Cybersecurity
April 29, 2026
Julia Wolf
Am 23. April 2026 hat die CISA ihren KEV-Katalog erneut erweitert – acht neue Schwachstellen, alle aktiv ausgenutzt, alle brisant. Der Clou: Mindestens drei davon betreffen Systeme, die in deutschen Behörden und Mittelstandsnetzen fast standardmäßig laufen. Wer jetzt nicht handelt, lädt Angreifer ein.
Der Known Exploited Vulnerabilities-Katalog der CISA ist keine akademische Sammlung. Kein Museum für historische Fehler. Jeder Eintrag bedeutet: Diese Schwachstelle wird gerade, in diesem Moment, von echten Angreifern gegen echte Systeme eingesetzt. Die CISA dokumentiert ausschließlich Sicherheitslücken, für die ein aktiver Exploit-Nachweis vorliegt. Plot Twist: Das klingt nach einer nützlichen Filterfunktion – ist es auch. Wer KEV ignoriert, ignoriert aktive Angriffe.
Seit dem Start im November 2021 mit 287 Einträgen ist der Katalog auf inzwischen über 1.484 Known Exploited Vulnerabilities angewachsen. Allein 2025 kamen 245 neue Einträge hinzu – ein Wachstum von 20 Prozent gegenüber dem Vorjahr. Zum Vergleich: 2023 waren es 187, 2024 immerhin 185. Der Sprung auf 245 ist kein Zufall. Er spiegelt eine verschärfte Bedrohungslage wider, in der Ransomware-Gruppen und staatlich gesponserte APT-Akteure gleichermaßen aktiv durch bekannte Lücken scannen.
Die Binding Operational Directive 22-01 (BOD 22-01) macht den Katalog für US-Bundesbehörden rechtsverbindlich. Deadlines. Nachweispflichten. Konsequenzen bei Nichteinhaltung. Für europäische und deutsche Organisationen gilt das formal nicht – de facto aber schon, denn die Bedrohungsakteure machen an keiner Landesgrenze halt. Wer in einer KEV-Lücke steckt, ist angreifbar, egal ob in Sacramento oder Stuttgart.
Das Pikante daran: Viele der neuesten Einträge betreffen keine exotischen Nischenprodukte. Microsoft, Google, Fortinet, Ivanti, SAP, SonicWall – das ist die Produktliste mittelständischer IT-Abteilungen in Deutschland. Die acht am 23. April hinzugefügten Schwachstellen folgen diesem Muster konsequent.
Acht neue Known Exploited Vulnerabilities auf einmal – das ist keine Routineaktualisierung. Das ist ein Signal. CISA bündelt solche Updates bewusst, wenn Exploit-Aktivität gehäuft nachgewiesen wird. Wer die acht Lücken analysiert, erkennt ein klares Muster: Remote Code Execution dominiert, Privilege Escalation folgt dicht dahinter, und mindestens zwei Einträge haben eine direkte Ransomware-Verknüpfung.
Zwei der Schwachstellen betreffen Google Chrome respektive den Chromium-Unterbau: CVE-2026-3909 (Out-of-Bounds Write in der Skia-Grafikbibliothek, CVSS 8.8) und CVE-2026-3910 (V8-JavaScript-Engine, ebenfalls CVSS 8.8). Beide ermöglichen Remote Code Execution – ausgelöst durch eine manipulierte Webseite, die ein Nutzer besucht. Kein zusätzliches Klicken auf verdächtige Anhänge erforderlich. Einmal falsche URL, einmal fremder Code auf dem Rechner. Wenig überraschend, dass Chrome-Lücken im KEV-Katalog Dauergäste sind.
Dazu kommen Schwachstellen in Fortinet-Produkten, die im deutschen Markt weit verbreitet sind. OS-Command-Injection-Lücken in Fortinet-Appliances sind seit Jahren ein Lieblingsvektor staatlicher Angreifer – chinesische APT-Gruppen nutzen sie bevorzugt für initialen Zugang. Der Eintrag in den KEV-Katalog bestätigt: Die Ausnutzung ist keine Theorie mehr.
