T1190, T1203und T1068 den Rahmen für die Zuordnung von Strategien zur Erkennung und Reaktion auf Exploits zu Branchenstandards bereitstellen.Sicherheitsexperten sehen sich im Jahr 2025 mit einer unangenehmen Realität konfrontiert: Die Ausnutzung von Schwachstellen macht mittlerweile 20 % aller Sicherheitsverletzungen aus, was einem Anstieg von 34 % gegenüber dem Vorjahr entspricht. Dieser Anstieg hat die Lücke zu gestohlenen Anmeldedaten als häufigstem Ausgangspunkt für Datenverletzungen fast geschlossen. Noch alarmierender ist, dass der Zeitraum zwischen der Offenlegung einer Sicherheitslücke und ihrer aktiven Ausnutzung auf durchschnittlich nur noch fünf Tage geschrumpft ist – und in vielen Fällen schlagen Angreifer sogar innerhalb von 24 Stunden zu. Um die Vermögenswerte eines Unternehmens zu schützen, ist es heute wichtiger denn je, zu verstehen, was Exploits sind, wie sie funktionieren und wie man sich gegen sie verteidigen kann.
Ein Exploit ist ein Programm, ein Code oder eine Technik, die dazu dient, Sicherheitslücken oder Schwachstellen in einer Anwendung, einem Betriebssystem oder einem Computersystem zu finden und auszunutzen. Angreifer verwenden Exploits, um Sicherheitsmaßnahmen zu umgehen, sich unbefugten Zugriff zu verschaffen, Malware zu installieren malware, Rechte zu erweitern oder sensible Daten zu stehlen. Obwohl Exploits oft mit malware verwechselt werden, handelt es sich dabei eigentlich um den Liefermechanismus – das Tool, das die Tür für bösartige Payloads öffnet.
Um „Exploit“ einfach zu definieren: Es handelt sich um einen Code oder eine Technik, die eine theoretische Sicherheitslücke in einen tatsächlichen Angriff verwandelt. Der Begriff leitet sich vom Verb „exploit“ ab, was so viel bedeutet wie „ausnutzen“. Was bedeutet „Exploit“ also im Bereich der Cybersicherheit? Es bezieht sich speziell auf die Methode, mit der Angreifer Softwarefehler für böswillige Zwecke ausnutzen.
Bei Cyberangriffen nutzen Angreifer aktiv Schwachstellen im Softwarecode, Fehlkonfigurationen oder Designfehler aus, um Ziele zu erreichen, die vom Datendiebstahl bis zur vollständigen Kompromittierung des Systems reichen. Der Prozess der Ausnutzung dieser Schwachstellen – bekannt als Exploitation – ist zunehmend automatisiert und schnell geworden.
Laut dem VulnCheck-Bericht „State of Exploitation“ waren Schwachstellenausnutzungen in der ersten Hälfte des Jahres 2025 für 20 % aller Sicherheitsverletzungen verantwortlich – ein Anstieg von 34 % gegenüber dem Vorjahr. Dieser dramatische Anstieg unterstreicht, warum es für jedes Sicherheitsteam unerlässlich ist, die Definition von „Exploit“ zu verstehen.
Sicherheitsexperten müssen zwischen drei miteinander verbundenen, aber unterschiedlichen Konzepten unterscheiden: Schwachstellen, Exploits und Bedrohungen.
Stellen Sie sich das so vor: Eine Schwachstelle ist wie eine Tür mit einem zerbrechlichen Schloss. Der Exploit ist der Dietrich, die Brechstange oder der nachgemachte Schlüssel, mit dem dieses Schloss geknackt wird. Die Bedrohung ist das, was der Eindringling tut, sobald er drinnen ist – sei es, dass er Wertsachen stiehlt, Überwachungsgeräte installiert oder Zerstörungen verursacht.
Diese Unterscheidung ist in der Praxis von Bedeutung. Programme zum Schwachstellenmanagement identifizieren Schwachstellen. Technologien zum Schutz vor Exploits blockieren die von Angreifern verwendeten Techniken. Und Funktionen zur Erkennung von Bedrohungen identifizieren böswillige Aktivitäten, unabhängig davon, wie sich Angreifer Zugang verschafft haben.
