Der Finanzdienstleister S&P Global hat über 7.000 Schwachstellendaten analysiert. Herauskam, dass viele Unternehmen zu wenig Schwachstellenmanagement betreiben. Neben der hohen Anzahl an Sicherheitslücken könnte auch eine falsche Priorisierung Grund dafür sein.
Die Anzahl gefundener Schwachstellen nimmt zu, was IT-Teams vor eine große Herausforderung stellt. Denn: Je länger die Sicherheitslücken bestehen, desto gefährlicher werden sie.
(Bild: Dall-E / KI-generiert)
In den meisten Unternehem werden laut S&P Global nur gelegentlich oder selten Sicherheitslücken geschlossen.
(Bild: Vogel IT-Medien GmbH)
In einer Marktanalyse bewertete S&P Global im Laufe des Jahres 2023 über 7.000 Schwachstellendaten von Organisationen aus dem Finanz- und Unternehmenssektor. Dabei stellte sich heraus, dass in allen Branchen nur gelegentlich oder selten Schwachstellen behoben wurden. Daraus schließt der New Yorker Finanzdienstleister, dass in den meisten Organisationen „ein laxes Schwachstellenmanagement zu einem erhöhten Risiko einer Kompromittierung von Systemen beitragen könnte“.
Sicherheitslücken wirken sich auf Kreditwürdigkeit aus
Dass immer mehr Schwachstellen aufgedeckt werden, ist bekannt. Allerdings sind hier mehrere Faktoren die Ursachen, wie S&P Global berichtet. Vor allem eine verstärkte Sicherheitsforschung, die besonders durch Sicherheitswettbewerbe und Bug-Bounty-Programme vorangetrieben wird. Aber auch verbesserte Erkennungstools und -techniken, tragen ihren Teil dazu bei, ebenso eine erhöhte Anwendungskomplexität. In ihrer Analyse merken die Experten an, dass die zunehmende Häufigkeit von Angriffen auf bekannte Schwachstellen die Bedeutung eines effektiven Schwachstellenmanagements unterstreiche, einschließlich der proaktiven Identifizierung und Beseitigung von Sicherheitsmängeln.
Klar ist, dass Unternehmen Schaden erleiden, wird eine Sicherheitslücke ausgenutzt. Hierbei geht es nicht nur um finanziellen, sondern auch um operativen und Reputationsschaden. All dies könne sich laut S&P Global auf die Kreditwürdigkeit auswirken. Die Experten des Finanzdienstleisters betrachten das Schwachstellenmanagement als einen entscheidenden Teil der Cybersicherheitsvorsorge eines Emittenten, und Anzeichen für ein schwaches Management von Sicherheitsmängeln könnten die Bewertung des Risikomanagements eines Unternehmens beeinträchtigen.
Zwar könne man grundsätzlich behaupten, dass eine häufige Behebung von Schwachstellen ein Indikator für gutes Cyber-Risikomanagement ist. Doch nicht alle Schwachstellen sind gleich riskant und damit nicht von gleich hoher Bedeutung für Sicherheitsteams. Das Abwägen der Dringlichkeit einer Sicherheitslücke ist laut S&P Global besonders relevant – vor allem angesichts der zunehmenden Regelmäßigkeit, mit der Schwachstellen entdeckt werden. Die Menge mache es schwierig, zu entscheiden, welche zuerst behoben werden soll.
Was sich außerdem in der Analyse von S&P Global zeigt: Ältere Schwachstellen bergen zusätzliche Risiken. Denn je länger eine Sicherheitslücke besteht, desto mehr Zeit haben Cyberkriminelle, sich mit ihr auseinanderzusetzen und ihren Erfolg bei der Ausnutzung zu steigern. Schwachstellen, die 2016 entdeckt wurden, stellen mit 28 Prozent den Analysten zufolge die größte Gruppe im untersuchten Datensatz dar. Etwas weniger als drei Viertel aller Schwachstellen wurden vor sieben oder mehr Jahren entdeckt.