Besonders pikant sind zwei ältere CVEs aus dem Jahr 2024, die erst jetzt als Known Exploited Vulnerabilities eingestuft werden. Das zeigt ein Muster, das Sicherheitsanalysten von SecurityWeek dokumentiert haben: CISA wartet auf Exploit-Nachweis, nicht auf Patch-Verfügbarkeit. Eine Lücke kann monatelang bekannt sein, ohne im KEV-Katalog zu landen – bis jemand aktiv angreift. Das macht den Katalog präzise. Und gefährlich für alle, die ihn nicht verfolgen. Semantisch passt dazu unser Hintergrund IT-Security-Prognosen für 2026.
Ein Blick auf die Typen der neu aufgenommenen Known Exploited Vulnerabilities liefert mehr Erkenntnisse als jede CVE-Nummer allein. OS-Command-Injection führt die Liste an. Deserialisierung nicht vertrauenswürdiger Daten folgt. Path Traversal, Use-after-Free, Out-of-Bounds Write, Cross-Site Scripting, Code Injection, Improper Authentication – das sind die acht häufigsten Schwachstellentypen im aktuellen KEV-Wachstum.
Was diese Typen gemeinsam haben: Sie sind keine Zero-Days. Sie sind bekannte Angriffsmuster, die seit Jahren in Sicherheitsstandards wie dem OWASP Top 10 oder dem CWE-Katalog stehen. Der Clou liegt darin, dass die Produkte, in denen sie stecken, trotzdem monatelang oder sogar jahrelang ungepatcht bleiben. Das Muster ist immer dasselbe: CVE wird veröffentlicht, Hersteller liefert Patch, Administratoren testen, Patch wird verzögert ausgerollt, Angreifer scannen inzwischen systematisch.
Use-after-Free-Lücken – wie sie in der V8-Engine des Chrome-Browsers vorkommen – sind technisch anspruchsvoll, aber für gut ausgestattete Angreifer kein Problem mehr. Die entsprechenden Exploits kursieren in professionellen Crimeware-Kits und staatlichen Angriffstools gleichermaßen. Für Angreifer ist das ein Menü; für Verteidiger ist es ein Wettlauf gegen die Uhr.
Meine persönliche Einschätzung: Die Häufung von Deserialisierungs-Schwachstellen in den neuen KEV-Einträgen deutet auf ein systematisches Problem in der Java- und .NET-Ökosystem-Welt hin. Wer Enterprise-Anwendungen betreibt, die auf diesen Stacks basieren, sollte jetzt prüfen, nicht nächste Woche. Deserialisierungsangriffe sind leise, oft loglos und hinterlassen häufig keine sofort sichtbaren Spuren.
CISA ist eine US-Behörde. BOD 22-01 gilt für US-Bundesbehörden. Soweit der formale Rahmen. Die Realität sieht anders aus. Kritische Infrastrukturen – Energie, Wasser, Telekommunikation, Gesundheit, Verkehr – sind global vernetzt. Ein Angreifer, der eine Schwachstelle in einem Steuerungssystem eines deutschen Energieversorgers ausnutzt, nutzt dieselben Exploits, die CISA in ihrem KEV-Katalog dokumentiert. Semantisch passt dazu unser Hintergrund Cybersicherheit in KMU: Alarmierende Sicherheitslücke zwischen Selbstvertrauen und Realität.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgt den CISA-Katalog sehr genau. Nicht weil es muss, sondern weil die Qualität der Daten international anerkannt ist. Known Exploited Vulnerabilities aus dem CISA-Katalog tauchen regelmäßig in BSI-Warnmeldungen auf – oft mit wenigen Tagen Verzögerung. Wer den CISA-Katalog direkt verfolgt, ist früher dran.
