Cybersicherheit war schon immer ein Wettlauf – aber dieses Rennen wird gerade grundlegend neu definiert.
Hochmoderne KI-Modelle wie Mythos und Daybreak beschleunigen die Entdeckung von Schwachstellen und die Entwicklung von Exploits mit beispielloser Geschwindigkeit, sodass Zeiträume von Monaten auf Stunden verkürzt werden. Gleichzeitig werden Unternehmen von immer mehr kritischen Schwachstellen überflutet, während klassische Priorisierungs-Frameworks Schwierigkeiten haben, mit den realen Angreiferaktivitäten Schritt zu halten.
Das Ergebnis ist eine rapide wachsende Kluft zwischen Exploits, die in KI-Geschwindigkeit erfolgen, und menschlichen Abwehrmaßnahmen.
Laut dem Verizon Data Breach Investigations Report 2026 macht die Ausnutzung von Schwachstellen mittlerweile 31 % aller Datenschutzverletzungen aus. Dies ist das erste Mal seit 19 Jahren, dass gestohlene Anmeldedaten als führender Erstzugriffsvektor übertroffen werden. Der Bericht stellt fest, dass die mittlere Zeit zur Behebung bekannter kritischer CISA-Schwachstellen (Known Exploit Vulnerabilities, KEVs) von 32 auf 43 Tage gestiegen ist, während Bedrohungsakteure generative KI bereits bei mehr als 15 Angriffstechniken nutzen.
Fast 30 % der Schwachstellen werden innerhalb von 24 Stunden ausgenutzt, dennoch dauern Patch-Zyklen Wochen oder Monate. Noch besorgniserregender ist, dass laut aktuellen Untersuchungen die durchschnittliche Exploit-Zeit inzwischen ungefähr minus sieben Tage beträgt2, was bedeutet, dass Angreifer Schwachstellen ausnutzen, bevor Patches überhaupt veröffentlicht werden.
Aufgrund dieser Trends haben Verteidiger Schwierigkeiten, mit Angreifern Schritt zu halten, die in Maschinengeschwindigkeit agieren.
Die neue Realität: Schnellere Exploits, langsamere Schutzmaßnahmen
Drei zusammenwirkende Kräfte sind für die neue Krise verantwortlich:
1. Per KI beschleunigte Exploit-Entwicklung
Die neuesten KI-Modelle verkürzen die Zeit von der Entdeckung von Schwachstellen bis zu ihrem Missbrauch erheblich. Alle neuen Funktionen, Integrationen oder Systeme werden zu einer potenziellen Angriffsfläche – und dank KI können Angreifer die Schwachstellen schneller denn je finden und ausnutzen.
2. Klassische Priorisierungsmodelle verlieren den Anschluss
Die Exploit-Zeitspannen werden erheblich verkürzt. Öffentliche Exploits erscheinen oft vor offiziellen Warnungen, sodass Sicherheitsverantwortliche kaum Zeit zum Reagieren haben. Sicherheitsteams verlassen sich beim Festlegen von Prioritäten weiterhin vor allem auf Schweregradwerte und theoretische Risikomodelle. Hohe CVSS-Werte sind jedoch nicht zwangsläufig ein Zeichen für eine aktive Ausnutzung.
Unternehmen müssen wissen, was Angreifer in der realen Welt ins Visier nehmen – nicht nur, was auf dem Papier schwerwiegend erscheint.
3. Überwältigende Mengen an kritischen Entdeckungen
Jedes Jahr werden zehntausende neuer CVEs veröffentlicht, von denen viele als „hoch“ oder „kritisch“ bewertet werden. Dennoch ist es unrealistisch zu erwarten, dass Sicherheitsteams alles sofort patchen können.
Ohne klare Indikatoren für tatsächliches Verhalten von Angreifern sind Unternehmen gezwungen, entweder auf Basis unvollständiger Bedrohungsdaten Maßnahmen zu ergreifen oder völlig den Anschluss zu verlieren. Dies verzögert die Behebungsmaßnahmen, erhöht das Risiko für Datenschutzverletzungen und führt zu betrieblichen Störungen.
Erfolg im Zeitalter der KI-gestützter Bedrohungen
Um mit Angreifern Schritt zu halten, die in KI-Geschwindigkeit agieren, müssen Unternehmen einen grundlegend anderen Ansatz wählen – einen, der Exploit-basierte Angriffe früher in der Angriffskette unterbricht.