Exploits folgen einem vorhersehbaren Lebenszyklus, von der ersten Entdeckung bis hin zu Aktivitäten nach der Ausnutzung. Das Verständnis, wie Angreifer Schwachstellen ausnutzen, hilft Verteidigern dabei, Interventionspunkte zu identifizieren und mehrschichtige Abwehrmaßnahmen aufzubauen.
Laut einer Studie Cloud Google Cloud zum Thema Bedrohungsinformationen sank die Zeit bis zur Ausnutzung von Schwachstellen von 32 Tagen im Zeitraum 2021–2022 auf nur noch 5 Tage im Zeitraum 2023–2024. Diese Beschleunigung bedeutet, dass Verteidiger nur noch wenige Tage – manchmal sogar nur Stunden – Zeit haben, um Patches zu installieren, bevor Angreifer neu bekannt gewordene Schwachstellen ausnutzen können.
Eine Exploit-Kette ist ein Cyberangriff, bei dem Angreifer mehrere Schwachstellen nacheinander ausnutzen, um Systeme Schritt für Schritt zu kompromittieren. Anstatt sich auf eine einzige kritische Schwachstelle zu verlassen, kombinieren versierte Angreifer mehrere weniger schwerwiegende Probleme, um eine größere Wirkung zu erzielen.
Typische Exploit-Ketten durchlaufen mehrere Phasen:
Exploit-Ketten sind besonders gefährlich, da einzelne Schwachstellen in der Kette für sich genommen nur ein geringes Risiko darstellen. Sicherheitsteams, die sich ausschließlich auf CVEs mit kritischem Schweregrad konzentrieren, übersehen möglicherweise die Zwischenschritte, die verheerende Angriffe ermöglichen.
Sicherheitslücken werden nach Zugriffsanforderungen, Entdeckungsstatus und Zieltyp kategorisiert. Das Verständnis dieser Klassifizierungen hilft Sicherheitsteams dabei, Abwehrmaßnahmen zu priorisieren und Angriffsmuster zu erkennen. Verschiedene Arten von Sicherheitslücken erfordern unterschiedliche Abwehrstrategien.
Remote-Exploits funktionieren über Netzwerke, ohne dass zuvor Zugriff auf das Zielsystem erforderlich ist. Diese sind besonders gefährlich, da Angreifer sie von überall auf der Welt gegen Dienste starten können, die mit dem Internet verbunden sind. Schwachstellen bei der Remote-Code-Ausführung (RCE) – die laut VulnCheck 30 % der ausgenutzten Schwachstellen im ersten Halbjahr 2025 ausmachten – fallen in diese Kategorie.
Lokale Exploits erfordern einen vorherigen Zugriff auf das System, entweder durch physische Anwesenheit, vorhandene Anmeldedaten oder einen durch andere Mittel erlangten Zugang. Angreifer nutzen lokale Exploits in der Regel zur Rechteausweitung, nachdem sie sich durch einen Remote-Exploit oder Social Engineering zunächst Zugang verschafft haben.
Zero-day Exploits zielen auf Schwachstellen ab, die den Softwareanbietern unbekannt sind, was bedeutet, dass Entwickler null Tage Zeit hatten, um Korrekturen zu erstellen. Diese stellen die gefährlichsten und wertvollsten Exploits dar. Auf Untergrundmärkten werdenzero-day je nach betroffener Plattform und potenziellen Auswirkungen für 10.000 bis 500.000 US-Dollar verkauft.
Laut der Threat Intelligence Group von Google über Deepstrike wurden im Jahr 2024 75 Zero-Day-Schwachstellen aktiv ausgenutzt. Unternehmensspezifische Technologien – darunter VPNs, Firewalls und Netzwerk-Edge-Geräte – machten 44 % aller zero-day aus, was den Fokus der Angreifer auf hochwertige Ziele mit netzwerkweiten Auswirkungen widerspiegelt.
