Sicherheitsteams standen noch nie unter größerem Druck. Angriffsflächen erweitern sich. Angreifer instrumentalisieren Schwachstellen innerhalb von Stunden nach der öffentlichen Bekanntgabe. Etwas liegt hier grundlegend im Argen, und es setzt Organisationen erheblichen und langanhaltenden Risiken aus.
„Organisationen benötigen nach wie vor zwischen 60 und 150 Tagen, um eine bekannte Schwachstelle zu beheben."
Der Schuldige? Legacy-Vulnerability-Scanner, die für eine andere Ära entwickelt wurden – eine ohne Cloud-native Infrastruktur, kurzlebige Container, CI/CD-Pipelines und ausufernde SaaS-Ökosysteme. Tools wie Tenable, Qualys und Rapid7 wurden auf Fundamenten gebaut, die in den letzten zwei Jahrzehnten gelegt wurden. Obwohl sie Cloud-Funktionen und KI-Schlagworte hinzugefügt haben, bleibt ihre Kernarchitektur in einem „Finden, Melden, Vergessen"-Modell verwurzelt, das Sicherheitsteams mit manuellen, menschengesteuerten, tabellenkalkulationsbasierten Triage-Prozessen zurücklässt, die unter Alarmen und technischer Schuld begraben sind.
Es ist Zeit für einen anderen Ansatz. Einen, bei dem Sicherheit nicht bei der Erkennung endet, sondern sich auf schützende Behebung erstreckt. Willkommen beim Agentic Vulnerability Management.
Die vier Kernprobleme klassischer Vulnerability-Scanner
Mondoos 2025 State of Vulnerability Remediation Report hat die Schmerzpunkte aufgedeckt, mit denen Sicherheitsteams bei traditionellen Tools konfrontiert sind2,3,4,5,6,7. Die Zahlen zeichnen ein vernichtendes Bild:
„Finden und Melden" reicht nicht mehr aus
Hier ist die unbequeme Wahrheit: Vulnerability-Scanning ist zur Massenware geworden. Jeder große Anbieter kann CVEs identifizieren. Der Wert liegt nicht mehr in der Erkennung – er liegt in dem, was danach passiert.
Traditionelles Vulnerability Management behandelt Sicherheit als Berichtsfunktion. Scanner generieren PDF-Berichte. Sicherheitsteams erstellen Tickets. IT-Teams reihen Patches in Warteschlangen ein. Wochen vergehen. Angreifer warten nicht auf Ihr Change-Management-Fenster.
Die Lücke zwischen Erkennung und Behebung ist dort, wo Sicherheitsverletzungen passieren. Und Legacy-Tools haben keine Antwort darauf, weil sie nie dafür entwickelt wurden, diese Lücke zu schließen. Sie wurden gebaut, um Schwachstellen zu finden, nicht um sie zu beheben.
Legacy-Workflows funktionieren nicht (und haben keinen Flow)
Werfen wir einen Blick darauf, wie Vulnerability Management mit traditionellen Scannern aussieht:
| Schritt | Aktion | Typische Zeit |
|---|---|---|
| 1 | Scan planen (wöchentlich/monatlich, um Leistungseinbußen zu vermeiden) | — |
| 2 | Auf Ergebnisse warten | 1-7 Tage |
| 3 | In Spreadsheets oder Ticketsystem exportieren | 1-2 Stunden |
| 4 | Manuell nach CVSS priorisieren (kein Geschäftskontext) | 2-4 Stunden |
| 5 | Behebungsschritte pro Schwachstelle recherchieren | 30-60 Min. je |
| 6 | Mit IT/DevOps für Patch-Planung koordinieren | Tage bis Wochen |
| 7 | Auf den nächsten Scan warten, um die Behebung zu verifizieren | 1-4 Wochen |
| 8 | Endlos wiederholen | ∞ |
Gesamtzeit von der Erkennung bis zur verifizierten Behebung: 60-150 Tage. Doch Angreifer instrumentalisieren Schwachstellen in Stunden. Die Rechnung geht nicht auf und hinterlässt Sie massiv exponiert. Dieser Prozess ist langsam, fehleranfällig und skaliert nicht. Die Mean Time to Remediate (MTTR) bläht sich auf Monate auf, während Angreifer in Stunden operieren8. Die Mathematik funktioniert einfach nicht zugunsten der Verteidiger.