Das bedeutet, statt auf theoretische Risikobewertungen auf reale Exploit-Informationen und sofortigen Schutz zu setzen.
Priorisierung basierend auf tatsächlichen Angreiferaktivitäten statt auf theoretischen Risiken
Klassische Risikobewertungssysteme allein reichen nicht mehr aus. Sicherheitsteams müssen sich auf aktiv ausgenutzte Schwachstellen konzentrieren und nicht nur auf solche, die auf dem Papier schwerwiegend klingen.
Stoppen Exploit-basierter Angriffe vor ihrer Ausführung
Unternehmen benötigen einen Echtzeit-Überblick über Exploit-Übermittlungsversuche, noch bevor die Schaddaten ausgeführt werden, ein Endpunkt kompromittiert wird oder laterale Bewegungen erfolgen.
Sofortiger Schutz während der Patch-Lücke
Patchen benötigt Zeit. Der Schutz kann nicht warten. Unternehmen benötigen kontinuierlich aktualisierten Schutz, der das Kompromittierungsrisiko reduziert, während die Behebung im Gange ist.
Nutzung von Bedrohungsdaten bei bestehenden Workflows
Exploit-Bedrohungsdaten müssen direkt in vorhandene Tools, Workflows und neue KI-gestützte Sicherheitsprozesse integriert werden, um schnellere und sicherere Entscheidungen zu ermöglichen.
Gamechanger: Proofpoint Active Exploits Protection
Heute stellen wir Proofpoint Active Exploits Protection vor – einen neuen Ansatz, mit dem Unternehmen Exploit-basierte Angriffe vor der Ausführung erkennen und stoppen können.
Proofpoint Active Exploits Protection unterscheidet sich grundlegend von klassischen Lösungen für Endpunkt-, Netzwerk- und Risikomanagement, da Unternehmen hier durch Einblick in E-Mails – dem primären Einfallstor für viele moderne Angriffe – hervorragenden Exploit-Schutz in der ersten Phase erhalten.
Dank eines Überblicks über mehr als 2 Billionen E-Mail-Nachrichten pro Jahr und ein globales Sensornetzwerk erkennt Proofpoint echtes Angreiferverhalten, sobald Exploits übertragen werden. Dadurch können Unternehmen mögliche Exploit-Aktivitäten bereits in der frühesten Phase der Angriffskette identifizieren, bevor die Schaddaten ausgeführt werden, ein Endpunkt kompromittiert wird oder laterale Bewegungen erfolgen.
Während Anbieter von Lösungen für Endpunkt-, Netzwerk- und Risikomanagement die Schwachstellen nach ihrer Entdeckung priorisieren, erkennt Proofpoint die tatsächlichen Absichten der Angreifer durch Live-Angriffstelemetrie. Unternehmen erhalten so frühzeitigere und zuverlässigere Einblicke in die Bedrohungen, die Angreifer derzeit aktiv auszunutzen versuchen.
Wichtige Funktionen und Vorteile
1) Erstklassiger Exploit-Schutz in der ersten Phase
Proofpoint bietet erstklassigen Exploit-Schutz in der ersten Phase, da Exploit-Aktivitäten schon im E-Mail-Postfach identifiziert und gestoppt werden. Das ist wichtig, da viele aktuelle Angriffe mit der Exploit-Übermittlung per E-Mail beginnen.
Proofpoint kann Exploit-Versuche anhand von E-Mail- und Netzwerktelemetrie in Echtzeit erkennen und bietet dadurch frühere Einblicke in Angreiferverhalten und aktive Exploit-Kampagnen als klassische Endpunkt- oder nachgelagerte Erkennungsansätze. Sicherheitsteams können so Risiken schneller reduzieren und Maßnahmen ergreifen, bevor sich Kompromittierungen ausbreiten.
2) Priorisierung tatsächlicher Angriffsziele
Proofpoint Active Exploits Protection hilft Sicherheitsteams, Schwachstellen basierend auf tatsächlichen Angreiferaktivitäten zu priorisieren, anstatt sich allein auf theoretische Schweregradbewertungen zu stützen.
Durch die Korrelation von Exploit-Informationen, Netzwerktelemetrie und beobachtetem Angreiferverhalten können Unternehmen ihre Behebungsmaßnahmen auf die Schwachstellen konzentrieren, die am wahrscheinlichsten ausgenutzt werden.
Dies reduziert für den Betrieb irrelevante Informationen, verbessert die Zuverlässigkeit der Priorisierung und hilft den Sicherheitsteams, ihre Ressourcen dort zu konzentrieren, wo sie am dringendsten benötigt werden.
