Das vermeidbare Risiko: Warum 84 % aller Angriffe trotz bekannter Schwachstellen gelingen
02.07.2026
Filigran, das europäische Open-Source-Unternehmen für Bedrohungsmanagement, hat heute den Bericht „The State of Threat Management Report“ veröffentlicht. Die weltweite Studie wurde unter 550 Entscheidungsträgern und Fachleuten im IT-Sicherheitsbereich und vom unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Dabei deckt die Untersuchung eine auffällige Diskrepanz auf: Während sich das Continuous Threat Exposure Management (CTEM) als Branchenstandard zunehmend durchsetzt, lässt die operative Reife für dessen Umsetzung weiterhin auf sich warten.
Der Bericht identifiziert eine „Exposure Gap“, sprich eine Kluft zwischen dem Wissen, wo Bedrohungen bestehen, und der CTEM-Reife, diese kontinuierlich zu priorisieren und zu beheben. Trotz des Einsatzes von durchschnittlich 14 verschiedenen Threat-Intelligence-Feeds geben 61 % der Unternehmen an, dass sie nicht bestimmen können, welche Schwachstellen bei realen Angriffen am ehesten ausgenutzt werden. Nur 38 % nutzen Threat Intelligence im Rahmen eines kontinuierlichen, vollautomatisierten Validierungsprozesses. Sicherheitsteams verbringen durchschnittlich 42 % ihrer Zeit damit, Risiken zu untersuchen, die sich später als weniger wichtig oder nicht ausnutzbar erweisen.
„Das Problem ist nicht die Transparenz. Das Problem ist, dass es den Teams schwerfällt, diese Transparenz schnell genug in Maßnahmen umzusetzen“, sagte Julien Richard, Mitgründer von Filigran. „Unternehmen versinken in Threat Intelligence aus Dutzenden von Feeds und Tools. Ohne kontinuierliche Validierung und intelligente Priorisierung sorgen diese Daten eher für Unübersichtlichkeit als für Klarheit. Um die Lücke bei der Erfassung von Sicherheitsrisiken zu schließen, muss die Threat Intelligence in einem kontinuierlichen Arbeitsablauf direkt mit der Validierung von Sicherheitsrisiken und der Risikominderung verknüpft werden.“
Deutschland bei der Implementierung von CTEM führend
In der Studie sticht Deutschland als positive Ausnahme heraus: 58 % der deutschen Befragten nutzen Threat Intelligence bereits in einem kontinuierlichen, vollständig automatisierten Validierungsprozess. Das ist der höchste Wert aller untersuchten Länder und deutlich über dem globalen Durchschnitt von 38 %. Die Wirkung zeigt sich unmittelbar: Deutsche Sicherheitsteams verbringen laut der Studie nur 27 % ihrer Arbeitszeit mit der Untersuchung risikoarmer oder nicht ausnutzbarer Schwachstellen, verglichen mit 42 % weltweit.
Auch bei der konsolidierten Risikosicht führt Deutschland das globale Ranking an (54 %, vor den USA mit 53 %), und jeder einzelne der 50 deutschen Befragten arbeitet aktiv an einem CTEM-Programm. Kein anderes Land erreicht diesen Wert. Doch die Reife erzeugt neue Herausforderungen: Trotz ihrer Spitzenposition nennen deutsche Teams Alert Fatigue, manuelle Korrelation fragmentierter Daten und den Fachkräftemangel als größte Hemmnisse. Das ist ein klares Zeichen dafür, dass fortgeschrittene Programme mehr Daten, mehr Alarme und damit eine neue Klasse operativer Engpässe produzieren, die nur durch stärkere Automatisierung zu lösen sind.
Die EMEA-Region liegt im globalen Vergleich im Mittelfeld: 37 % geben an, über einen vollständig konsolidierten Überblick über die Risiken zu verfügen, und 35 % nutzen eine kontinuierliche, automatisierte Validierung. Die APAC-Region weist die größte Lücke auf: Nur 31 % verfügen über einen vollständig konsolidierten Überblick, und nur 27 % nutzen eine kontinuierliche, automatisierte Validierung – das ist etwa die Hälfte des nordamerikanischen Wertes.