„Klassisches Vulnerability Management funktioniert nicht mehr. Agentic AI setzt einen neuen Maßstab."
Das Architekturproblem: Angebaut vs. Eingebaut
Wenn Legacy-Anbieter über KI und Automatisierung sprechen, beschreiben sie Funktionen, die auf 20 Jahre alte Architekturen aufgesetzt wurden. Tenables VPR-Scoring, Qualys' TruRisk und Rapid7s Real Risk sind alles Versuche, dummen Systemen Intelligenz hinzuzufügen.
Legacy-Anbieter wie diese sind sich ihrer Probleme nicht unbewusst. Sie haben „KI-gestützte Priorisierung" und „automatisierte Workflows" zu ihren Marketingbotschaften hinzugefügt. Warum funktioniert es also nicht? Weil die grundlegende Architektur es verhindert.
Architekturschuld ist real. Diese Plattformen wurden auf veralteten Scanning-Modellen aufgebaut, die für statische Rechenzentren entwickelt wurden. Sie für Cloud-native, kurzlebige Infrastruktur nachzurüsten bedeutet, Abstraktion auf Abstraktion zu schichten. Jede neue Fähigkeit erhöht die Komplexität, anstatt sie zu reduzieren. Das ist auch der Grund, warum sie verschiedene Produkte für jede Infrastruktur gebaut und in einer „Marchitektur" zusammengeschraubt haben.
Dies führt in der Folge zu einer Fehlanpassung des Geschäftsmodells. Legacy-Anbieter monetarisieren durch Modul-Wildwuchs und separate Lizenz-SKUs für VM, Container- und Cloud-Sicherheit sowie Web-App-Scanning. Die Vereinheitlichung ihrer Plattform würde bestehende Einnahmequellen kannibalisieren. Sie sind strukturell dazu angereizt, die Dinge fragmentiert – und kostspielig – zu halten.
Aber Sie können sich nicht zu moderner Sicherheit durchhangeln. Legacy-Plattformen:
- Verlassen sich auf geplante Scans statt auf kontinuierliche Echtzeit-Überwachung
- Arbeiten mit konfigurationsbasierten Richtlinien statt Policy as Code
- Erfordern Expertise des Sicherheitsteams, um Ergebnisse zu interpretieren und darauf zu reagieren
- Behandeln Cloud-, Container- und On-Prem-Umgebungen als separate Probleme
- Überlassen die Behebung vollständig menschlichen Operatoren
Solche Architekturen wurden entwickelt, als Infrastruktur statisch war, Deployments selten waren und Sicherheit eine Gatekeeper-Funktion am Ende des Entwicklungszyklus war. Diese Welt existiert nicht mehr. Heute muss Sicherheit ein intrinsisches Element über den gesamten Software-Entwicklungslebenszyklus sein, und ihre Infrastruktur muss auf Abruf automatisch skalieren. Moderne Infrastruktur erfordert moderne Architektur: Cloud-native Plattformen, die von Grund auf für die Art und Weise gebaut wurden, wie Organisationen heute tatsächlich arbeiten.
Remediation ist eine grundlegend andere Disziplin
Vulnerability-Erkennung ist ein Sicherheitsproblem. Behebung und Patching ist prinzipiell ein Infrastruktur-Automatisierungsproblem. Legacy-Anbieter haben Sicherheitsexpertise, aber begrenzte Tiefe in Infrastructure-as-Code, CI/CD-Integration und Platform-Engineering-Workflows. Sie können eine 20-jährige Architekturlücke nicht durch Einstellungen überbrücken. Das ist keine Kritik an Legacy-Anbietern oder ihren Teams. Es ist einfach die Anerkennung, dass bestehende Architektur bestehende strukturelle Einschränkungen schafft. Behebung erfordert eine andere DNA.