3) Sofortiger Schutz während der Patch-Lücke statt nur Erkenntnisse
Einblicke allein reduzieren das Risiko nicht, Maßnahmen hingegen schon.
Proofpoint Active Exploits Protection ermöglicht sofortigen Schutz vor neuen Netzwerk- und E-Mail-basierten Bedrohungen. Die Lösung liefert kontinuierlich aktualisierte netzwerkbasierte Regelsätze, die in die bestehende Infrastruktur (einschließlich IDS, IPS und NGFW) integriert werden, damit Unternehmen das Risiko während der Patch-Lücke reduzieren können.
Für Proofpoint-Kunden verbessern die Exploit-Informationen von Proofpoint Active Exploits Protection zudem die Bedrohungserkennung von Proofpoint Core Email Protection und stärken den Schutz vor Exploit-basierten Angriffen per E-Mail.
Durch die Ausweitung des Schutzes auf Netzwerk- und E-Mail-Vektoren können Unternehmen das Risiko früher reduzieren und gleichzeitig operative Störungen minimieren.
4) Schnellere, auf Bedrohungsdaten basierende Entscheidungen
Durch die Erweiterung Ihrer Sicherheitsinfrastruktur mit globalen Echtzeit-Bedrohungsdaten und hochpräziser Bedrohungserkennung ermöglicht Proofpoint Active Exploits Protection schnellere und fundiertere Entscheidungen. Entscheidungsrelevante Erkenntnisse zu schädlichen IP-Adressen, Domains, Malware und Kampagnen werden direkt in vorhandene Tools integriert, sodass Teams Prioritäten setzen und schnell reagieren können. Kontinuierliche Aktualisierungen und Reputationsbewertungen gewährleisten, dass die Bedrohungsdaten immer aktuell sind. Gleichzeitig wird die Gesamtwirksamkeit durch die Reduzierung irrelevanter Informationen wie False Positives erhöht. Mithilfe flexibler APIs können Unternehmen die Exploit-Informationen an ihre eigenen Workflows und operativen Prioritäten anpassen.
5) Skalierung und Optimierung von Abläufen mit KI-gestützten Workflows
Proofpoint Active Exploits Protection ermöglicht die nahtlose Integration mit KI- und API-gestützten Workflows, um moderne, auf Bedrohungsdaten basierende Sicherheitsprozesse zu unterstützen. Da priorisierte Bedrohungsdaten direkt in automatisierte Prozesse eingebettet werden, können Teams die Entscheidungsfindung beschleunigen und den manuellen Triageaufwand reduzieren. Neue Funktionen wie MCP und agentenbasierte Workflows ermöglichen die weitere Optimierung des Zugriffs und der Nutzung von Exploit-Informationen, sodass Unternehmen auch mit dynamischen Bedrohungen Schritt halten können.
Abb.: Mit Proofpoint Active Exploits Protection können Unternehmen priorisierte Schwachstellen identifizieren, Risiken schneller reduzieren und dadurch sofortigen Schutz gewährleisten.
Fazit: Ein neuer Standard zur Risikoreduzierung
Da die Entwicklung von Exploits im KI-Zeitalter immer schneller erfolgt, können Unternehmen sich nicht mit der Priorisierung von Schwachstellen zufrieden geben – sie müssen in der Lage sein, Exploit-basierte Angriffe vor deren Ausführung zu erkennen und zu stoppen.
Proofpoint Active Exploits Protection ermöglicht den Wechsel von der reaktiven Schwachstellenverwaltung hin zu proaktivem, bedrohungsorientiertem Exploit-Schutz. Die Lösung bietet hervorragenden Exploit-Schutz in der ersten Phase, der durch reale Angreifertelemetrie aus dem E-Mail- und Netzwerkverkehr unterstützt wird. Durch die Kombination von Exploit-Informationen, Priorisierung und sofortigem Schutz in einem einheitlichen operativen Ansatz können Unternehmen die Angriffsfläche schneller verringern, den operativen Fokus schärfen und Exploit-gestützte Bedrohungen zuverlässiger abwehren.
Die Zukunft des Exploit-Schutzes gehört Unternehmen, die Angriffe früher in der Angriffskette erkennen und stoppen können – und genau das ist die Stärke von Proofpoint.
Weitere Informationen zu den Vorteilen von Proofpoint Active Exploits Protection erhalten Sie in unserer Pressemitteilung und auf unserer Website.