Für Betreiber kritischer Infrastrukturen in Deutschland gilt seit der NIS2-Richtlinie verschärfte Sorgfaltspflicht beim Umgang mit bekannten Sicherheitslücken. Known Exploited Vulnerabilities fallen eindeutig in die Kategorie „bekannte, aktiv ausgenutzte Risiken“. Wer nachweisen kann, dass er den CISA-Katalog nicht in sein Patch-Management integriert hat, dürfte bei einer Prüfung durch nationale Behörden schwach dastehen.
Der Clou: Die acht neuen Einträge vom 23. April betreffen Produkte, die in deutschen KRITIS-Umgebungen täglich eingesetzt werden. Google Chrome läuft auf Arbeitsplatzrechnern in Kraftwerken. Fortinet-Appliances schützen Netzwerkperimeter von Wasserwerken. SAP-Systeme verwalten kritische Lieferketten. Das ist keine abstrakte Bedrohungstheorie – das ist das tatsächliche Angriffsszenario.
230 der über 1.484 Known Exploited Vulnerabilities im CISA-Katalog haben eine nachgewiesene Ransomware-Verknüpfung. Das bedeutet: Diese Lücken wurden aktiv von Ransomware-Gruppen genutzt, um initialen Zugang zu erlangen, Privilegien zu eskalieren oder sich lateral durch Netzwerke zu bewegen. Acht der 245 im Jahr 2025 hinzugefügten Einträge sind direkt mit Ransomware-Operationen verknüpft.
Die Statistik ist brisant, weil sie zeigt, was Ransomware-Gruppen wirklich antreibt: keine Zero-Days, keine hochentwickelten staatlichen Tools. Bekannte Schwachstellen. CVEs mit verfügbaren Patches. Lücken, die seit Monaten auf der Prioritätsliste von IT-Abteilungen stehen – nur eben weiter hinten.
Laut Analyse von Securin nutzen über 50 Prozent der APT- und Ransomware-assoziierten Known Exploited Vulnerabilities mehrere Angreifergruppen gleichzeitig. Das ist kein Zufall: Wenn eine Lücke in einem KEV landet und bereits von einer Gruppe genutzt wird, werden andere Gruppen schnell darauf aufmerksam. Der KEV-Katalog ist für Verteidiger ein Warnsignal – und für Angreifer eine öffentlich zugängliche Ressource, die zeigt, welche Exploits bereits funktionieren.
Besonders auffällig: acht der im Katalog gelisteten Known Exploited Vulnerabilities werden von mehr als zehn verschiedenen Ransomware- und APT-Gruppen gleichzeitig ausgenutzt. Das sind die begehrtesten Angriffsvektoren im aktuellen Bedrohungslandschaft. Wer diese Lücken in seiner Umgebung hat und sie nicht schließt, betreibt faktisch ein offenes Eingangstor für einen erheblichen Teil des organisierten Cyberkriminalität.
240 Einträge im KEV-Katalog haben eine nachgewiesene Verbindung zu Advanced Persistent Threat-Gruppen. Über 50 Prozent davon sind chinesischen Akteuren zuzuordnen. APT29/Nobelium – die russische Gruppe, die hinter SolarWinds steckte – kommt auf 53 KEV-assoziierte Einträge. Das sind keine Randnotizen; das ist das Lagebild aktiver staatlicher Cyberspionage.
Für deutsche Unternehmen und Behörden ist das relevant, weil die Ziele chinesischer APT-Gruppen keineswegs auf US-amerikanische Systeme beschränkt sind. Wirtschaftsspionage, Angriffe auf Technologieunternehmen, Infiltration von Forschungseinrichtungen – die Ziele sind global. Und die bevorzugten Angriffsvektoren dieser Gruppen? Netzwerkgeräte. VPN-Appliances. Firewall-Systeme. Genau die Produktkategorien, die in den aktuellen KEV-Erweiterungen prominent vertreten sind.