Es ist eine häufige Falle in der modernen Sicherheitslandschaft, Schwachstellenerkennung mit der ultimativen Lösung zu verwechseln. Das Problem zu bewundern bringt Sie nirgendwohin; echte Sicherheitsresilienz erfordert eine fundamentale Verschiebung hin zu effektiver Behebung, die mit einer grundlegend anderen DNA operiert. Während Schwachstellenerkennung primär ein Sicherheitsproblem ist, ist Behebung fundamental eine Infrastruktur-Automatisierungsherausforderung.
„Schwachstellenerkennung ist primär ein Sicherheitsproblem, Behebung ist fundamental eine Infrastruktur-Automatisierungsherausforderung."
Diese Unterscheidung ist dort, wo viele etablierte oder Legacy-Sicherheitsanbieter vor einer unüberwindbaren architektonischen Kluft stehen. Diese Platzhirsche besitzen tiefe, domänenspezifische Sicherheitsexpertise – sie sind hervorragend darin, Bedrohungen und Schwachstellen zu identifizieren. Ihre Wissenstiefe in der modernen, geschwindigkeitsgetriebenen Welt von Infrastructure-as-Code (IaC), CI/CD-Pipeline-Integration und zeitgemäßen Platform-Engineering-Workflows ist jedoch oft kritisch begrenzt.
Behebung in den heutigen Cloud-nativen, agilen Umgebungen ist keine Reihe von manuellen Tickets oder „Patch-and-Pray"-Operationen. Sie erfordert eine Automatisierung-zuerst-Denkweise, die Tools und Plattformen benötigt, die dem Entwicklungs- und Betriebsökosystem nativ sind. Sie verlangt die Fähigkeit, Infrastrukturänderungen als Code automatisch zu generieren, zu testen und in großem Maßstab und mit hoher Geschwindigkeit bereitzustellen.
Die Realität ist, dass Legacy-Anbieter sich nicht einfach aus einer 20-jährigen Architekturlücke „herausheuern" können. Dies ist nicht einfach ein Fachkräftemangel, der mit ein paar strategischen Einstellungen behoben werden kann. Es ist eine kritikfreie Anerkennung, dass die bestehende Architektur – das eigentliche Fundament ihrer Produkte und Systeme – bestehende strukturelle und philosophische Einschränkungen schafft. Diese Systeme wurden für eine andere Ära gebaut, eine, in der Infrastruktur statisch und Veränderung langsam war. Ihnen fehlen die nativen Hooks, das API-first-Design und die Geschwindigkeit, die erforderlich sind, um als integraler Bestandteil einer modernen, automatisierten Behebungsschleife zu funktionieren. Um die Lücke zwischen Erkennung und Behebung effektiv zu überbrücken, muss eine Plattform die Sprache der Infrastruktur sprechen, nicht nur die Sprache der Sicherheitsberichte.
Auftritt Agentic AI: Von der Erkennung zur Behebung
Agentic AI repräsentiert einen fundamentalen Wandel in der Funktionsweise von Sicherheit. Im Gegensatz zu traditioneller KI, die Prompts verarbeitet und Ausgaben zurückgibt, handeln agentische Systeme autonom – sie planen Aufgaben, treffen Entscheidungen und ergreifen Maßnahmen ohne ständige menschliche Aufsicht.
„62% der Organisationen experimentieren bereits mit KI-Agenten, und bis 2028 werden ein Drittel der GenAI-Interaktionen autonome Agenten einbeziehen."
Im Vulnerability Management bedeutet dies KI-Agenten, die nicht nur Probleme identifizieren, sondern sie tatsächlich lösen. Der Unterschied ist wahrhaft transformativ:
Kontinuierliche Entdeckung statt periodisches Scannen. Agentische Systeme überwachen Umgebungen in Echtzeit und erkennen Schwachstellen, sobald sie auftreten, anstatt auf den nächsten geplanten Scan zu warten. Wenn ein neuer CVE erscheint, wissen Sie sofort, welche Systeme betroffen sind.
Intelligente Priorisierung mit Geschäftskontext. Anstatt Teams in CVSS-geordneten Listen zu ertränken, filtern KI-Agenten Rauschen heraus und zeigen nur kritische Probleme basierend auf tatsächlicher Ausnutzbarkeit, Asset-Kritikalität und Geschäftsauswirkung. Ein verwundbarer Entwicklungsserver bekommt nicht die gleiche Priorität wie eine exponierte Produktionsdatenbank.
