KI befeuert die CVE-Explosion: Warum monatliches Patchen nicht mehr reicht
Über 500 CVEs allein 2026, Rekord-Patchdays am Fließband – und was das für Mittelstand und MSP bedeutet
Der Juni-Patchday 2026 war mit rund 200 bis 209 Schwachstellen über 24 Produktfamilien der größte der Microsoft-Geschichte – und er hat die CVE-Summe für 2026 bereits über die 500er-Marke getrieben. Das ist kein Ausreißer, sondern ein Trend mit klarer Ursache: Künstliche Intelligenz hat die Schwachstellensuche industrialisiert.
Microsoft selbst und Analysten von Tenable und der Zero Day Initiative führen die steigenden Zahlen ausdrücklich auf KI-gestützte Schwachstellensuche zurück. Der Tenor: Die Büchse der Pandora ist geöffnet – mit leistungsfähigeren Modellen wird die Norm weiter nach oben gehen, nicht nur am Patchday.
Das gilt für beide Seiten. Dieselben Werkzeuge, mit denen Hersteller Fehler schneller finden, beschleunigen auch das Reverse Engineering von Patches durch Angreifer. Schon vor dem KI-Schub war das Zeitfenster zwischen Patch-Veröffentlichung und ersten Exploits auf wenige Tage geschrumpft. Dieses Fenster wird weiter enger.
Das Problem ist nicht ein Hersteller – es ist das Volumen
Wer nur auf Microsoft schaut, unterschätzt die Lage. Allein zwischen Mai- und Juni-Patchday zählte Ivanti über alle Hersteller hinweg rund 513 CVEs – Browser, PDF-Tools, Entwickler-Werkzeuge, Kommunikations-Apps. Browser-Engines wie Chromium liefern pro Zyklus mehrere Hundert Fixes. Die schiere Menge sprengt jedes Dashboard, das auf „einmal im Monat alles durchgehen“ ausgelegt ist.
Die unbequeme Konsequenz: Ein rein monatlicher Patch-Rhythmus ist bei diesen Volumina nicht mehr ausreichend. Wenn Exploits binnen Tagen entstehen, der eigene Zyklus aber Wochen dauert, ist die Lücke strukturell – nicht situativ.
Nicht alles patchen – das Richtige zuerst
Bei 200 Lücken pro Monat ist „alles gleich behandeln“ keine Strategie, sondern eine Kapitulation. Die Antwort ist risikobasierte Priorisierung nach vier Kriterien:
| Kriterium | Frage |
|---|---|
| Ausnutzung | „Exploitation Detected“ oder „More Likely“? Diese springen an die Spitze der Warteschlange. |
| Angriffsvektor | RCE über Netzwerk ohne Interaktion = sofort. Lokale Rechteausweitung = ggf. nachgelagert. |
| Asset-Kritikalität | Domain Controller, Exchange und internet-exponierte Server vor client-seitigen Bugs. |
| Angriffsfläche | Lässt sich die Lücke durch Abschalten eines ungenutzten Features entschärfen? Das kauft Zeit zum Testen. |
Was das praktisch bedeutet
- Vom Monatszyklus zum kontinuierlichen Ansatz. Kritische und aktiv ausgenutzte Lücken werden außerhalb des regulären Fensters eingespielt, nicht erst zum nächsten Patchday.
- Drittanbieter mitdenken. Browser, PDF-Reader, Laufzeitumgebungen und Backup-Software gehören genauso ins Patch-Regime wie Windows selbst.
- Sichtbarkeit vor Geschwindigkeit. Man kann nur priorisieren, was man sieht. Eine zentrale, aktuelle Übersicht des Patch-Status ist die Grundvoraussetzung – gerade für MSPs mit vielen Kundendomänen.
- Defense in Depth. Auch nach dem Patchen weiter auf Ausnutzungsversuche der bekannten CVEs monitoren – Patchen ersetzt kein Monitoring.
Fazit
Die KI-getriebene CVE-Flut ist kein vorübergehender Effekt, sondern die neue Grundlast. Wer weiterhin glaubt, einmal im Monat alles abarbeiten zu können, gerät strukturell ins Hintertreffen. Die Antwort ist nicht mehr Hektik, sondern bessere Methode: kontinuierlich statt monatlich, risikobasiert statt vollständig, und mit einer zentralen Sicht auf den Ist-Zustand. Patchen wird vom Ereignis zum Dauerlauf – und wer das organisiert, gewinnt Ruhe statt Stress.
Den Überblick im CVE-Dauerlauf behalten?
Der ISW Windows Patch Compliance Analyzer schafft die zentrale Sichtbarkeit, ohne die risikobasierte Priorisierung nicht funktioniert – fehlende Updates, KB-Stände und Build-Nummern über die gesamte Flotte, auch über viele Kundendomänen hinweg. Mehr auf isw-adtools.de.