Manuelle Prozesse verursachen einen Engpass bei der Priorisierung
88 % der Befragten erkennen an, dass regelmäßige Bewertungen mit dem Tempo der Veränderungen in ihren Umgebungen nicht Schritt halten können. Gleichzeitig verlassen sich fast die Hälfte immer noch vollständig oder größtenteils auf manuelle Prozesse zur Identifizierung von Schwachstellen und zur Bedrohungsanalyse.
Dieser Engpass hat konkrete Folgen: 84 % stimmen zu, dass Cyberangriffe bekannte Risiken ausnutzen, denen keine Priorität eingeräumt wird. Zu den größten Hindernissen bei der Überprüfung, ob Bedrohungen ausnutzbar sind, zählen die Sorge vor Systemausfällen (49 %), übermäßiger manueller Aufwand (46 %) und eine schlechte Integration in bestehende Sicherheitsprozesse (42 %). Das Problem wird durch Alarmflut noch verschärft – 89 % geben an, dass eine Reduzierung dieser Alarmflut dabei helfen würde, zu erkennen, welche Alarme ein echtes Geschäftsrisiko darstellen.
„Diese Studie quantifiziert eine Herausforderung, mit der Sicherheitsexperten seit Jahren zu kämpfen haben“, sagte Neena Sharma, Head of Customer and Product Marketing bei Filigran. „Die Branche hat massiv in Erkennung und Intelligence investiert, doch ohne kontinuierliche Validierung und Priorisierung bleiben Unternehmen reaktiv. Die Ergebnisse untermauern, warum wir die XTM-Plattform entwickeln – um Sicherheitsteams die operative Brücke vom Bewusstsein zum Handeln zu bieten.“
KI und Automatisierung erweisen sich als Weg zu einem operativen CTEM
88 % der Sicherheitsteams sind sich einig, dass sie ohne stärkere Automatisierung mit der Menge der zu bewertenden Risiken nicht Schritt halten können. Doch der Einsatz von KI im CTEM nimmt zu: Derzeit sind 37 % der CTEM-Prozesse KI-gestützt, und die Befragten gehen davon aus, dass dieser Anteil innerhalb von zwei Jahren auf 59 % steigen wird.
Während 95 % der Unternehmen der Meinung sind, dass eine stärkere Automatisierung ihr Vertrauen darin stärken würde, dass sich die Teams auf die wichtigsten Risiken konzentrieren, haben nur 38 % eine kontinuierliche, automatisierte Validierung implementiert.
Die Bereiche, die laut den Befragten am meisten von KI und Automatisierung profitieren würden, sind die Erkennung von Schwachstellen, Fehlkonfigurationen und Sicherheitslücken (59 %), das Verständnis, welche Bedrohungen für ihre spezifische Umgebung relevant sind (56 %) sowie die Überprüfung, ob Sicherheitslücken realistisch ausnutzbar sind (54 %).
In den nächsten 12 bis 24 Monaten planen drei Viertel der Unternehmen, sowohl in Tools zur Quantifizierung von Cyberrisiken als auch in Funktionen zur Bewertung von Sicherheitslücken zu investieren. Die Dringlichkeit ist offensichtlich: 93 % stimmen zu, dass eine Verzögerung bei der Verbesserung ihres Cyberrisikomanagements die Wahrscheinlichkeit schwerwiegender Vorfälle erhöht, und 94 % geben an, dass eine proaktive Cybersicherheitsstrategie im Jahr 2026 von der Integration von Bedrohungsinformationen in das Schwachstellenmanagement abhängen wird.
Über die Umfrage
Der „State of Threat Management Report“ basiert auf einer Umfrage unter 550 leitenden Entscheidungsträgern und Fachkräften im Bereich IT-Sicherheit in Unternehmen mit mehr als 1.000 Mitarbeitern aus den Branchen Finanzdienstleistungen, Gesundheitswesen, Energie, öffentlicher Sektor, IT und Technologie sowie Einzelhandel. Die Umfrage wurde von Vanson Bourne zwischen Februar und März 2026 in den Vereinigten Staaten, Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Australien, Singapur, Japan und den Vereinigten Arabischen Emiraten durchgeführt.