Autonome Behebung. Hier verschiebt sich das Paradigma wirklich. Agentic AI sagt Ihnen nicht nur, dass ein Server einen Patch benötigt; es generiert die Behebung, testet sie sicher und kann sie automatisch oder mit Ein-Klick-Genehmigung bereitstellen. Der gesamte Workflow von der Erkennung bis zur Lösung geschieht mit Maschinengeschwindigkeit.
Geschlossene Verifizierungsschleife. Nach der Behebung validiert das System automatisch, dass die Korrektur funktioniert hat, und aktualisiert die Sicherheitslage entsprechend. Kein Warten mehr auf den nächsten Scan, um zu bestätigen, dass Sie das Problem tatsächlich gelöst haben.
Es ist keine Überraschung, dass 71% der Sicherheitsleiter kontinuierliches Threat Exposure Management jetzt für wesentlich halten, um Metriken wie MTTR zu verbessern10.
Agentic AI Vulnerability Management in der Praxis
Stellen Sie sich einen anderen Workflow vor, einen der funktioniert:
| Schritt | Aktion | Typische Zeit |
|---|---|---|
| 1 | Neue kritische Schwachstelle offengelegt | — |
| 2 | Plattform identifiziert jedes betroffene Asset (Cloud, On-Prem, SaaS) | Minuten |
| 3 | KI priorisiert basierend auf Exposition, Ausnutzbarkeit, Geschäftsauswirkung | Automatisch |
| 4 | Vorgetesteter Behebungscode generiert (Ansible, Terraform, Intune, Bash, PowerShell) | Automatisch |
| 5 | Ein-Klick-Bereitstellung mit integriertem Rollback | Minuten |
| 6 | System validiert Behebung, aktualisiert Sicherheitslage | Automatisch |
| 7 | Tickets geschlossen, SLAs verfolgt, Compliance-Berichte generiert | Automatisch |
Das ist nicht theoretisch. Organisationen, die diesen Ansatz nutzen, haben eine 60%ige Reduzierung der Schwachstellen, MTTR unter 16 Tagen und 10-fach schnellere Behebung als mit manuellen Prozessen erreicht11. Die wesentlichen Unterschiede zu Legacy-Ansätzen:
Einheitliche Plattform vs. Tool-Wildwuchs. Eine Konsole, die Cloud-Infrastruktur, Kubernetes, Container, CI/CD-Pipelines, SaaS-Anwendungen und Endpunkte abdeckt. Kein Zusammenstückeln von Daten aus unterschiedlichen Systemen mehr.
KI-nativ vs. KI-angrenzend. Intelligenz ist in die Kernarchitektur eingebaut, nicht als Nachgedanke angebaut. Das System wurde von Anfang an darauf ausgelegt, KI für Priorisierung, Korrelation und autonomes Handeln zu nutzen.
Policy as Code vs. konfigurationsbasiert. Sicherheitsrichtlinien werden als Code definiert, der versionskontrolliert, getestet und zusammen mit der Infrastruktur bereitgestellt werden kann. Shift-Left-Sicherheit, die verhindert, dass Schwachstellen wiederkehren.
Transparent und offen vs. proprietäre Black Boxes. Open-Source-Grundlagen, die Ingenieuren genau zeigen, was passiert. Keine Magie, nur gut konstruierte Automatisierung, die Vertrauen aufbaut.
Resilienz aufbauen: Warum Veränderung nicht verhandelbar ist
Sicherheitsverantwortliche erkennen zunehmend, dass ihre aktuellen Tools nicht funktionieren. Die Metriken erzählen die Geschichte:
- MTTR wird heute in Monaten gemessen statt in Tagen oder Stunden
- Sicherheitsteams verbringen mehr Zeit mit Triage als mit Behebung
- Compliance-Audits, die Quartal für Quartal dieselben ungepatchten Systeme aufdecken
- DevOps-Teams, frustriert von Sicherheitsengpässen
- Wachsende Schwachstellen-Rückstände, die nie schrumpfen
Die Kosten sind nicht nur operativ, sie sind existenziell. Jeder Tag, an dem eine kritische Schwachstelle ungepatcht bleibt, ist ein Tag, an dem Angreifer sie ausnutzen können. Und wenn Sicherheitsverletzungen passieren, gehen die geschäftlichen Konsequenzen weit über das Sicherheitsteam hinaus: Umsatzverlust, Markenschaden, regulatorische Strafen und in einigen Fällen existenzielle Bedrohungen für die Organisation.
