Kubernetes ist in deutschen Unternehmen Pflichtprogramm — doch End-of-Life-Software in Container-Images bleibt systematisch unentdeckt. Ein neuer Ansatz erweitert die Lifecycle-Erkennung erstmals auf Cloud-native Umgebungen.

München, 30.6.2026. Container-Technologien sind in deutschen Unternehmen längst zum Standard geworden: Laut aktuellen Marktdaten nutzen 79 % aller Unternehmen Kubernetes für das Management ihrer Cloud-Anwendungen, und Gartner prognostiziert, dass bis 2027 mehr als 90 % der Unternehmen weltweit containerisierte Anwendungen in der Produktion betreiben werden. Gleichzeitig warnen 42 % der DevOps- und Sicherheitsfachleute, dass Sicherheit die größte Herausforderung bei Kubernetes-Implementierungen bleibt — ein Befund, der sich in Deutschland spiegelt, wo 85 % der Unternehmen laut Studien ein „digitales Chaos“ durch wachsende IT-Komplexität fürchten.

Das zentrale Problem: Während klassische Schwachstellenscanner bekannte CVEs in Container-Images erkennen, bleibt eine zweite Risikoklasse weitgehend unsichtbar — Software, die das Ende ihres Support-Lebenszyklus (End-of-Life/End-of-Support) erreicht hat und keine Sicherheitsupdates mehr erhält. Ein veraltetes Basis-Image, ein nicht mehr gepflegtes Runtime-Framework oder eine abgekündigte Bibliothek, die in Tausenden von Containern weiterläuft: Diese Komponenten stellen kein theoretisches Risiko dar, sondern eine aktive Angriffsfläche.

DAS PROBLEM: LIFECYCLE-BLINDSPOT IN CLOUD-NATIVE UMGEBUNGEN

Traditionelle Asset-Management-Modelle wurden für Server und Endgeräte entwickelt. In modernen Cloud-native-Umgebungen jedoch steckt kritische Software tief in Container-Images — Betriebssystem-Pakete, Language Runtimes, Open-Source-Bibliotheken — und bewegt sich kontinuierlich durch CI/CD-Pipelines in die Produktion, oft schneller als Governance-Prozesse es nachverfolgen können.

Ein veraltetes Basis-Image wird nicht in einem einzelnen Workload deployed — es wird wiederverwendet und repliziert sich über Cluster, Namespaces und Teams hinweg. Mit dem Aufkommen KI-gestützter Angriffswerkzeuge verschärft sich die Lage: Frontier-AI kann Softwareinventare automatisiert analysieren, abgekündigte Komponenten identifizieren und diese Schwachstellen mit anderen Einfallsvektoren korrelieren, bevor Sicherheitsteams überhaupt Kenntnis davon erhalten.

EOL/EOS-ERKENNUNG FÜR CONTAINER UND KUBERNETES

Qualys erweitert die EOL/EOS-Softwareerkennung seiner CSAM-Plattform (CyberSecurity Asset Management) auf Container-Images und Kubernetes-Workloads. Damit schließt sich eine der letzten großen Lücken im Software-Lifecycle-Management: Sicherheitsteams erhalten Sichtbarkeit darüber, welche abgekündigten Betriebssysteme, Runtimes, Pakete und Bibliotheken in Container-Images stecken, wo diese Images aktiv im Einsatz sind, und welche Workloads aufgrund von Deployment-Kontext und Geschäftskritikalität priorisiert werden müssen. Die Erkennung ergänzt — nicht ersetzt — klassisches Image Scanning: Während CVE-Scans bekannte Schwachstellen heute identifizieren, deckt die Lifecycle-Erkennung auf, welche Komponenten morgen ungepatcht bleiben werden.

RELEVANZ FÜR DEUTSCHE UNTERNEHMEN

Für deutsche Unternehmen in regulierten Branchen — Finanzdienstleistungen, Gesundheitswesen, kritische Infrastrukturen — ist der Nachweis und die Behebung von Software ohne aktiven Herstellersupport längst nicht mehr nur eine technische Frage, sondern eine handfeste Compliance-Anforderung. NIS2, DORA und das IT-Sicherheitsgesetz 2.0 verlangen nachweisbares Lifecycle-Management über die gesamte IT-Landschaft — einschließlich container-basierter Anwendungen. Wer Container-Umgebungen aus dem Software-Inventar ausblendet, riskiert nicht nur ungepatchte Angriffsflächen, sondern auch Audit-Lücken.

Quelle: Beitrag von Abhinav Mishra, Qualys Director of Product, Cloud & Container Security, Vollständiger Artikel: blog.qualys.com/product-tech/2026/05/28/eol-eos-software-detection-containers-kubernetes