Blog Why Delaying Software Updates Puts Your Business at Risk | Insight
Blog:
loß nicht auf „Später“ klicken bei dieser Update-Meldung. Im Ernst.
Von / 15 Jun 2026 / Themen: Artificial Intelligence (AI) , Cybersecurity
Wichtige Erkenntnisse
- Ein KI-Modell (Claude Mythos) hat autonom Tausende bisher verborgene Schwachstellen in allen großen Betriebssystemen und Browsern gefunden und damit eine koordinierte, branchenweite Patch-Welle ausgelöst.
- KI-gestützte Exploit-Entwicklung hat das Zeitfenster zwischen der Veröffentlichung eines Patches und einem funktionierenden Exploit von Tagen auf Stunden verkürzt. Alte wöchentliche oder monatliche Patch-Zyklen passen nicht mehr zur aktuellen Bedrohungslage.
- Das Ausschalten von Aufschüben durch Endnutzer bei kritischen Patches ist inzwischen eine Anforderung, kein Ziel mehr. Unternehmen benötigen ein klares und aktuelles Inventar darüber, welche Systeme sie betreiben und welche davon aktive Schwachstellenmeldungen erhalten.
- Managed Endpoint- und Patch-Services werden zunehmend unverzichtbar, um mit koordinierten, herstellerübergreifenden Patch-Wellen in verkürzten Zeitrahmen Schritt zu halten.
Ein Kollege hat das neulich in einem Gruppenchat geteilt und dafür breite Zustimmung bekommen:
"Ich habe das Gefühl, mein Vollzeitjob besteht darin, Updates zu installieren."
Nervig? Ja. Ein Störfaktor für die eigentliche Arbeit? Ohne Frage. Notwendig? Zu 100 %. Nicht verhandelbar. Und genau jetzt dringlicher denn je..
Warum das so ist.
Was ist Projekt Glasswing?
„Der Grund, warum Ihre Update-Benachrichtigungen derzeit so unerbittlich eintreffen, ist kein Zufall. Es liegt nicht daran, dass die Anbieter endlich ihren Wartungsrückstau abarbeiten. Es ist die direkte Folge von etwas namens Project Glasswing.
Am 7. April 2026, gab Anthropic bekannt dass es still und leise sein leistungsstärkstes KI-Modell bereitgestellt hatte, Claude Mythos Preview, sondern für eine kleine Gruppe kontrollierte Koalition von Unternehmen die die kritischste Software-Infrastruktur der Welt betreiben: Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Palo Alto Networks und rund 40 weitere. Die Mission war rein defensiv: Mythos einzusetzen, um Schwachstellen zu finden, bevor böswillige Akteure es tun konnten.
Was es entdeckte, war schockierend.
In nur wenigen Wochen identifizierte Mythos Tausende kritische, bislang unbekannte Schwachstellen in allen gängigen Betriebssystemen und Browsern – darunter Fehler, die jahre-, teils jahrzehntelang direkt vor aller Augen verborgen waren Ein mittlerweile behobener27 Jahre alter Bug in OpenBSD, ldas lange Zeit als eines der sichersten Betriebssysteme überhaupt galt, erlaubte es einem entfernten Angreifer, jeden Rechner, auf dem es lief, allein durch das Herstellen einer Verbindung komplett zum Absturz zu bringen. Eine 16 Jahre alte Schwachstelle in FFmpeg, der Video-Encoding-Bibliothek, die nahezu jeder großen Videoplattform zugrunde liegt – überstand jahrelange, intensive Sicherheitsforschung, ohne entdeckt zu werden (wurde ebenfalls gepatcht). Das Red-Team von Anthropic hielt es selbst fest: Diese Fehler waren keine subtilen Versehen in Nischen-Code. Sie steckten in Software, die Sie jeden Tag nutzen
Die Software-Hersteller erhalten die Informationen zu den Schwachstellen nun nach einem streng kontrollierten Zeitplan und arbeiten unter Hochdruck daran, Sicherheitsupdates bereitzustellen. Diese Welle von Update-Benachrichtigungen? Genau das ist es. Das ist die Reaktion.
Warum Patch-Verzögerungen Ihr Risiko genau jetzt erhöhen
Es gab schon immer eine zeitliche Lücke zwischen der Offenlegung einer Schwachstelle und dem Moment, in dem ein Angreifer sie als Waffe einsetzen kann. Dieses Zeitfenster schrumpft rasant.