24 Jahre alt sei die älteste der untersuchten Sicherheitslücken. Diese betreffe Software, die vom Hersteller nicht mehr unterstützt würde und folgend nicht mehr gepatcht würde. Acht Monate lang sei diese Schwachstelle bei einem Unternehmen vorhanden gewesen, was Cyberkriminellen reichlich Zeit bot, diese auszunutzen. Die Experten von S&P Global sind der Meinung, dass es ein Ergebnis schlechten Schwachstellenmanagements ist, wenn das Beheben einer Sicherheitslücke so lange dauert. Zudem sei dies Hinweis darauf, dass es in betroffenen Unternehmen umfassendere Probleme hinsichtlich der Cybersicherheit geben könnte, insbesondere, wenn während des Wartens auf die Behebung keine Maßnahmen zur Risikoreduzierung ergriffen wurden.
Im Durchschnitt betrugen die Schweregrade der untersuchten Sicherheitslücken von 4,87. Für die Einordnung nutzten die Analysten den CVSS-Wert (Common Vulnerability Scoring System). Allerdings bemängeln die Experten, dass ein Behebungsplan, der allein auf dem CVSS-Wert sowie Berücksichtigung des Alters der Schwachstellen beruht, unzureichend ist, um das Risiko einer Ausnutzung effektiv zu reduzieren. Ein solcher Plan spiegele nicht wider, wie oft Angreifer eine Schwachstelle ausnutzen.
Eine Möglichkeit, die Bewertung von Schwachstellen umfassender zu gestalten, sei es, den Exploit Prediction Security Score (EPSS) einzubeziehen. Der EPPS wurde vom Forum of Incident Response and Security Teams (FIRST) entwickelt und gibt eine Schätzung der Wahrscheinlichkeit wider, mit der eine Sicherheitslücke ausgenutzt wird. Hierfür werden die Eigenschaften der Schwachstelle mit der Anzahl der tatsächlich bereits erfolgten Ausnutzungen kombiniert. Diese Bewertungen sind FIRST zufolge dynamisch, da sie auf täglich neuen Bedrohungsinformationen basieren. CVSS-Bewertungen seien dagegen statisch, selbst wenn eine Schwachstelle häufig ausgenutzt würde. Das Common Vulnerability Scoring System wurde vom National Infrastructure Advisory Council (NIAC) in Auftrag gegeben und derzeit von FIRST gewartet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Matrix der Kombination von EPPS und CVSS
(Bild: Vogel IT-Medien GmbH)
Ergänzt man den CVSS-Wert um eine EPSS-Bewertungen fügt man Bedrohungen einen wichtigen Kontext hinzu, der dabei hilft, Schwachstellen zu identifizieren, die ein größeres Risiko darstellen können. So kann es sein, dass Schwachstellen, die einen hohen EPPS-Wert haben, dringender zu patchen sind, weil sie wahrscheinlicher ausgenutzt werden, als solche, die einen hohen CVSS-Wert haben, obwohl diese größere Risiken für schwere Störungen mit sich bringen. Sicherheitslücken, die sowohl einen hohen EPPS- wie auch einen hohen CVSS-Wert haben, stellen die größte Bedrohung dar und sollten deshalb höchste Priorität für Sicherheitsteams haben. Die von S&P Global untersuchten Datensätze weisen einen durchschnittlichen EPPS-Wert von 0,33 auf, was darauf hindeutet, dass diese Schwachstellen eine geringe Wahrscheinlichkeit der Ausnutzung haben.