Bekannte Exploits (n-day) zielen auf öffentlich bekannt gewordene Schwachstellen ab, für die möglicherweise Patches verfügbar sind. Trotz der Verfügbarkeit von Patches bleiben diese gefährlich, wenn Unternehmen die Behebung verzögern. Die VulnCheck-Daten zeigen, dass 69 % der im ersten Halbjahr 2025 ausgenutzten Schwachstellen keine Authentifizierung erforderten, was bedeutet, dass Angreifer sie sofort nach Entdeckung ungepatchter Systeme ausnutzen konnten.
Tabelle: Häufige Exploit-Typen nach Zielkategorie
Hardware-Exploits zielen auf Firmware, Prozessoren und physische Komponenten ab. Die Spectre- und Meltdown-Sicherheitslücken haben gezeigt, dass sogar Fehler auf Prozessorebene ausgenutzt werden können, was fast alle in den letzten zwei Jahrzehnten hergestellten Chips betrifft.
Netzwerksicherheit Exploits manipulieren Protokolle, fangen Datenverkehr durch Man-in-the-Middle-Angriffe ab oder überlasten Systeme durch Denial-of-Service-Techniken.
Exploit-Kits sind automatisierte Toolkits, mit denen Cyberkriminelle Systeme auf Schwachstellen scannen und malware verbreiten können, malware über fundierte technische Kenntnisse zu verfügen. Laut Palo Alto Networks können diese Kits auf Untergrundmärkten gemietet werden und kosten manchmal mehrere Tausend Dollar pro Monat.
Zu den wichtigsten Merkmalen von Exploit-Kits gehören:
Während Browser-Plugin-Exploits (die auf Flash und Java abzielen) in der Vergangenheit die Exploit-Kit-Aktivitäten dominierten, konzentrieren sich moderne Kits zunehmend auf Edge-Geräte und Schwachstellen in Webanwendungen.
Drive-by-Exploits werden einfach aktiviert, wenn ein Opfer eine bösartige oder kompromittierte Website besucht. Der Exploit zielt auf Schwachstellen im Browser ab und erfordert keine weiteren Aktionen außer dem Laden der Seite – daher der Begriff „Drive-by“. Diese Angriffe stellen eine der häufigsten Methoden für Massenausbeutungskampagnen dar.
So funktionieren Drive-by-Exploits:
Drive-by-Angriffe verketten oft mehrere Exploits, um Browser-Sandboxes zu umgehen und Zugriff auf Systemebene zu erlangen. Moderne Browser sind durch Sandboxing und automatische Updates deutlich besser gegen Drive-by-Exploits geschützt, aber ältere Systeme und nicht gepatchte Browser bleiben weiterhin anfällig.
Zero-Click-Exploits erfordern keinerlei Interaktion seitens des Benutzers – nicht einmal den Besuch einer Website. Diese ausgeklügelten Angriffe zielen auf ständig aktive Dienste wie Messaging-Anwendungen, E-Mail-Clients und Netzwerkdienste ab. Die von der NSO Group entwickelte Spyware Pegasus nutzte bekanntlich Zero-Click-Schwachstellen in iOS und Android aus, um Geräte durch unsichtbare iMessages oder WhatsApp-Anrufe zu kompromittieren, die die Opfer nie zu Gesicht bekamen.
Zero-Click-Exploits erzielen auf Untergrundmärkten Spitzenpreise, da sie das Bewusstsein der Benutzer vollständig umgehen. Die wachsende Angriffsfläche im Mobilbereich und die Verbreitung von ständig verbundenen IoT-Geräten machen Zero-Click-Exploits zu einem zunehmenden Problem für die Sicherheitsteams von Unternehmen.
Die Landschaft der Exploits hat sich dramatisch verändert. Angreifer haben ihre Vorgehensweisen industrialisiert und damit die Zeitspanne zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung auf ein gefährliches Maß verkürzt.
Die erste Hälfte des Jahres 2025 brachte ernüchternde Statistiken für Verteidiger hervor:
Diese Zahlen aus dem Bericht von VulnCheck für das erste Halbjahr 2025 verdeutlichen die Herausforderung, vor der Sicherheitsteams stehen: eine Flut von Schwachstellen, wobei Angreifer die gefährlichsten davon schnell als Waffen einsetzen.
