Sicherheitslücke? Nein – ein strukturelles Informationsproblem

Die aktuellen Warnungen von CISA und Amazon zu aktiven Angriffen auf Cisco FMC, Microsoft SharePoint und Zimbra wirken auf den ersten Blick wie ein routinierter Vorgang in der IT-Sicherheit: Schwachstellen werden identifiziert, bewertet, veröffentlicht – und anschließend gepatcht.

Diese Sicht ist bequem. Und sie ist falsch.

Denn sie blendet den entscheidenden Teil aus: den Zeitraum, in dem Angriffe bereits laufen, ohne dass jemand davon weiß.

Wenn Angriffe vor der Warnung beginnen

Besonders deutlich wird dieses Problem am Beispiel von Cisco.

Die Schwachstelle im Secure Firewall Management Center (CVE-2026-20131, CVSS 10) ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code mit Root-Rechten auszuführen. Betroffen ist damit nicht irgendein System, sondern eine zentrale Instanz zur Steuerung und Überwachung von Sicherheitsinfrastruktur.

Nach Erkenntnissen von Amazon wurde diese Lücke bereits seit dem 26. Januar 2026 aktiv ausgenutzt. Öffentlich gemacht und mit einem Patch versehen wurde sie jedoch erst Anfang März.

Dazwischen liegt ein Zeitraum von mehreren Wochen, in dem Systeme kompromittiert werden konnten, ohne dass Betreiber überhaupt wussten, dass ein Risiko existiert.

Dieser Zeitraum ist kein Randdetail. Er ist der kritischste Moment im gesamten Lebenszyklus einer Sicherheitslücke.

SharePoint und Zimbra: Unterschiedliche Technik, gleiche Struktur

Auch die weiteren Fälle bestätigen dieses Muster.

Bei Microsoft SharePoint wurde eine kritische Schwachstelle (CVE-2026-20963, CVSS 9.8) beobachtet, die auf unsicherer Deserialisierung basiert und es authentifizierten Angreifern erlaubt, Schadcode auszuführen. Microsoft hat die Lücke zwar im Januar geschlossen, die Bewertung jedoch erst später auf „kritisch" angehoben – auch hier entsteht ein verzerrtes Risikobild über die Zeit.

Zimbra wiederum ist über eine Cross-Site-Scripting-Lücke (CVE-2025-66376, CVSS 7.2) angreifbar, die sich über HTML-E-Mails ausnutzen lässt. Technisch weniger komplex, aber praktisch hochwirksam, weil E-Mail nach wie vor ein zentraler Angriffsvektor ist.

Die Gemeinsamkeit dieser Fälle liegt nicht in der Technik, sondern in ihrer Struktur: Schwachstellen existieren, bevor sie sichtbar werden – und werden in dieser Phase bereits aktiv ausgenutzt.

Die unsichtbare Phase der IT-Sicherheit

In der klassischen Darstellung von IT-Sicherheit beginnt das Problem mit der Veröffentlichung einer Schwachstelle.

In der Realität beginnt es deutlich früher.

Zwischen erstem Exploit und öffentlicher Bekanntmachung entsteht ein unsichtbares Zeitfenster, in dem:

• Angriffe stattfinden
• Systeme kompromittiert werden
• und Verteidigungsmaßnahmen faktisch unmöglich sind

Dieses Zeitfenster ist kein Ausnahmefall, sondern systemimmanent.

Denn die Informationen über Schwachstellen liegen zunächst ausschließlich bei wenigen Akteuren: den Herstellern, Sicherheitsforschern – und oft auch den Angreifern.

Monokultur verstärkt das Risiko

Dieses Problem entfaltet seine volle Wirkung erst im Zusammenspiel mit der Struktur moderner IT-Landschaften.

Cisco, Microsoft und Zimbra stehen exemplarisch für eine hochkonzentrierte Infrastruktur, in der wenige Anbieter zentrale Systeme für tausende Organisationen bereitstellen.

Diese Konzentration hat eine direkte Konsequenz: Eine einzelne Schwachstelle kann sofort eine große Zahl von Systemen betreffen.

Angriffe skalieren dadurch nicht nur technisch, sondern auch strukturell. Ein erfolgreicher Exploit lässt sich reproduzieren, automatisieren und breit ausrollen.

Was als isolierte Schwachstelle beginnt, wird so zu einem systemischen Risiko.

Blackbox-Systeme und die Grenzen der Kontrolle

Hinzu kommt ein Faktor, der in vielen Sicherheitsdebatten ausgeklammert wird: die fehlende Transparenz proprietärer Software.

Weder Betreiber noch staatliche Stellen haben vollständigen Einblick in die Funktionsweise dieser Systeme. Sicherheitsprüfungen sind eingeschränkt, unabhängige Analysen oft nur indirekt möglich.

Damit verschiebt sich ein zentraler Teil der Sicherheitsbewertung an die Anbieter selbst.

Sie definieren:

• wann eine Schwachstelle kommuniziert wird
• wie kritisch sie eingestuft wird
• welche Informationen verfügbar sind

Diese Konstellation erzeugt eine strukturelle Abhängigkeit, die sich nicht durch operative Maßnahmen auflösen lässt.

Warum klassische Sicherheitsmaßnahmen zu kurz greifen

Die gängigen Empfehlungen – schneller patchen, besser überwachen, Prozesse optimieren – setzen alle an einem Punkt an, der bereits zu spät ist.

Sie adressieren die Phase nach der Veröffentlichung.

Die entscheidende Phase liegt davor: in dem Moment, in dem Angriffe bereits stattfinden, aber noch keine Informationen vorliegen.

In dieser Situation sind selbst hochprofessionelle IT-Organisationen reaktiv – nicht, weil sie schlecht arbeiten, sondern weil ihnen die Grundlage für proaktives Handeln fehlt.

Digitale Souveränität als sicherheitstechnische Voraussetzung

Die zentrale Erkenntnis aus diesen Fällen ist unbequem, aber eindeutig:

IT-Sicherheit ist nicht nur eine technische Disziplin. Sie ist eine Frage von Kontrolle über Informationen und Systeme.

Solange kritische Infrastruktur auf Plattformen basiert,

• deren interne Logik nicht überprüfbar ist
• deren Schwachstellen verzögert sichtbar werden
• und deren Informationsflüsse extern gesteuert werden

bleibt Sicherheit strukturell im Nachteil.

Digitale Souveränität ist damit keine abstrakte politische Forderung, sondern eine konkrete Voraussetzung für wirksame IT-Sicherheit.

Denn ohne die Fähigkeit, Risiken selbst zu erkennen, zu bewerten und zu priorisieren, bleibt jede Sicherheitsstrategie reaktiv.

Und Reaktion beginnt immer zu spät.