Plot Twist: Staatliche Angreifer kaufen keine Zero-Days, wenn bekannte Lücken verfügbar sind. Das ist wirtschaftlich ineffizient. Known Exploited Vulnerabilities sind für APT-Gruppen attraktiv, weil sie funktionieren, weit verbreitet sind und oft monatelang ungepatcht bleiben. Der Unterschied zwischen einem staatlichen Angreifer und einer Ransomware-Gruppe liegt nicht im bevorzugten Angriffsvektor – der liegt in der Absicht und der Geduld.
Für IT-Sicherheitsverantwortliche bedeutet das eine unangenehme Wahrheit: Wer seine Systeme gegen Ransomware-Gruppen absichert, sichert sie damit gleichzeitig gegen den Großteil staatlicher Angreifer ab. Die Angriffsvektoren überlappen erheblich. Known Exploited Vulnerabilities zu schließen ist kein spezifisches Maßnahmenpaket gegen einen bestimmten Angreifertyp – es ist Basisinfrastruktursicherheit.
Hier liegt die eigentliche Brisanz. Wenn eine Schwachstelle in den KEV-Katalog aufgenommen wird, bedeutet das per Definition, dass sie bereits aktiv ausgenutzt wird. Die Frage ist nicht, ob Angreifer tätig werden – sie sind es bereits. Die Frage ist, wie lange Verteidiger noch haben.
Analysen zeigen: Nach der öffentlichen Aufnahme einer Lücke in den KEV-Katalog steigt die Scan-Aktivität für diese Schwachstelle messbar an. Andere Angreifergruppen werden auf den Exploit aufmerksam. Exploit-Code verbreitet sich in Foren und Crimeware-Kits. Was vorher möglicherweise eine gezielte Angriffskampagne war, wird zu einem massenhaften opportunistischen Scan. Der KEV-Eintrag ist damit gleichzeitig Warnung für Verteidiger und Startschuss für weitere Angreifer.
Die CISA-Deadlines für BOD 22-01 variieren: Bei besonders kritischen Lücken sind es 15 Tage, standardmäßig 30 Tage. Das klingt nach ausreichend Zeit. Ist es nicht. In Umgebungen mit komplexen Change-Management-Prozessen, Test-Zyklen und Produktionssystemen, die nicht einfach neu gestartet werden können, sind 30 Tage extrem knapp. Für kritische Infrastrukturbetreiber, die Patches erst in Wartungsfenster einplanen müssen, ist die Deadline oft kaum einzuhalten.
Was konkret hilft: einen festen Prozess für KEV-Benachrichtigungen etablieren. CISA bietet RSS-Feeds und E-Mail-Alerts. Sobald eine neue Schwachstelle im Katalog erscheint, sollte innerhalb von 24 Stunden geprüft sein, ob die betroffenen Produkte im eigenen Inventar vorhanden sind. Das ist keine Luxusforderung – das ist Minimum-Viability für Patch-Management in 2026.
Microsoft-Produkte machen traditionell den größten Anteil der KEV-Einträge aus. Das ist keine Kritik an Microsoft – es ist eine Folge der Marktdominanz. Wo die meisten Systeme laufen, gibt es die meisten Angreifer. Windows-Server, Exchange, SharePoint, Teams – diese Produkte sind in deutschen Behörden und Unternehmen allgegenwärtig. Known Exploited Vulnerabilities in diesen Systemen sind damit per se kritisch für den deutschen Markt.
Google Chrome und Chromium-basierte Browser sind der zweite große Schwerpunkt. Edge, der Unternehmensstandard in vielen deutschen Organisationen, basiert auf Chromium. CVE-2026-3909 und CVE-2026-3910 betreffen damit nicht nur Chrome-Nutzer im engeren Sinne – sie betreffen praktisch jeden Browser-Nutzer in einer modernen IT-Umgebung. Der Browser ist das neue Betriebssystem; wer ihn nicht patcht, gibt Angreifern die Tastatur.