Mythos selbst hat bewiesen, wie schnell die Entwicklung von Exploits voranschreitet, wenn eine KI die Arbeit übernimmt. Dasselbe Modell, das autonom einen 27 Jahre alten OpenBSD-Bug aufgedeckt hat, schrieb in einem einzigen Testlauf auch 181 funktionierende Firefox-Exploits im Vergleich zu gerade einmal zwei bei der vorherigen Generation von KI-Modellen. IT-Verteidiger, die es gewohnt sind, Reaktionszeiten in Tagen oder Wochen zu messen, operieren heute in einem völlig veränderten Umfeld. Sobald ein Patch öffentlich ist, läuft die Uhr – und die Akteure auf der Gegenseite warten nicht auf das nächste Wartungsfenster Ihres IT-Teams.
Das klingt alarmistisch. Aber die richtige Reaktion ist hier keine Panik.
"Ich denke nicht, dass Mythos ein Grund zur Panik ist, sondern vielmehr ein Weckruf," sagt Will Pocknell, Sr. Mgr IT, Security & Compliance bei Insight. "IT, Entwickler- und Security-Teams sehen schon länger die Notwendigkeit, das Tempo bei der Bereitstellung von Patches, Updates und Fixes zu erhöhen. Aber wir befinden uns jetzt in einer Welt, in der das ein absolutes ‚Muss‘ ist und kein bloßes anzustrebendes Ziel mehr."
Patch-Management gehörte lange Zeit in die Kategorie der bloßen Absichten. Schnellere Bereitstellungszyklen, kürzere Zeitfenster zwischen Veröffentlichung und Installation, kein Aufschieben kritischer Updates durch Endnutzer mehr: All das waren Ziele auf der Roadmap, keine festen Vorgaben im Kalender.
Diese Diskussion ist vorbei.
Wie Sie die Lücke bei der Patch-Bereitstellung schließen
Die schwierigere Frage ist, wie man Dringlichkeit im großen Stil operationalisiert – besonders wenn das ‚Später‘ fest im Muskelgedächtnis all jener verankert ist, die schon einmal auf das kleine ‚X‘ einer Update-Benachrichtigung geklickt haben
Einige Maßnahmen, die jetzt ergriffen werden sollten:
Wissen, was man patcht: Ihre größte Angriffsfläche liegt in kritischen Infrastrukturen und Kernsoftware: Browsern, Endgeräten (Endpoints), Betriebssystemen und allem, was über das Internet erreichbar ist. Wenn Sie kein klares, aktuelles Bild davon haben, welche Software bei Ihnen läuft und für welche Systeme aktive Schwachstellenmeldungen eingehen, ist das die erste Lücke, die es zu schließen gilt.
Den Deployment-Lifecycle verkürzen: Die Zeitspanne zwischen „Patch available“ und „Patch deployed“ ist Ihr Window of Exposure. Die alte wöchentliche oder monatliche Kadenz passt nicht mehr zur Bedrohungsumgebung. Das ist die Metrik, auf die es ankommt – und diejenige, die sich mit dem Aufkommen von KI-gestütztem Exploit-Development am drastischsten verändert hat.
eine Aufschübe mehr bei kritischen Patches erlauben: Die Option „Morgen erinnern“ muss bei Updates mit hoher Kritikalität komplett vom Tisch. Das Erwartungsmanagement bei den Endnutzern ist dabei genauso wichtig wie die technische Bereitstellung: Die Belegschaft leistet deutlich weniger Widerstand, wenn sie versteht, warum die Richtlinie geändert wurde.
Überlegen Sie genau, was Sie selbst verwalten und was Sie auslagern. Die Diskussion über Managed Endpoint Services wird derzeit nicht ohne Grund immer lauter. Schritt zu halten mit einer koordinierten Patch-Welle über mehrere Hersteller hinweg im gesamten Unternehmen – und das bei extrem verkürzten Zeitfenstern bis zur Ausnutzung von Schwachstellen –, ist keine Nebenaufgabe. Es ist eine Kernaufgabe.
Mein Kollege hatte nicht unrecht. Die Updates kommen derzeit unerbittlich, und das wird sich vermutlich auch erst einmal nicht ändern. Wir befinden uns mitten in einer Patch-Reaktion, wie sie die Branche in diesem Ausmaß und dieser Geschwindigkeit noch nie erlebt hat.
Was Mythos enthüllt hat, ist nicht bloß eine Liste von Fehlern. Es ist etwas weitaus Beunruhigenderes: Die Schwachstellen waren schon immer da. Sie lagen im Verborgenen in Software, der wir seit Jahren vertrauen – unsichtbar für Tools, die sie Millionen von Malen überprüft haben. Der Unterschied ist jetzt, dass wir von ihnen wissen und einen Weg haben, sie zu beheben.