Das vermeidbare Risiko: Warum 84 % aller Angriffe trotz bekannter Schwachstellen gelingen
02.07.2026
Filigran, das europäische Open-Source-Unternehmen für Bedrohungsmanagement, hat heute den Bericht „The State of Threat Management Report“ veröffentlicht. Die weltweite Studie wurde unter 550 Entscheidungsträgern und Fachleuten im IT-Sicherheitsbereich und vom unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Dabei deckt die Untersuchung eine auffällige Diskrepanz auf: Während sich das Continuous Threat Exposure Management (CTEM) als Branchenstandard zunehmend durchsetzt, lässt die operative Reife für dessen Umsetzung weiterhin auf sich warten.
Der Bericht identifiziert eine „Exposure Gap“, sprich eine Kluft zwischen dem Wissen, wo Bedrohungen bestehen, und der CTEM-Reife, diese kontinuierlich zu priorisieren und zu beheben. Trotz des Einsatzes von durchschnittlich 14 verschiedenen Threat-Intelligence-Feeds geben 61 % der Unternehmen an, dass sie nicht bestimmen können, welche Schwachstellen bei realen Angriffen am ehesten ausgenutzt werden. Nur 38 % nutzen Threat Intelligence im Rahmen eines kontinuierlichen, vollautomatisierten Validierungsprozesses. Sicherheitsteams verbringen durchschnittlich 42 % ihrer Zeit damit, Risiken zu untersuchen, die sich später als weniger wichtig oder nicht ausnutzbar erweisen.
„Das Problem ist nicht die Transparenz. Das Problem ist, dass es den Teams schwerfällt, diese Transparenz schnell genug in Maßnahmen umzusetzen“, sagte Julien Richard, Mitgründer von Filigran. „Unternehmen versinken in Threat Intelligence aus Dutzenden von Feeds und Tools. Ohne kontinuierliche Validierung und intelligente Priorisierung sorgen diese Daten eher für Unübersichtlichkeit als für Klarheit. Um die Lücke bei der Erfassung von Sicherheitsrisiken zu schließen, muss die Threat Intelligence in einem kontinuierlichen Arbeitsablauf direkt mit der Validierung von Sicherheitsrisiken und der Risikominderung verknüpft werden.“
Deutschland bei der Implementierung von CTEM führend
In der Studie sticht Deutschland als positive Ausnahme heraus: 58 % der deutschen Befragten nutzen Threat Intelligence bereits in einem kontinuierlichen, vollständig automatisierten Validierungsprozess. Das ist der höchste Wert aller untersuchten Länder und deutlich über dem globalen Durchschnitt von 38 %. Die Wirkung zeigt sich unmittelbar: Deutsche Sicherheitsteams verbringen laut der Studie nur 27 % ihrer Arbeitszeit mit der Untersuchung risikoarmer oder nicht ausnutzbarer Schwachstellen, verglichen mit 42 % weltweit.
Auch bei der konsolidierten Risikosicht führt Deutschland das globale Ranking an (54 %, vor den USA mit 53 %), und jeder einzelne der 50 deutschen Befragten arbeitet aktiv an einem CTEM-Programm. Kein anderes Land erreicht diesen Wert. Doch die Reife erzeugt neue Herausforderungen: Trotz ihrer Spitzenposition nennen deutsche Teams Alert Fatigue, manuelle Korrelation fragmentierter Daten und den Fachkräftemangel als größte Hemmnisse. Das ist ein klares Zeichen dafür, dass fortgeschrittene Programme mehr Daten, mehr Alarme und damit eine neue Klasse operativer Engpässe produzieren, die nur durch stärkere Automatisierung zu lösen sind.
Die EMEA-Region liegt im globalen Vergleich im Mittelfeld: 37 % geben an, über einen vollständig konsolidierten Überblick über die Risiken zu verfügen, und 35 % nutzen eine kontinuierliche, automatisierte Validierung. Die APAC-Region weist die größte Lücke auf: Nur 31 % verfügen über einen vollständig konsolidierten Überblick, und nur 27 % nutzen eine kontinuierliche, automatisierte Validierung – das ist etwa die Hälfte des nordamerikanischen Wertes.