Fortinet-Produkte – FortiGate, FortiManager, FortiAnalyzer – sind in deutschen Mittelstandsnetzen weit verbreitet. OS-Command-Injection-Lücken in diesen Systemen sind besonders gefährlich, weil sie oft ungepatchte Netzwerkgeräte betreffen, die selten in reguläre Patch-Zyklen eingebunden sind. Das Gerät läuft, das Gerät funktioniert – warum updaten? Weil es im KEV-Katalog steht.
Ivanti-Produkte – VPN-Lösungen, Endpoint-Manager – haben in den letzten zwei Jahren eine regelrechte Exploit-Welle erlebt. Mehrere kritische Known Exploited Vulnerabilities in Ivanti-Systemen wurden von chinesischen APT-Gruppen aktiv genutzt. Wer Ivanti im Netz hat und den Patch-Stand nicht täglich prüft, lebt gefährlich. Das ist keine Übertreibung; das ist der dokumentierte Zustand.
Große Konzerne haben Security Operations Center. Threat-Intelligence-Teams. Vertragliche Patch-SLAs. Der Mittelstand hat oft einen IT-Verantwortlichen, der gleichzeitig Netzwerkadmin, Helpdesk und strategischer CISO ist. Das ist keine Kritik – das ist die Realität in Tausenden deutschen Unternehmen mit 50 bis 500 Mitarbeitern.
Für diesen Mittelstand sind Known Exploited Vulnerabilities eine besondere Gefahr: Nicht weil die Systeme schwächer wären, sondern weil die Kapazität zur kontinuierlichen Beobachtung des CISA-Katalogs fehlt. Wer den KEV-Katalog nicht täglich im Blick hat, erfährt von kritischen Schwachstellen oft erst dann, wenn bereits ein Sicherheitsvorfall eingetreten ist. Dann ist die Debatte über Patch-Prioritäten obsolet.
Der öffentliche Sektor bringt zusätzliche Herausforderungen: Langwierige Vergabeprozesse, zentrale Beschaffungsstellen, Abhängigkeit von IT-Dienstleistern, die selbst unter Patch-Druck stehen. Behörden, die standardisierte Software-Stacks betreiben, sind bei Microsoft-KEVs automatisch betroffen. Eine KEV-Lücke in einem Windows-System bedeutet: alle Windows-Systeme, in allen Ämtern, überall gleichzeitig angreifbar. Das ist keine exponentielle Ausweitung des Risikos – das ist das Risiko.
Ein konkretes Mini-Szenario: Eine Gemeindeverwaltung betreibt 200 Arbeitsplätze mit Chrome-Browsern. CVE-2026-3909 landet im KEV-Katalog. Ein Mitarbeiter ruft eine kompromittierte Website auf – möglicherweise eine legitime Seite, die durch einen Supply-Chain-Angriff manipuliert wurde. Remote Code Execution. Angreifer haben Zugriff. Der Browser-Patch lag seit zwei Wochen bereit. Er wurde nicht ausgerollt, weil kein Wartungsfenster eingeplant war. Ende der Geschichte, Beginn eines Incidents.
Es gibt keine elegante Lösung. Patch-Management ist operative Arbeit. Systematisch, wiederholbar, dokumentiert. Hier ist, was konkret zu tun ist – nicht irgendwann, sondern jetzt.
CISA stellt den KEV-Katalog als maschinenlesbare JSON-Datei bereit. Es gibt RSS-Feeds, API-Endpunkte und E-Mail-Benachrichtigungen. Wählen Sie einen Kanal, der zu Ihrem Monitoring-Stack passt, und richten Sie Alerts ein. Ziel: Jede neue KEV-Aufnahme sollte innerhalb von vier Stunden in Ihrem Ticketing-System landen. Nicht am nächsten Morgen. Nicht nach dem Wochenende.