Tabelle: Trend der Zeit bis zur Ausnutzung nach Jahr
Dieser Zusammenbruch der Zeit bis zur Ausnutzung hat tiefgreifende Auswirkungen. Herkömmliche Patch-Zyklen, die in Wochen oder Monaten gemessen werden, sind für kritische Schwachstellen nicht mehr praktikabel. Unternehmen benötigen Prozesse, die innerhalb weniger Stunden Notfall-Patches ermöglichen, kombiniert mit kompensierenden Kontrollen für Szenarien, in denen eine sofortige Patch-Installation nicht möglich ist.
EternalBlue/WannaCry (2017) – Die SMBv1-Sicherheitslücke (CVE-2017-0144) zeigte das verheerende Potenzial von als Waffen eingesetzten Exploits. Obwohl Microsoft einen Monat vor dem Angriff einen Patch veröffentlicht hatte, infizierte WannaCry über 200.000 Systeme in mehr als 150 Ländern. Zu den Opfern gehörten der britische National Health Service, FedEx und die Deutsche Bahn. Kaspersky schätzt den Gesamtschaden auf über 4 Milliarden US-Dollar, wobei der damit verbundene NotPetya-Angriff weitere 10 Milliarden US-Dollar hinzufügte.
Log4Shell / Log4j-Exploit (2021) – CVE-2021-44228 in Apache Log4j erhielt eine maximale CVSS-Bewertung von 10,0 und wurde als „die größte und kritischste Sicherheitslücke des letzten Jahrzehnts” bezeichnet. Der Log4j-Exploit ermöglichte es Angreifern, durch das einfache Senden einer speziell gestalteten Zeichenfolge an eine beliebige Anwendung, die Benutzereingaben protokolliert, eine Remote-Codeausführung zu erreichen.
Zeitleiste des log4j-Exploits:
Die Analyse von CrowdStrike dokumentierte, wie diese Schwachstelle Millionen von Anwendungen weltweit betraf, von Cloudflare bis hin zu Minecraft-Servern. Der log4j-Exploit zeigte, wie eine einzige Schwachstelle in einer weit verbreiteten Open-Source-Komponente ein kaskadierendes Risiko für das gesamte Software-Ökosystem darstellen kann.
React2Shell (Dezember 2025) – CVE-2025-55182 zeigt, wie schnell Exploits heutzutage verbreitet werden. Dieser kritische, nicht authentifizierte RCE in React Server Components erhielt eine maximale CVSS-Bewertung von 10,0. Laut der Analyse von Rapid7 begann die Ausnutzung innerhalb weniger Stunden nach der Offenlegung. Die CISA fügte ihn am 5. Dezember 2025 zum KEV-Katalog hinzu. Mehrere mit China in Verbindung stehende Advanced Persistent Threat- Gruppen – darunter Earth Lamia, Jackpot Panda und UNC5174 – nutzten die Schwachstelle aus, um Cobalt Strike, Noodle RAT und Cryptominer einzusetzen.
Cisco AsyncOS Zero-Day Dezember 2025) – CVE-2025-20393 stellt ein noch schwierigeres Szenario dar: aktive Ausnutzung ohne verfügbaren Patch. Die mit China in Verbindung stehende APT-Gruppe UAT-9686 nutzt diese CVSS 10.0-Sicherheitslücke in Cisco Secure Email Gateway-Geräten aus, um Befehle auf Root-Ebene auszuführen. Angreifer setzen maßgeschneiderte Tools ein, darunter die Backdoor AquaShell, AquaTunnel und den Log-Cleaner AquaPurge. Cisco empfiehlt, die Spam-Quarantäne zu deaktivieren und kompromittierte Systeme neu aufzusetzen.
Angriffsmuster zeigen klare Präferenzen unter den Angreifern:
Der dramatische Anstieg der Angriffe auf Edge-Geräte spiegelt die Erkenntnis der Angreifer wider, dass VPNs, Firewalls und E-Mail-Gateways oft direkte Zugänge zu Unternehmensnetzwerken bieten und damit die Angriffsfläche vergrößern. Diese Geräte werden häufig mit hohen Berechtigungen betrieben und unterliegen möglicherweise nicht der Überwachung herkömmlicher Endpunkte.