Manuelle Prozesse verursachen einen Engpass bei der Priorisierung
88 % der Befragten erkennen an, dass regelmäßige Bewertungen mit dem Tempo der Veränderungen in ihren Umgebungen nicht Schritt halten können. Gleichzeitig verlassen sich fast die Hälfte immer noch vollständig oder größtenteils auf manuelle Prozesse zur Identifizierung von Schwachstellen und zur Bedrohungsanalyse.
Dieser Engpass hat konkrete Folgen: 84 % stimmen zu, dass Cyberangriffe bekannte Risiken ausnutzen, denen keine Priorität eingeräumt wird. Zu den größten Hindernissen bei der Überprüfung, ob Bedrohungen ausnutzbar sind, zählen die Sorge vor Systemausfällen (49 %), übermäßiger manueller Aufwand (46 %) und eine schlechte Integration in bestehende Sicherheitsprozesse (42 %). Das Problem wird durch Alarmflut noch verschärft – 89 % geben an, dass eine Reduzierung dieser Alarmflut dabei helfen würde, zu erkennen, welche Alarme ein echtes Geschäftsrisiko darstellen.
„Diese Studie quantifiziert eine Herausforderung, mit der Sicherheitsexperten seit Jahren zu kämpfen haben“, sagte Neena Sharma, Head of Customer and Product Marketing bei Filigran. „Die Branche hat massiv in Erkennung und Intelligence investiert, doch ohne kontinuierliche Validierung und Priorisierung bleiben Unternehmen reaktiv. Die Ergebnisse untermauern, warum wir die XTM-Plattform entwickeln – um Sicherheitsteams die operative Brücke vom Bewusstsein zum Handeln zu bieten.“
KI und Automatisierung erweisen sich als Weg zu einem operativen CTEM
88 % der Sicherheitsteams sind sich einig, dass sie ohne stärkere Automatisierung mit der Menge der zu bewertenden Risiken nicht Schritt halten können. Doch der Einsatz von KI im CTEM nimmt zu: Derzeit sind 37 % der CTEM-Prozesse KI-gestützt, und die Befragten gehen davon aus, dass dieser Anteil innerhalb von zwei Jahren auf 59 % steigen wird.
Während 95 % der Unternehmen der Meinung sind, dass eine stärkere Automatisierung ihr Vertrauen darin stärken würde, dass sich die Teams auf die wichtigsten Risiken konzentrieren, haben nur 38 % eine kontinuierliche, automatisierte Validierung implementiert.
Die Bereiche, die laut den Befragten am meisten von KI und Automatisierung profitieren würden, sind die Erkennung von Schwachstellen, Fehlkonfigurationen und Sicherheitslücken (59 %), das Verständnis, welche Bedrohungen für ihre spezifische Umgebung relevant sind (56 %) sowie die Überprüfung, ob Sicherheitslücken realistisch ausnutzbar sind (54 %).
In den nächsten 12 bis 24 Monaten planen drei Viertel der Unternehmen, sowohl in Tools zur Quantifizierung von Cyberrisiken als auch in Funktionen zur Bewertung von Sicherheitslücken zu investieren. Die Dringlichkeit ist offensichtlich: 93 % stimmen zu, dass eine Verzögerung bei der Verbesserung ihres Cyberrisikomanagements die Wahrscheinlichkeit schwerwiegender Vorfälle erhöht, und 94 % geben an, dass eine proaktive Cybersicherheitsstrategie im Jahr 2026 von der Integration von Bedrohungsinformationen in das Schwachstellenmanagement abhängen wird.
Über die Umfrage
Der „State of Threat Management Report“ basiert auf einer Umfrage unter 550 leitenden Entscheidungsträgern und Fachkräften im Bereich IT-Sicherheit in Unternehmen mit mehr als 1.000 Mitarbeitern aus den Branchen Finanzdienstleistungen, Gesundheitswesen, Energie, öffentlicher Sektor, IT und Technologie sowie Einzelhandel. Die Umfrage wurde von Vanson Bourne zwischen Februar und März 2026 in den Vereinigten Staaten, Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Australien, Singapur, Japan und den Vereinigten Arabischen Emiraten durchgeführt.
