Wichtige Erkenntnisse aus dem Verizon DBIR 2026: Langsamere Schwachstellenbehebung trifft auf schnellere Ausnutzung

Der „Verizon Data Breach Investigations Report“ (DBIR) 2026 zeigt einen beunruhigenden Trend: Die Ausnutzung von Schwachstellen hat sich zum häufigsten Einstiegsvektor entwickelt, während sich die Behebungsraten gleichzeitig verschlechtert haben.

Wichtigste Erkenntnisse

1. Die Ausnutzung von Schwachstellen hat stark zugenommen und ist mittlerweile das führende Einfallstor für Sicherheitsverletzungen; sie machte 31 % der Datenpannen im Untersuchungszeitraum aus.
2. Die Patching-Bemühungen von Sicherheitsteams geraten immer weiter in Verzug – die durchschnittliche Zeit bis zur Installation eines Patches hat sich im vergangenen Jahr um 11 Tage verlängert.
3. Da KI-gestützte Tools die Geschwindigkeit und das Ausmaß der Entdeckung und Ausnutzung von Schwachstellen erhöhen, hilft Exposure Management Unternehmen dabei, Schritt zu halten, indem es ihre Angriffsflächen kontinuierlich bewertet, Risiken priorisiert und die automatisierte Behebung von Sicherheitsschwächen orchestriert.

Was ist der Verizon DBIR-Bericht?

Der alljährliche Data Breach Investigations Report (DBIR) von Verizon hilft Unternehmen seit seiner Erstveröffentlichung im Jahr 2008 dabei, die sich entwickelnden Cyberbedrohungen zu verstehen. Für die Ausgabe von 2026 hat Tenable Research erneut reichhaltige Daten zu Trends bei der Ausnutzung und Behebung von Schwachstellen beigesteuert. Die diesjährigen Ergebnisse zeichnen ein düsteres Bild: Im Vergleich zum Vorjahr sehen sich Unternehmen mit einem erheblichen Anstieg der Anzahl von „Must-Patch“-Schwachstellen aus dem KEV-Katalog (Known Exploited Vulnerabilities) der Cybersecurity and Infrastructure Security Agency (CISA) konfrontiert.

Die wachsende Kluft zwischen der Offenlegung von Schwachstellen und deren Behebung stellt heute eine der größten Herausforderungen in der Cybersecurity dar. Sicherheitsteams sind bereits überlastet, sowohl durch die steigende Zahl von Schwachstellen als auch durch den Mangel an Zeit für Patch Management. Diese Realität unterstreicht die dringende Notwendigkeit für umfassendes Exposure Management – einen strategischen, KI-gestützten Ansatz für präventive Sicherheit, der Unternehmen bei der Reduzierung von Cyberrisiken unterstützt, indem er ihre Angriffsflächen kontinuierlich bewertet, Risiken priorisiert und die automatisierte Behebung von Sicherheitslücken orchestriert.

Verizon DBIR 2026 – Überblick und Analyse

Der Verizon DBIR 2026 stellte fest, dass die Ausnutzung von Schwachstellen der häufigste Vektor für den Erstzugang ist und 31 % der Datenschutzverletzungen während des Untersuchungszeitraums ausmachte. Noch besorgniserregender ist, dass sich die mittlere Zeit bis zur Patch-Bereitstellung von 32 Tagen auf 43 Tage erhöht hat, was einem Anstieg von 34 % entspricht. Die Ergebnisse dieses Jahres zeichnen ein düsteres Bild: Die Zahl der Schwachstellen nimmt weiter zu, während die Patch-Raten der Unternehmen immer weiter zurückgehen.

Die explosionsartige Zunahme von CVEs hält an – und KI wird diesen Trend noch beschleunigen

Die Zahl der Schwachstellen nimmt weiterhin rasant zu: Das CVE-Programm verzeichnet derzeit mehr als 351.000 registrierte CVEs, wobei bereits über 21.500 für das Jahr 2026 vorgemerkt sind. Während wir erneut auf einen Rekordwert bei der Anzahl von CVEs zusteuern, stellt diese Flut von Schwachstellen eine enorme Herausforderung für die ohnehin schon überlasteten Sicherheitsteams dar. Da sich die mittlere Zeit bis zum Patchen verlängert und die zeitlichen Abläufe bei der Ausnutzung immer kürzer werden, gewinnen die Angreifer das Wettrennen zwischen Offenlegung und Behebung.