Beide Werte sollen IT-Teams bei der Priorisierung der Behebung von Schwachstellen helfen. Mithilfe der Informationen von FIRST lassen sich folgende Unterschiede der beiden Scoring-Systeme feststellen:
EPPS
CVSS
Zweck
Einschätzung der Wahrscheinlichkeit, mit der eine Schwachstelle in freier Wildbahn ausgenutzt wird
Bewertung der Schwere einer Schwachstelle basierend auf ihren technischen Eigenschaften
Ansatz
Dynamisch; nutzt tagesaktuelle Bedrohungsinformationen und andere Sicherheitsdaten, um die Wahrscheinlichkeit der Ausnutzung zu bestimmen
Statisch; bewertet die inhärenten Eigenschaften einer Schwachstelle, unabhängig von aktuellen Bedrohungsdaten; Wert ändert sich nicht, auch wenn die Schwachstelle aktiv ausgenutzt wird
Skalierung
Skala von 0 bis 1, wobei ein höherer Wert eine höhere Wahrscheinlichkeit der Ausnutzung anzeigt
Skala von 0 bis 10, wobei ein höherer Wert eine größere Schwere der Sicherheitslücke anzeigt
Die Analysten sind sich sicher, dass die Zahl der Sicherheitslücken weiter zunehmen wird. Dies bedeutet, dass das Schwachstellenmanagement wichtiger Bestandleit des Risikomanagements bleibt. Allerdigns zeigt die Analyse des Finanzdienstleisters, dass Unternehmen bekannte Schwachstellen nur langsam beheben. Dies setzt Systeme einem erhöhten Risiko von Kompromittierungen aus, insbesondere wenn die Schwachstellen sowohl schwerwiegend sind als auch eine hohe Wahrscheinlichkeit der Ausnutzung aufweisen.
S&P Global betrachtet das Management von Cyberrisiken als Teil der Bewertung der Governance. Während die Untersuchung von Schwachstellen auf die digitale Angriffsfläche beschränkt war, könnte ein schlechtes Schwachstellenmanagement ein Hinweis auf ein allgemein schwaches Cyber-Risikomanagement sein. Der Finanzdienstleister gitb zu Bedenken, dass dies bei der Bewertung des umfassenderen Managements und der Governance berücksichtigt werden könnte. Unternehmen sollten sich das Risk Management also dringend auf die Agenda nehmen, um wettbewerbsfähig und kreditwürdig zu bleiben.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/d3/b8d38ddfbd4bce34f4583bc69c94e184/0129050070v1.jpeg "Das Dell Pro Education 11 2-in-1 ist eher für jüngere Schüler bestimmt, während das Dell Pro Education 14 Laptop in der Oberstufe zum Einsatz kommen soll. Auf Intel-Prozessoren der N-Serie basien beide Geräte. (Bild: Dell, GPT Imgae Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8c/92/8c92e3f16fe65d7ba0fa1828f3dc36a4/0121695664v1.jpeg "Vor allem kleine und mittelständische Unternehmen und Behörden werden vermehrt Opfer von Cyberattacken. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431f2415871892c7d742b53db21478f/0121391750v1.jpeg "In der Sonderausgabe „CYBERRISIKEN 2025“ aus der Redaktion von Security-Insider erfahren Sie, vor welchen Herausforderungen Security-Experten in Zukunft stehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/5a/1b5acd2776165dbfefc5978188c219fa/0113115126.jpeg "Bei Schwachstellen-Analysen kommen häufig automatisierte Test-Tools wie Netzwerk-Sicherheits-Scanner zum Einsatz. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/5d/2c5d5574243b3f8f5742ebfba147bb0a/0121658866v2.jpeg "Aus den Risikofragen von 17 Cyberversicherungs-Anbietern hat Cyberdirekt abgeleitet, welche IT-Sicherheitsmaßnahmen zum Standard gehören sollten. (Bild: VisualProduction - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/62/7c62da43e4460c77ac0bace25a532211/0123465740v1.jpeg "Bedrohungsakteure nutzen Schwachstellen in älteren Fernzugriffstechnologien. (Bild: beebright - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/e0/b4e028832cec05998f6f6cf3aa24b5e2/0127023279v2.jpeg "Google hat Cyberattacken über eine gefährliche Sicherheitslücke beobachtet und entsprechende Sicherheitsupdates veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")