Eine wirksame Abwehr von Exploits erfordert mehrere Ebenen: schnelle Patches, Schutztechnologien, Netzwerkarchitektur und Erkennungsfunktionen, die laufende Angriffe identifizieren.
Das Patch-Management bleibt die grundlegende Verteidigungsmaßnahme. Laut IBM X-Force 2025 betrafen 70 % der Angriffe auf kritische Infrastrukturen die Ausnutzung von Schwachstellen – wobei die überwiegende Mehrheit auf bekannte, patchbare Schwachstellen abzielte.
Leitfaden für vorrangige Patches:
Exploit-Schutztechnologien bieten Laufzeit-Schutz:
Die Dokumentation zum Exploit-Schutz von Microsoft enthält detaillierte Informationen zur Konfiguration von Windows Defender Exploit Guard für zusätzliche Schutzebenen, darunter Control Flow Guard und Arbitrary Code Guard.
Netzwerksegmentierung begrenzt die Auswirkungen von Exploits:
Virtuelles Patchen bietet vorübergehenden Schutz, wenn Patches nicht sofort angewendet werden können:
Der CISA-Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) enthält verlässliche Informationen zu Schwachstellen, deren Ausnutzung in der Praxis bestätigt wurde. Die verbindliche Betriebsrichtlinie 22-01 verpflichtet Bundesbehörden dazu, KEV-Einträge innerhalb festgelegter Fristen zu beheben.
Organisationen sollten KEV als primäre Informationsquelle für das Schwachstellenmanagement nutzen:
Zu den jüngsten Ergänzungen von KEV gehören React2Shell (CVE-2025-55182), Microsoft WSUS RCE (CVE-2025-59287) und Fortinet SAML Bypass (CVE-2025-59718) – allesamt aktive Bedrohungen, die sofortige Aufmerksamkeit erfordern.
Netzwerkerkennung und -reaktion (NDR) bietet Transparenz bei Exploit-Versuchen und Aktivitäten nach einem Exploit:
Endpoint (EDR) ergänzt die Netzwerktransparenz:
Die SIEM-Korrelation verbindet Signale über die gesamte Umgebung hinweg:
Sicherheitsrahmen bieten strukturierte Ansätze für die Ausnutzung von Abwehrmaßnahmen und ermöglichen eine konsistente Umsetzung und regulatorische Angleichung.
Die MITRE ATT&CK katalogisiert Techniken von Angreifern, darunter mehrere, die in direktem Zusammenhang mit Exploits stehen:
Tabelle: MITRE ATT&CK -Techniken MITRE ATT&CK
Der Rahmen definiert auch die Minderung. M1050 (Exploit Protection), umfasst Sicherheitsanwendungen, die Exploit-Verhalten erkennen und verhindern, darunter Windows Defender Exploit Guard, DEP und ASLR.
Das NIST Cybersecurity Framework ordnet die Abwehr von Exploits fünf Kernfunktionen zu:
Die Ausrichtung der Exploit-Abwehrmaßnahmen an diesen Rahmenwerken zeugt von Sicherheitsreife und erfüllt die Compliance -Anforderungen in regulierten Branchen.
Die moderne Exploit-Abwehr hat sich über die signaturbasierte Erkennung hinaus zu einer Verhaltensanalyse entwickelt, mit der neue Angriffe identifiziert werden können.
Aktuelle Lösungskategorien befassen sich mit verschiedenen Aspekten der Exploit-Abwehr:
Zu bewertende Schlüsselkompetenzen:
Attack Signal IntelligenceVectra AI konzentriert sich auf die Erkennung von Angreiferverhalten statt auf bekannte Signaturen. Durch die Analyse von Netzwerkverkehrsmustern und die Korrelation von Signalen über die gesamte Angriffsfläche hinweg identifiziert die Plattform Exploit-Versuche und Aktivitäten nach dem Exploit – einschließlich Privilegieneskalation und lateraler Bewegung –, selbst wenn Exploits bisher unbekannte zero-day ausnutzen.
