Cybersicherheit: CERT-In setzt 12-Stunden-Frist für kritische Lücken

CERT-In verschärft die Regeln drastisch – KI-basierte Angriffe machen schnelleres Handeln nötig.

Die indische Cybersicherheitsbehörde CERT-In hat einen 38-seitigen Maßnahmenkatalog vorgelegt, der für bestimmte Sicherheitslücken eine beispiellos kurze Frist zur Behebung vorsieht. Die am 25. Mai 2026 veröffentlichten Richtlinien reagieren auf eine besorgniserregende Entwicklung: Künstliche Intelligenz verkürzt die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer aktiven Ausnutzung durch Angreifer drastisch.

Abgestufte Fristen für unterschiedliche Risikostufen

Im Zentrum der neuen Vorgaben stehen sogenannte „Kronjuwel"-Systeme und die gesamte internetfähige Infrastruktur. Betreiber müssen bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerabilities, KEVs) auf Systemen mit Internetzugang innerhalb von zwölf Stunden schließen. Für weitere Sicherheitsprobleme gilt ein abgestuftes System:

• Kritische externe Lücken: 24 Stunden
• Kritische interne Schwachstellen: drei Tage
• Hochriskante Sicherheitslücken: fünf Tage

Neue KI-Gesetze und rasant wachsende Cyberrisiken stellen Unternehmen vor völlig neue Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Infrastruktur langfristig abzusichern. Gratis-Report: Cyberrisiken und neue Gesetze verstehen

Die Begründung der Behörde ist eindeutig: KI-gestützte Werkzeuge haben das Zeitfenster für Angreifer massiv verkleinert. Lag der durchschnittliche Abstand zwischen der Veröffentlichung einer Schwachstelle (CVE-Eintrag) und ihrer aktiven Ausnutzung 2024 noch bei 56 Tagen, sind es 2026 nur noch rund zehn Stunden. Kann ein permanenter Patch nicht innerhalb dieser Fristen eingespielt werden, erwarten die Behörden zumindest temporäre Schutzmaßnahmen – etwa Web Application Firewalls (WAF), Netzisolierung oder Zugriffsbeschränkungen.

Die globale Bedrohungslage verschärft sich

Der indische Vorstoß fällt in eine Zeit, in der die Sicherheitslage weltweit eskaliert. Der Verizon Data Breach Investigations Report 2026 zeigt: Die Ausnutzung von Schwachstellen hat gestohlene Zugangsdaten als häufigsten Einfallsvektor für Angreifer überholt und ist nun für 31 Prozent aller Vorfälle verantwortlich. Die Analyse von 31.000 Sicherheitsvorfällen und 22.000 bestätigten Datenlecks offenbart ein Paradox: Während die Angriffe schneller werden, steigt die durchschnittliche Zeit bis zur Behebung einer Schwachstelle auf 43 Tage – ein Anstieg um elf Tage im Vergleich zu früheren Zyklen.

Dennoch zeigt die Forschung von VulnCheck aus dem Jahr 2026, dass nur ein Prozent der 2025 gemeldeten Schwachstellen tatsächlich in freier Wildbahn ausgenutzt wurden. Experten fordern daher eine stärker kontextbasierte Priorisierung anstelle einer bloßen Orientierung an hohen CVSS-Werten.

USA und Europa ziehen nach

Auch die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) denkt über eine Verschärfung nach – ein Dreitage-Standard für KEVs steht dort derzeit zur Debatte. Am 21. Mai 2026 modernisierte CISA zudem ihre Meldeverfahren und führte ein neues Online-Formular für externe Forscher ein, um Schwachstellen für den KEV-Katalog zu nominieren. Jüngster Neuzugang ist CVE-2026-34926, ein Path-Traversal-Fehler in Trend Micro Apex One. Obwohl Trend Micro bereits im April Patches auslieferte, setzte CISA den Bundesbehörden eine Frist bis zum 4. Juni 2026, um ihre lokalen Systeme zu sichern.

Deutschland verschärft KRITIS-Regeln

In der Bundesrepublik zieht die regulatorische Schraube für kritische Infrastrukturen weiter an. Das KRITIS-Dachgesetz trat am 16. März 2026 in Kraft. Rund 1.300 Betreiber müssen sich bis zum 17. Juli 2026 bei den Bundesbehörden registrieren. Das Bundeskabinett hat zudem einen Gesetzentwurf zur aktiven Cyberabwehr verabschiedet, der dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundespolizeibehörden weitreichende Befugnisse einräumt – etwa die Umleitung von Datenverkehr oder die Abschaltung kompromittierter IT-Systeme zur Abwehr großflächiger Angriffe.

Die deutsche Umsetzung der NIS2-Richtlinie, seit dem 6. Dezember 2025 in Kraft, schreibt „angemessene und verhältnismäßige" Sicherheitsmaßnahmen vor, aber keine explizite 12-Stunden-Patch-Pflicht. Allerdings haben sich bislang nur 11.500 der erwarteten 29.500 betroffenen Unternehmen registriert – eine aus Sicht der Behörden alarmierend niedrige Zahl.

Da immer mehr Unternehmen Opfer von gezielten Cyberangriffen werden, ist proaktives Handeln und die Kenntnis aktueller Trends der einzige wirksame Schutz. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und sich effektiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber Security Trends jetzt herunterladen

Technische Schutzmechanismen und souveräne Lösungen

Um den steigenden Anforderungen gerecht zu werden, bringen Technologieanbieter zunehmend automatisierte Abwehrmechanismen auf den Markt. Microsoft testet derzeit eine Vorschaufunktion für Microsoft Defender for Endpoint, die kompromittierte Arbeitsstationen automatisch vom Netzwerk isolieren kann – bei gleichzeitiger Verbindung zu den Sicherheitsdiensten.

Dass schnelle Reaktionen wirken, zeigt ein aktuelles Beispiel: Im Frühjahr 2026 schützte InMotion Hosting rund 145.000 Kundenwebsites vor einer kritischen cPanel-Sicherheitslücke, indem das Unternehmen innerhalb weniger Stunden nach der Offenlegung der Schwachstelle am 28. April 2026 die betroffenen Ports an der Netzwerkgrenze blockierte.

Die Bundesregierung setzt zudem auf souveräne Technologielösungen. Deutsche Telekom und SAP erhielten den Zuschlag für den Aufbau einer souveränen KI-Plattform für die öffentliche Verwaltung. Das Projekt, das den KI-Assistenten KIPITZ für Beamte umfasst, soll als Fundament der digitalen Infrastruktur des Landes dienen.

de | wissenschaft | 69430367 |