Sie können keine Schwachstelle patchen, die Sie nicht kennen. Ein vollständiges Software-Asset-Inventar ist Voraussetzung für jedes effektive Patch-Management. Bekannte Exploited Vulnerabilities-Einträge sollten automatisch gegen Ihr Inventar abgeglichen werden. Tools wie Tenable, Qualys oder OpenVAS können diesen Abgleich automatisieren. Wer kein Vulnerability-Scanner-Budget hat: der manuelle Abgleich gegen eine CISA-KEV-Liste ist besser als nichts.
CVSS-Scores sind nützlich, aber unvollständig. Eine Lücke mit CVSS 7.5, die im KEV-Katalog steht, ist gefährlicher als eine CVSS-9.8-Lücke ohne Exploit-Nachweis. Known Exploited Vulnerabilities zuerst patchen – das ist die einfachste und effektivste Priorisierungsstrategie, die aktuell verfügbar ist. Kein Komitee, keine lange Diskussion. KEV bedeutet: sofort.
Chrome und Edge aktualisieren sich idealerweise automatisch. In vielen Unternehmensumgebungen ist Auto-Update aus Stabilitätsgründen deaktiviert. Das ist verständlich – und angesichts der Chrome-KEVs ein ernstes Problem. Prüfen Sie, ob eine verwaltete Browser-Update-Lösung (z. B. über Intune, SCCM oder dedizierte Tools) Browser-Patches in einen schnelleren Zyklus einbinden kann. Sieben Tage sollten für Browser-KEVs das Maximum sein.
Fortinet, Ivanti, SonicWall, Citrix/NetScaler – diese Geräte laufen oft jahrelang ohne Firmware-Update. Der Grund ist verständlich: Updates erfordern Neustarts, Neustarts erfordern Wartungsfenster, Wartungsfenster erfordern Planungsvorlauf. Dennoch: Known Exploited Vulnerabilities in Netzwerkgeräten sind für Angreifer Gold wert, weil diese Geräte direkt am Perimeter sitzen. Monatliche Firmware-Checks für alle Netzwerkgeräte sind kein Luxus; sie sind Minimum-Standard.
Für KRITIS-Betreiber und NIS2-pflichtige Organisationen ist die Dokumentation von Patch-Aktivitäten kein bürokratischer Aufwand – sie ist juristisch relevant. Halten Sie fest: Wann haben Sie von der KEV erfahren? Wann haben Sie das betroffene System in Ihrem Inventar identifiziert? Wann wurde der Patch ausgerollt? Wann wurde der Abschluss verifiziert? Diese vier Datenpunkte pro KEV-Eintrag sind die Basis jeder glaubwürdigen Compliance-Dokumentation.
Die NIS2-Richtlinie, seit Oktober 2024 in nationales Recht umzusetzen, definiert Mindeststandards für die Cybersicherheit kritischer und wichtiger Einrichtungen in der EU. Einer dieser Standards ist der risikoorientierte Umgang mit bekannten Schwachstellen. Die NIS2 nennt keine Produktlisten und keine CVE-Nummern – aber sie ist eindeutig: Bekannte, aktiv ausgenutzte Schwachstellen müssen priorisiert behandelt werden.
Der CISA KEV-Katalog ist damit das funktionalste Werkzeug für NIS2-Compliance im Bereich Schwachstellenmanagement, das aktuell verfügbar ist. Er ist kostenlos, tagesaktuell, maschinenlesbar und von einer Behörde kuratiert, die international als Referenz gilt. Wer NIS2-Compliance nachweisen muss und den KEV-Katalog nicht in sein Schwachstellenmanagement integriert hat, erklärt das Erklärungsbedarfigen.