Dieser verhaltensbasierte Ansatz ergänzt herkömmliche Sicherheitstools, indem er die Aktionen erkennt, die Angreifer nach einer erfolgreichen Exploitation ausführen. In Kombination mit threat hunting können Sicherheitsteams proaktiv Kompromittierungsindikatoren identifizieren, bevor Angreifer ihre Ziele erreichen.
Eine Schwachstelle ist eine Schwäche oder ein Fehler im Design, in der Implementierung oder in der Konfiguration eines Systems – stellen Sie sich das wie eine Tür mit einem schwachen Schloss vor. Ein Exploit ist der Code, die Technik oder das Tool, mit dem diese Schwachstelle ausgenutzt wird – der Dietrich, der das schwache Schloss knackt. Dieses Verständnis ist für Sicherheitsmaßnahmen wichtig: Schwachstellenmanagementprogramme identifizieren Schwachstellen, während Exploit-Schutztechnologien die spezifischen Techniken blockieren, die Angreifer verwenden. Unternehmen benötigen beide Funktionen, die zusammenwirken. Schwachstellen sind potenzielle Probleme; Exploits verwandeln sie in tatsächliche Sicherheitsverletzungen.
Ein zero-day zielt auf eine dem Softwareanbieter unbekannte Schwachstelle ab, was bedeutet, dass Entwickler null Tage Zeit hatten, um einen Fix zu entwickeln und zu veröffentlichen. Diese stellen die gefährlichste Exploit-Kategorie dar, da zum Zeitpunkt des Angriffs noch kein Patch verfügbar ist. Auf Untergrundmärkten werden zero-day je nach Zielplattform und potenziellen Auswirkungen für 10.000 bis 500.000 US-Dollar verkauft. Laut der Threat Intelligence Group von Google wurden im Jahr 2024 75 Zero-Days aktiv ausgenutzt, wobei 44 % auf Unternehmenstechnologien wie VPNs und Firewalls abzielten. Unternehmen schützen sich vor Zero-Days durch Verhaltenserkennung, virtuelles Patchen und tiefgreifende Verteidigungsarchitekturen.
Die Zeit bis zur Ausnutzung von Schwachstellen ist in den letzten Jahren dramatisch gesunken. In den Jahren 2018–2019 benötigten Angreifer durchschnittlich 63 Tage, um neu bekannt gewordene Schwachstellen auszunutzen. Bis 2021–2022 sank dieser Wert auf 32 Tage. In den Jahren 2023–2024 sank der Durchschnitt auf nur noch 5 Tage. Besonders alarmierend ist, dass laut VulnCheck 28,3 % der Schwachstellen im ersten Quartal 2025 innerhalb von 24 Stunden nach Bekanntgabe der CVE ausgenutzt wurden. Diese Beschleunigung macht traditionelle monatliche Patch-Zyklen für kritische Schwachstellen unzureichend. Unternehmen benötigen Notfall-Patching-Funktionen und kompensierende Kontrollen wie virtuelles Patching für Szenarien, in denen eine sofortige Behebung nicht möglich ist.
Ein Exploit-Kit ist ein automatisiertes Toolkit, mit dem Cyberkriminelle Systeme auf Schwachstellen scannen und malware verbreiten können, malware über fundierte technische Kenntnisse zu verfügen. Diese Kits können auf Untergrundmärkten gemietet werden – manchmal für mehrere Tausend Dollar pro Monat – und demokratisieren Cyberangriffe, indem sie auch weniger erfahrenen Akteuren die Durchführung ausgeklügelter Exploit-Kampagnen ermöglichen. Exploit-Kits zielen in der Regel auf Besucher kompromittierter Websites ab, suchen automatisch nach Schwachstellen in Browsern und Plugins und liefern dann malware , wenn Schwachstellen gefunden werden. Während sie sich in der Vergangenheit auf Browser-Plugins wie Flash und Java konzentrierten, zielen moderne Exploit-Kits zunehmend auf Schwachstellen in Webanwendungen und Edge-Geräten ab.
