähig bleibt oder in internen Abstimmungen stecken bleibt.

3. Produkt- und Komponentenwissen zentral verfügbar machen

Wer nicht genau weiß, was im eigenen Produkt steckt, reagiert im Zweifel zu spät. So schlicht ist es.

Deshalb braucht es zentrale Transparenz über Versionen, Releases, Update-Mechanismen, Supportzeiträume und eingesetzte Abhängigkeiten. Besonders relevant ist das bei Embedded Systems, industrieller Software und komplexen Lieferketten. Dort lässt sich die Frage der Betroffenheit selten in wenigen Minuten beantworten. Der CRA setzt genau hier an und verlangt technische Dokumentation zu Sicherheitsarchitektur, Risikobewertung und eingesetzten Software-Komponenten. Auch die Erstellung und Pflege einer SBOM wird in diesem Zusammenhang zu Recht immer stärker als zentrales Element eines belastbaren Schwachstellenmanagements verstanden.

4. Meldekanäle für Sicherheitsforscher und Dritte sauber aufsetzen

Wer keine klaren Kontaktstellen, keine veröffentlichte Security-Kontaktmöglichkeit und keine belastbare Policy für den Umgang mit Schwachstellenmeldungen hat, verliert im Ernstfall wertvolle Zeit. Ein funktionierender Meldekanal ist deshalb keine Kür, sondern Teil der sicherheitstechnischen Grundhygiene.

5. Update- und Freigabeprozesse beschleunigen

Schwachstellen zu erkennen ist nur die halbe Arbeit. Die andere Hälfte besteht darin, Maßnahmen tatsächlich auszurollen.

Viele Organisationen scheitern hier an langen Freigabeschleifen, fehlenden Testpfaden oder uneinheitlichen Verantwortlichkeiten zwischen Entwicklung, Produktmanagement, Security, Support und Legal. Unternehmen sollten ihre Patch- und Update-Prozesse deshalb wie einen kritischen Betriebsprozess behandeln: mit klaren Eskalationen, vorbereiteten Vorlagen und realistischen Testläufen.

6. Die Lieferkette einbeziehen

Gerade bei digitalen Produkten entstehen relevante Risiken selten nur im eigenen Code. Bibliotheken, Firmware-Bestandteile, Zulieferkomponenten und Fremdsoftware spielen längst mit hinein.

Unternehmen sollten daher vertraglich und operativ sicherstellen, dass sie aus ihrer Lieferkette schnell verwertbare Sicherheitsinformationen erhalten. Klare Eskalationskontakte, definierte Reaktionszeiten und die Pflicht zur Weitergabe relevanter Sicherheitsinformationen sind dabei keine Formalien. Sie sind eine Voraussetzung für Reaktionsfähigkeit.

Warum der CRA gerade jetzt an Bedeutung gewinnt

Der Cyber Resilience Act ist vor diesem Hintergrund weit mehr als ein weiteres Regulierungsvorhaben. Er adressiert ziemlich genau die Fähigkeiten, die Unternehmen angesichts einer beschleunigten Schwachstellenlandschaft ohnehin brauchen: Security by Design und by Default, technische Dokumentation, kontinuierliches Schwachstellenmanagement, Update-Pflichten und klare Verantwortlichkeiten entlang der Lieferkette. Für viele B2B-Produkte ist das längst kein Randthema mehr, sondern eine sehr konkrete regulatorische Anforderung.

Viele Unternehmen verbinden den CRA noch immer vor allem mit dem Jahr 2027. Tatsächlich greifen erste zentrale Pflichten früher. Ab dem 11. September 2026 beginnen die CRA-Reportingpflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle. Dann muss eine Erstmeldung an das zuständige CSIRT und an ENISA unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, erfolgen; ein ergänzender Bericht hat innerhalb von 72 Stunden zu folgen, ein Abschlussbericht grundsätzlich innerhalb eines Monats. Hinzu kommt die Pflicht, betroffene Nutzer unverzüglich über den Vorfall beziehungsweise die aktiv ausgenutzte Schwachstelle und über mögliche Abhilfemaßnahmen zu informieren. In der Praxis geht es damit nicht nur um Regulierung, sondern um belastbare 24/72h-Reporting-Prozesse: klare Intake-Kanäle, belastbare Triage, feste Eskalationen, abgestimmte Kommunikationswege und die Fähigkeit, Betroffenheiten sehr schnell belastbar zu bewerten.

Hinzu kommt ein weiterer Punkt: Wer sich jetzt sauber aufstellt, reduziert nicht nur regulatorische Risiken. Er kann Compliance im Markt auch als Qualitätsmerkmal nutzen. Gerade im B2B-Umfeld dürfte das in den kommenden Jahren deutlich an Bedeutung gewinnen.

Fazit

Die vom BSI beschriebene Entwicklung ist kein fernes Zukunftsszenario, das man mit Interesse beobachten kann. Sie ist ein Warnsignal.

Wenn KI die Suche nach Schwachstellen systematisiert, steigt der Druck auf Unternehmen unmittelbar. Dann entscheidet nicht mehr allein die Qualität der Entwicklung über das Risiko, sondern auch die Qualität der internen Abläufe.

Unternehmen sollten deshalb jetzt vor allem drei Dinge absichern: klare Prozesse, verlässliche Produkttransparenz und schnelle Reaktionsfähigkeit über die Lieferkette hinweg. Der CRA macht vieles davon verbindlich; die Bedrohungslage macht es schon heute notwendig.

Gerade an dieser Stelle zeigt sich auch, dass CRA-Compliance kein reines Dokumentationsprojekt ist. Wer die Anforderungen belastbar umsetzen will, muss Produktanalyse, Schwachstellenmanagement, Meldeprozesse, technische Dokumentation und Entwicklungsprozesse zusammen denken.

Genau dabei unterstützt ISiCO Unternehmen in der Praxis: von der CRA-Relevanzprüfung und Produktanalyse über die Ausgestaltung belastbarer Vulnerability- und Incident-Reporting-Prozesse bis hin zur Integration der Anforderungen in bestehende Entwicklungs-, Update- und Governance-Strukturen. So wird aus regulatorischem Handlungsdruck ein technisch und organisatorisch tragfähiges Umsetzungsprogramm.