Das Pikante daran: Die deutsche NIS2-Umsetzung (NIS2UmsuCG) sieht Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für schwere Verstöße vor. Ein dokumentierter Fall, in dem eine Organisation eine KEV-gelistete Schwachstelle ignoriert hat und dadurch ein Sicherheitsvorfall eintrat, würde einem Prüfer wenig Spielraum lassen.
Meine Einschätzung: Die NIS2-Richtlinie und der CISA KEV-Katalog ergänzen sich nicht zufällig – sie sprechen dieselbe operative Sprache. Beide identifizieren bekannte, nicht-theoretische Risiken und fordern zeitnahe Reaktion. Für Sicherheitsverantwortliche, die ihre NIS2-Compliance-Argumentation aufbauen, ist der KEV-Katalog das solideste externe Referenzwerk, das verfügbar ist.
94 der im Jahr 2025 in den KEV-Katalog aufgenommenen Schwachstellen stammen aus dem Jahr 2024 oder früher. Ein Eintrag – CVE-2007-0671, Remote Code Execution in Microsoft Office – ist fast zwei Jahrzehnte alt. Das Pikante daran: Diese Lücke wird noch immer aktiv ausgenutzt. Nicht weil Systeme ungepatcht wären (obwohl das vorkommt), sondern weil Legacy-Systeme in industriellen Umgebungen und öffentlichen Verwaltungen manchmal laufen, seit sie einmal eingerichtet wurden.
Die Botschaft ist klar: Historische CVEs verschwinden nicht aus dem Bedrohungsportfolio, weil ein Patch verfügbar ist. Sie verschwinden nur, wenn alle anfälligen Systeme gepatcht oder außer Betrieb genommen sind. In Produktionsumgebungen, wo eine Maschine zwanzig Jahre läuft, ohne je neu gestartet zu werden, ist das eine ernüchternde Aussicht. Known Exploited Vulnerabilities aus der Vergangenheit sind aktive Risiken der Gegenwart.
Für deutsche Industrieunternehmen, die OT-Systeme (Operational Technology) betreiben, ist das besonders relevant. ICS-Systeme, SCADA-Umgebungen, Maschinensteuerungen – diese Systeme laufen oft auf ungepatchten Windows-Versionen oder Embedded-Betriebssystemen. Sie sind selten direkt mit dem Internet verbunden, aber über Seitenkanäle – Wartungslaptops, schlecht segmentierte Netzwerke, USB-Sticks – erreichbar. KEV-Lücken in diesen Umgebungen sind existenzielle Risiken.
Ein realistisches Angriffsszenario: Ein Wartungstechniker verbindet einen Laptop mit einer Produktionsanlage. Der Laptop hat einen ungepatchten Browser. Eine KEV-Lücke in diesem Browser wurde vor drei Wochen ausgenutzt, um eine Remote-Access-Trojaner-Infektion zu installieren. Der Techniker weiß nichts davon. Die Produktionsanlage ist jetzt kompromittiert. Das klingt konstruiert. Es passiert.
Der Einstieg in die aktive Nutzung des CISA KEV-Katalogs ist technisch einfach. Die offizielle CISA-Website stellt den Katalog als durchsuchbare Weboberfläche und als herunterladbare JSON-Datei bereit. Beide Formate sind kostenlos und ohne Registrierung zugänglich.
Für automatisiertes Monitoring gibt es auf GitHub mehrere Community-Projekte, die den Katalog regelmäßig spiegeln und in verschiedene Formate konvertieren. Wer seinen Vulnerability-Scanner (Tenable Nessus, Qualys, Rapid7 InsightVM) bereits im Einsatz hat: alle diese Tools haben native Integration des KEV-Katalogs. Scans können so konfiguriert werden, dass sie KEV-assoziierte Schwachstellen automatisch als Critical einstufen, unabhängig vom CVSS-Score. Semantisch passt dazu unser Hintergrund Cybersicherheit Europa 2025: Netskope Threat Labs Report deckt alarmierende Trends auf.