Eine Exploit-Kette ist ein Angriff, bei dem mehrere Schwachstellen nacheinander ausgenutzt werden, um ein Ziel schrittweise zu kompromittieren. Angreifer beginnen in der Regel damit, eine Schwachstelle mit geringen Auswirkungen auszunutzen, um sich zunächst Zugang zu verschaffen. Anschließend verketten sie weitere Exploits, um ihre Berechtigungen zu erweitern, der Erkennung zu entgehen, sich lateral zu bewegen und ihr endgültiges Ziel zu erreichen. Exploit-Ketten sind besonders gefährlich, da einzelne Schwachstellen in der Kette isoliert betrachtet möglicherweise nur ein geringes Risiko darstellen. Ein Sicherheitsteam, das sich nur auf CVEs mit kritischer Schwere konzentriert, könnte die Schwachstellen mittlerer Schwere übersehen, die in Kombination eine vollständige Kompromittierung des Systems ermöglichen. Zur Abwehr muss der gesamte Angriffspfad berücksichtigt werden, nicht nur die schwerwiegendsten einzelnen Schwachstellen.
Der CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) listet Schwachstellen auf, deren Ausnutzung in der Praxis bestätigt wurde, und liefert damit zuverlässige Informationen für die Priorisierung von Schwachstellen. Anstatt sich ausschließlich auf CVSS-Schweregradbewertungen zu verlassen, die die potenziellen Auswirkungen und nicht die tatsächliche Ausnutzung messen, sollten Unternehmen KEV als primäre Grundlage für ihre Entscheidungen zum Patchen verwenden. Eine Schwachstelle mittlerer Schwere mit bestätigter Ausnutzung stellt ein größeres unmittelbares Risiko dar als eine Schwachstelle kritischer Schwere ohne bekannte Angriffe. Die verbindliche Betriebsrichtlinie 22-01 verpflichtet Bundesbehörden, KEV-Einträge innerhalb festgelegter Fristen zu beheben. Nicht-Bundesbehörden profitieren davon, wenn sie diese bestätigten Bedrohungen mit ähnlicher Dringlichkeit behandeln.
Ein Exploit ist die Methode, der Code oder die Technik, mit der eine Schwachstelle ausgenutzt wird – er öffnet die Tür. Malware die bösartige Software (ransomware, Trojaner, Spyware, Cryptominer), die nach erfolgreicher Ausnutzung der Schwachstelle eingeschleust wird – sie ist das, was durch diese Tür hereinkommt. Stellen Sie sich einen Exploit als Liefermechanismus und malware Nutzlast vor. Bei vielen Angriffen ermöglichen Exploits den ersten Zugriff und schleusen dann malware ein, malware sich dauerhaft einnistet, Daten stiehlt oder Dateien verschlüsselt. Exploits können jedoch auch ohne herkömmliche malware eingesetzt werden – beispielsweise um Daten direkt zu exfiltrieren oder Systemkonfigurationen zu ändern.
In der Cybersicherheit bezeichnet „Exploit“ eine Software, einen Code oder eine Befehlssequenz, die darauf ausgelegt ist, eine Schwachstelle auszunutzen, um ein unbeabsichtigtes Verhalten in einem Computersystem zu verursachen. Die Bedeutung von „Exploit“ unterscheidet sich vom alltäglichen Sprachgebrauch, wo „Exploit“ einfach „etwas nutzen“ bedeuten kann. Im Zusammenhang mit Sicherheit bezieht sich „Exploit“ speziell auf Techniken, die theoretische Schwachstellen in tatsächliche Sicherheitsverletzungen umwandeln. Wenn Sicherheitsexperten sagen, dass ein System „ausgenutzt“ wurde, meinen sie damit, dass Angreifer eine Schwachstelle erfolgreich ausgenutzt haben, um sich unbefugten Zugriff zu verschaffen oder bösartigen Code auszuführen. Das Verständnis der Bedeutung von „Exploit“ ist für die Cybersicherheit von grundlegender Bedeutung, da es die Beziehung zwischen Schwachstellen (der Schwäche) und Ausnutzung (dem Angriff) verdeutlicht.