Attack Surface Management (ASM): Angriffsflächen priorisieren statt nur patchen

9. Dezember, 2025

Die Zeit zwischen dem Bekanntwerden einer Schwachstelle und ihrer aktiven Ausnutzung schrumpft rasant – 2024 lag sie laut Mandiant/Google im Durchschnitt bei −1 Tag. Noch 2021/22 waren es 32 Tage, 2023 nur noch 5 Tage – und ein Jahr später kippte das Fenster ins Negative.

−1 Tag bedeutet: Im Mittel beginnt die Ausnutzung vor Patch-Release oder Rollout. Ein wesentlicher Grund dafür ist der hohe Anteil an Zero-Days unter den aktiv ausgenutzten CVEs (Common Vulnerabilities and Exposures).

Doch selbst wenn Schwachstellen erst nach Veröffentlichung ausgenutzt werden, bleibt kaum Luft: Ein wachsender Anteil wird innerhalb von 24 Stunden weaponized. Für Verteidiger:innen entsteht damit ein strukturelles Problem: Patch-Zeitfenster sind nicht nur kurz, sondern zum Teil gar nicht vorhanden.

Warum Exploits zunehmen und Time-to-Exploit sinkt

Diese Dynamik ist kein Zufall – sie ist das Ergebnis mehrerer paralleler Trends. Jahr für Jahr werden Zehntausende neue CVEs registriert, Tendenz steigend. Die gute Nachricht: Nicht jede CVE wird tatsächlich „in the wild“ ausgenutzt. Dieser kleine Teil reicht allerdings aus, um Startpunkt für jedes fünfte Datenleck zu werden.

Kommerzialisierung der Exploit-Kette: Proof-of-Concepts, Exploit-Brokers, Initial-Access-Marktplätze und Ransomware-as-a-Service beschleunigen die Verbreitung und Skalierung von Exploits massiv. Aus einer Schwachstelle wird schneller ein „Massenprodukt“.
Wachsende Angriffsfläche: Hybride IT, Remote-Work, SaaS und OT/IoT erhöhen die Zahl der exponierten Assets. Vor allem internetnahe Systeme („Edge“) sind attraktive Einstiegspunkte – und häufig schwer zu patchen.
Immer mehr CVE-Registrierungen: Selbst große Organisationen können nicht jede CVE sofort beheben. Change-Fenster, Kompatibilitätsrisiken und Betriebsunterbrechungen setzen natürliche Limits.

Die steigenden Exploitzahlen kombiniert mit der immer kürzer werdenden Time-to-Exploit (TTE) machen die Priorisierung von Schwachstellen umso wichtiger. Periodisches Patchen reicht nicht mehr aus, Angriffsflächen müssen kontinuierlicher Teil der Cyberhygiene sein.

Was ist Attack Surface Management (ASM)?

Patch Management behebt Schwachstellen – ASM zeigt kontinuierlich, wo sie existieren und welche zuerst zählen. Es bietet eine kontinuierliche Sicht auf reale Angriffsflächen in der eigenen Umgebung und soll zwei Kernfragen beantworten:

Was ist tatsächlich exponiert?
ASM identifiziert Schwächen in der Endpunkt- und Netzwerklandschaft und schafft eine permanente Exposure-Sicht – etwa auf CVEs, veraltete Softwarestände, Shadow-IT und ungemanagte Geräte.
Was davon ist kritisch?
Nicht jede Schwachstelle ist gleich gefährlich. ASM priorisiert Risiken pro Asset anhand von Exposure-Kontext (wo und wie wird Asset eingesetzt), Exploitability (wie wahrscheinlich ist eine Ausnutzung) und, wenn verfügbar, Kopplung an reale Sicherheitsereignisse.

Damit liefert ASM eine belastbare Entscheidungsbasis, priorisiert Behebungsmaßnahmen und unterstützt ihre Nachverfolgung – sodass IT-Teams an den wichtigsten Schrauben zuerst drehen können.

Das hilft gerade dann, wenn das Patch-Fenster praktisch nicht mehr existiert. Es zeigt sofort, wo betroffene Software läuft, macht unbekannte/ungemanagte Assets sichtbar und hilft, unter Zeitdruck die wenigen wirklich kritischen Exposures zu priorisieren. So verbessert sich die Treffsicherheit von Mitigation und Incident Response.

Fazit: Von „Patch Management“ zu „Exposure Management“

Attack Surface Management ist kein Ersatz für Patchen. Aber es ist der Weg, um unter realem Zeitdruck die richtigen Angriffsflächen zuerst zu schließen – und blinde Flecken dauerhaft zu eliminieren.

Wenn die durchschnittliche Exploit-Zeit bereits negativ ist, reicht die klassische Logik „entdecken → patchen“ nicht mehr aus. Organisationen brauchen stattdessen einen kontinuierlichen Blick auf Exposure, eine belastbare Priorisierung und die Fähigkeit, sofort dort zu reagieren, wo Risiken wirklich existieren.