Die Alternative ist klar. Modernes Agentic Vulnerability Management:
- Reduziert Reibung zwischen Sicherheit und Platform Engineering, indem umsetzbare Behebungen statt nur Befunde geliefert werden
- Beschleunigt MTTR von Monaten auf Tage durch Automatisierung und Ein-Klick-Behebung
- Eliminiert Alarm-Fatigue durch intelligente Priorisierung, die nur das Wichtige anzeigt
- Verbessert die Compliance-Haltung mit automatisierter SLA-Verfolgung und Berichterstattung
- Verhindert Wiederkehr von Schwachstellen durch Shift-Left-Integration in CI/CD-Pipelines
Den Übergang zum Erfolg führen
Wenn sich Ihr aktuelles Vulnerability-Management-Programm wie ein Hamsterrad anfühlt – endloses Scannen, endlose Alarme, endloser Rückstand – sind Sie nicht allein. Und Sie müssen nicht stecken bleiben.
Der Weg nach vorn beginnt damit, zu erkennen, dass das Problem nicht die Anstrengung Ihres Teams ist – es ist die Architektur der Tools. Legacy-Scanner wurden für eine Welt gebaut, die nicht mehr existiert. Weiterhin in dieses Paradigma zu investieren bedeutet, weiterhin das Rennen gegen Angreifer zu verlieren und Ihre Organisation verlängerter Risikoexposition auszusetzen.
Agentic AI Vulnerability Management ersetzt einen kaputten Workflow durch einen, der tatsächlich funktioniert – einen, bei dem Erkennung direkt zur Lösung führt, bei dem Sicherheit ermöglicht statt blockiert, und bei dem sich Ihr Team endlich auf strategische Arbeit konzentrieren kann statt auf manuelle Triage.
Die Frage ist nicht, ob Sie modernisieren sollten. Die Frage ist, wie schnell Sie dort ankommen und Ihre Organisation schützen können.
Sie möchten sehen, was Agentic Vulnerability Management für Ihre Organisation tun kann? Fordern Sie eine Demo an und erleben Sie den Unterschied aus erster Hand.
Referenzen
- Infosec Institute und PurpleSec Forschung. „How To Reduce Your Mean Time To Remediate A Vulnerability", PurpleSec, 2025.
- Mondoo. „2025 State of Vulnerability Remediation Report", Umfrage unter 125 IT- und Sicherheitsexperten. https://mondoo.com/resources/state-of-remediation-2025
- Mondoo. „Mondoo vs Tenable - Vulnerability Management Comparison." https://mondoo.com/comparisons/mondoo-vs-tenable
- Mondoo. „Mondoo vs Qualys - Vulnerability Management Comparison." https://mondoo.com/comparisons/mondoo-vs-qualys
- Mondoo. „Mondoo vs Rapid7 - Vulnerability Management Comparison." https://mondoo.com/comparisons/mondoo-vs-rapid7
- Panaseer Forschung zur Nutzung von Enterprise-Sicherheitstools, zitiert in „What is Mean Time to Remediate (MTTR) in Cybersecurity?", Cymulate, 2025.
- VikingCloud Forschung. „Agentic AI in Cybersecurity: Applications, Benefits, and Real-World Impact", VikingCloud, 2025.
- Edgescan. „2023 Vulnerability Statistics Report", Erkenntnis, dass die Mean Time To Remediation (MTTR) für Schwachstellen kritischer Schwere 65 Tage beträgt.
- McKinsey. „The state of AI in 2025: Agents, innovation, and transformation", und Gartner. „Agentic AI for Vendors Is a Risk Without Oversight", September 2025, zitiert in Palo Alto Networks, „Agentic AI Security: What It Is and How to Do It."
- Cymulate. „What is Mean Time to Remediate (MTTR) in Cybersecurity?", 2025.
- Mondoo Kundenerfolgsdaten. https://mondoo.com/why-mondoo