Die Lage könnte sich dramatisch verschärfen. Die Cybersecurity-Community ist zunehmend besorgt über Tools zur KI-gestützten Aufdeckung von Schwachstellen wie Claude Mythos von Anthropic, das Sicherheitslücken in Codebasen automatisch und in noch nie dagewesener Geschwindigkeit und Größenordnung erkennen kann. Während solche Tools vielversprechend für defensive Sicherheitsteams sind, stellen sie zugleich einen potenziellen Wendepunkt dar: Wenn KI Schwachstellen schneller aufdecken kann, als Unternehmen sie patchen können, könnte der ohnehin schon immense Patch-Aufwand völlig unüberschaubar werden.

Diese KI-getriebene Beschleunigung kommt zum denkbar ungünstigsten Zeitpunkt. Unternehmen haben bereits jetzt Schwierigkeiten, Schwachstellen zu beheben: Der Verizon Data Breach Investigations Report kommt zu dem Ergebnis, dass Unternehmen nur 26 % der KEV-Schwachstellen erfolgreich beheben. Der DBIR weist außerdem darauf hin, dass die Zahl der CISA KEV-Schwachstellen, die bis 2025 gepatcht werden müssen, um fast 50 % gestiegen ist, was den Druck auf die Sicherheitsteams noch erhöht.

Wenn KI-Modelle beginnen, die CVE-Datenbank mit neu entdeckten Schwachstellen zu überfluten – oder schlimmer noch, wenn Angreifer diese Modelle nutzen, um Zero-Days zu finden und auszunutzen, bevor Verteidiger reagieren können – dürfte sich die aktuelle Behebungskrise zu einem systemischen Versagen des traditionellen Patch-basierten Verteidigungsmodells ausweiten.

Exposure Management ist das Gebot der Stunde

Die Ausnutzung von Schwachstellen beherrscht zwar die Schlagzeilen als wichtigster anfänglicher Zugriffsvektor, stellt jedoch nur einen Bruchteil des Exposure-Problems dar. Der DBIR hebt insbesondere den Missbrauch von Zugangsdaten als einen weiteren bedeutenden Bedrohungsvektor hervor, was unterstreicht, dass Schwachstellen nicht isoliert betrachtet werden können. Gestohlene Zugangsdaten können eine Schwachstelle mittlerer Schwere in einen kritischen Angriffspfad verwandeln, während unsichere Konfigurationen Angreifern den nötigen Zugang verschaffen, um ungepatchte Systeme auszunutzen.

Diese Verflechtung verschiedener Sicherheitsschwächen verdeutlicht, warum immer mehr Unternehmen ein umfassendes Exposure Management einführen. Um das Risiko von Sicherheitsverletzungen in der heutigen Bedrohungslandschaft zu verringern, ist es unerlässlich, die gesamte Angriffsfläche zu verstehen und anzugehen – einschließlich Identitätsrisiken, Fehlkonfigurationen, übermäßigen Berechtigungen und anfälligen Assets.

Das Aufkommen der KI-gestützten Schwachstellenerkennung macht Exposure Management absolut unverzichtbar. Wenn KI-Tools die Identifizierung von Sicherheitslücken beschleunigen, können Unternehmen nicht einfach versuchen, immer mehr Schwachstellen immer schneller zu patchen. Stattdessen müssen sie ihren Fokus darauf richten, diejenigen Schwachstellen zu identifizieren und zu beheben, die im Kontext ihrer jeweiligen Umgebung am wichtigsten sind. Eine neu entdeckte Schwachstelle in einem isolierten System, in dem keine Zugangsdaten gefährdet sind und starke Zugriffskontrollen bestehen, stellt ein weitaus geringeres Risiko dar als eine ältere CVE in einem Asset mit Internetanbindung und schwacher Authentifizierung. Die Exposure Management-Plattform Tenable One bietet sowohl den notwendigen Kontextrahmen für diese entscheidenden Priorisierungsentscheidungen als auch die agentische Orchestrierungs-Engine, die benötigt wird, um die Schwachstellenbehebung in Zeiten von KI-gestützter Schwachstellenerkennung zu beschleunigen.

Bemerkenswerte Daten-Insights aus dem DBIR-Berichtszeitraum

Als Tenable Research die Trends in den Daten untersuchte, entschied sich unser Team, die CVEs in Produktkategorien aufzuteilen und zu vergleichen, welche Kategorien den größten Prozentsatz an nicht behobenen Assets aufwiesen. Für unsere Analyse haben wir uns auf KEV-CVEs konzentriert, da es sich hierbei um Schwachstellen handelt, von denen bekannt ist, dass sie ausgenutzt wurden und im Visier von Angreifern stehen.