SIEM-Systeme können KEV-Daten als Threat-Intelligence-Feed importieren. Wenn ein Asset aus dem Inventar eine IP-Adresse oder einen Hostnamen hat, der mit einer KEV-assoziierten Schwachstelle verknüpft ist, kann das SIEM automatisch einen Alert generieren. Das ist keine Raketenwissenschaft – das ist grundlegende Automatisierung, die in 2026 Standard sein sollte.
Für kleinere Organisationen ohne SIEM-Budget: Security-Insider.de und ähnliche deutschsprachige Fachmedien greifen KEV-Updates regelmäßig auf und übersetzen sie in praxisnahe Handlungsempfehlungen. Das ist kein Ersatz für direktes KEV-Monitoring, aber ein niedrigschwelliger Einstieg für Organisationen, die noch keine automatisierten Prozesse haben.
Die folgende Checkliste fasst zusammen, was nach einer KEV-Erweiterung wie der vom 23. April 2026 konkret zu tun ist. Sie ist keine vollständige Sicherheitsstrategie. Sie ist das Minimum, das aktuell erforderlich ist.
245 neue Known Exploited Vulnerabilities in einem Jahr. Rechnet man das auf Arbeitstage um, sind das knapp eine pro Arbeitstag. Jeden Tag eine neue, aktiv ausgenutzte Schwachstelle, die in kritischen Systemen weltweit lauert. Das ist kein Wachstumstrend, über den man sich freut – aber es ist die Realität der aktuellen Bedrohungslage.
Die Beschleunigung hat strukturelle Ursachen. Mehr Software in mehr Systemen bedeutet mehr potenzielle Angriffsfläche. Mehr organisierte Bedrohungsakteure – staatliche wie kriminelle – bedeutet mehr aktive Exploitierung. Die Entschleunigung wird nicht kommen, solange diese Grundbedingungen bestehen. Der KEV-Katalog wächst, weil die Bedrohungslage wächst.
Für Sicherheitsverantwortliche ist die Konsequenz eindeutig: Patch-Management muss von einer reaktiven, gelegentlichen Aktivität zu einem kontinuierlichen, automatisierten Prozess werden. Wer KEV-Updates noch manuell verfolgt und per E-Mail kommuniziert, wird die Geschwindigkeit dieser Bedrohungslandschaft nicht mithalten können. Automatisierung ist keine Option – sie ist die einzige skalierbare Antwort.
Wenig überraschend: Die Unternehmen, die bei Ransomware-Incidents und APT-Kompromittierungen am häufigsten auftauchen, sind dieselben, die keine strukturierten KEV-Monitoring-Prozesse haben. Das ist keine Korrelation; das ist Kausalität. Bekannte, aktiv ausgenutzte Schwachstellen offen zu lassen ist eine Einladung. Der Katalog zeigt, wer gerade an der Tür klingelt.
Acht neue Einträge. 23. April 2026. Alle aktiv ausgenutzt. Produkte, die in deutschen Behörden, Mittelstandsnetzen und KRITIS-Umgebungen täglich laufen. Die CISA liefert die Daten – kostenlos, tagesaktuell, maschinenlesbar. Was fehlt, ist nicht Information. Was fehlt, ist der Prozess, der diese Information in Aktion übersetzt.
Die eigentliche Frage ist nicht, ob Ihr Unternehmen von einer der acht neuen Known Exploited Vulnerabilities betroffen ist. Die Frage ist, wie schnell Sie es herausfinden würden – und was danach passiert. Haben Sie die Antwort parat?
Wenn nicht: Das ist der Ausgangspunkt. Nicht für ein großes Sicherheitsprogramm. Nicht für einen dreijährigen Transformationspfad. Für einen Prozess, der heute, diese Woche, die Kontrolle über bekannte, aktiv ausgenutzte Schwachstellen zurückgibt. KEV-Feed einrichten. Asset-Inventar prüfen. Patch-Priorität festlegen. Anfangen.