Wie aus der folgenden Abbildung ersichtlich ist, wiesen Schwachstellen in Entwicklungstools den höchsten Anteil an nicht behobenen Assets auf, gefolgt von Schwachstellen in Virtualisierungs- und Hypervisor-Lösungen sowie in Systemen zur Remoteüberwachung und -verwaltung (RMM). Auch wenn der Behebungsprozess in diesen Produktkategorien variieren kann, zeigt der allgemeine Trend von fast allen Produktkategorien mit einer Behebungsquote von unter 50 %, dass Unternehmen nach wie vor Schwierigkeiten bei der Behebung von Sicherheitslücken haben.

In ähnlicher Weise haben wir die durchschnittliche Anzahl der Tage untersucht, an denen Assets unbehoben blieben, und diese mit der Anzahl der CVEs verglichen, die diese Kategorie während des DBIR-Berichtszeitraums betrafen.

Die Tenable-Analyse der Daten untermauert die ernüchternde Realität, die im Verizon DBIR hervorgehoben wird: Unternehmen benötigen immer mehr Zeit, um bekannte und bereits ausgenutzte Schwachstellen zu patchen, während die Zahl der Schwachstellen, die umgehend Aufmerksamkeit erfordern, rapide zunimmt.

DBIR-Ergebnisse

Die Ergebnisse des DBIR 2026 sind ernüchternd, kommen für diejenigen, die an vorderster Front in der Cybersicherheit tätig sind, jedoch nicht überraschend. Die Daten bestätigen, was viele Sicherheitsteams täglich erleben: Die Patch-Last wächst schneller, als die Unternehmen darauf reagieren können. Angesichts der Tatsache, dass die Ausnutzung von Schwachstellen mittlerweile der häufigste Angriffsvektor für den Erstzugang ist und die durchschnittliche Zeit bis zur Behebung weiter steigt, vergrößert sich die Kluft zwischen der Geschwindigkeit der Angreifer und der Reaktionsfähigkeit der Verteidiger zunehmend.

Unternehmen müssen einen Exposure-zentrischen Ansatz verfolgen, der nicht nur das Vorhandensein von Schwachstellen berücksichtigt, sondern den gesamten Risikokontext ihrer Umgebung:

• Welche Assets sind gefährdet?
• Wer hat Zugriff auf was?
• Welche Zugangsdaten sind gefährdet?
• Welche Exposure-Kombinationen bilden die gefährlichsten Angriffspfade?

In einer Zeit, in der künstliche Intelligenz Schwachstellen schneller aufdeckt, als Menschen sie beheben können, ist das Verständnis dafür, welche Sicherheitslücken wirklich von Bedeutung sind, der einzige nachhaltige Weg nach vorn.

Der DBIR 2026, angereichert mit Daten von Tenable Research, bietet wertvolle Erkenntnisse zur heutigen Bedrohungslandschaft. Tenable empfiehlt Sicherheitsexperten, den vollständigen Verizon DBIR zu lesen, um sich über aktuelle Angriffstrends zu informieren und diese Erkenntnisse in ihre Exposure Management-Strategien einfließen zu lassen. Die in diesem Bericht dokumentierte Krise signalisiert, dass das traditionelle, schwachstellenorientierte Modell eine grundlegende Weiterentwicklung hin zu einem umfassenden, KI-gesteuerten Exposure Management benötigt.

Identifizieren der betroffenen Systeme

Tenable bietet eine umfassende Abdeckung für den KEV-Katalog der CISA, mit Erkennungsfunktionen, die unmittelbar nach der Meldung und Offenlegung von Schwachstellen bereitgestellt werden. Diese Abdeckung umfasst vielfältige Asset-Kategorien und ermöglicht so eine umfassende Sichtbarkeit über aktiv ausgenutzte Schwachstellen in Ihren Umgebungen. CVEs im KEV-Katalog sind auf den jeweiligen CVE-Seiten mit einem Tag versehen, und Sie können unsere in Vorbereitung befindlichen Plugins auf unserer Seite Plugins Pipeline einsehen.

Weitere Informationen

• Verizon 2026 Data Breach Investigations Report (DBIR)

Nehmen Sie auf Tenable Connect an Diskussionen von Tenable Research Special Operations (RSO) Team über die neuesten Cyberbedrohungen teil.

Erfahren Sie mehr über Tenable One, die Exposure Management-Plattform für die moderne Angriffsfläche.