C
Security

12-Stunden-Frist: Indien zwingt zu raschem Patching wegen KI-Angriffen

KI-basierte Angriffe verkürzen die Zeit bis zur Exploitation drastisch. Indiens CERT-In reagiert mit einer radikalen Vorgabe: Internet-exponierte Systeme müssen in 12 Stunden gepatcht sein.

CR
Codekiste Redaktion26. Mai 2026
#Cybersecurity#Patch-Management#KI-Sicherheit#Zero Trust#CERT-In

Das Ende der gemütlichen Patch-Zyklen

Die Zeiten, in denen Security-Teams sich Wochen Zeit lassen konnten, um kritische Schwachstellen zu beheben, zählen endgültig zur Vergangenheit. Das indische Computer Emergency Response Team (CERT-In) hat mit seinem neuen 38-seitigen Blueprint eine Richtlinie veröffentlicht, die die Sicherheitslandschaft auf den Kopf stellt: Organisationen sollen kritische Sicherheitslücken in internet-exponierten Systemen künftig innerhalb von nur 12 Stunden nach Bekanntwerden patchen – sofern dies "feasible", also umsetzbar ist.

Der Grund für diesen drastischen Schnitt ist ebenso naheliegend wie beunruhigend: Künstliche Intelligenz. Die zunehmende Nutzung von KI-Tools und Large Language Models (LLMs) durch Bedrohungsakteure verkürzt die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer massenhaften Ausnutzung auf ein Minimum. Was früher manuelle Recherche und das Schreiben von Exploit-Code erforderte, wird heute durch KI automatisiert und skaliert.

Der Countdown läuft: Die neuen SLAs für Patch Management

Das 12-Stunden-Fenster ist der spektakulärste Punkt der neuen CERT-In-Richtlinie, aber bei Weitem nicht der einzige. Die Behörde hat einen gestaffelten Zeitplan für das Vulnerability Management definiert, der den operativen Realitäten vieler Unternehmen eine harte Bremse aufzieht:

  • Bekannt ausgenutzte Schwachstellen (internet-exponiert): 12 Stunden
  • Kritische externe Schwachstellen: 1 Tag
  • Bekannt ausgenutzte Schwachstellen (interne Systeme): 1 Tag (alternativ: dokumentierte Mitigationen)
  • Kritische interne Schwachstellen (Hochwert-Systeme): 3 Tage
  • Schwachstellen mit hohem Schweregrad: 5 Tage (risikobasiert)

Sollte kein Patch verfügbar sein, empfiehlt CERT-In sofortige Übergangslösungen: Isolierung, Zugriffsbeschränkungen, der Einsatz von WAFs (Web Application Firewalls) und API-Protection, erweitertes Monitoring oder die Deaktivierung betroffener Features.

KI als Brandbeschleuniger und Zielscheibe

CERT-In macht unmissverständlich klar, dass KI die Spielregeln verändert hat. "KI-gestützte Cyber-Exploitation reduziert die Zeit, die Angreifer benötigen, um Schwachstellen zu identifizieren, zu weaponisieren und auszunutzen", heißt es in dem Dokument. Ob Attack Surface Discovery, Phishing-Content oder Malware-Generierung – KI komprimiert die Vorbereitungszeit von Angriffen massiv und hilft, traditionelle Security Controls zu umgehen.

Dabei bleiben KI-Systeme selbst nicht verschont. Sie werden zunehmend zur Zielscheibe: Prompt Injections, Data Leakage, Jailbreaking, Model Manipulation, Training Data Poisoning und Model Theft untergraben die Vertraulichkeit und Integrität genau jener Systeme, auf die sich Unternehmen zunehmend verlassen.

Einordnung: Die harte Realität der 12-Stunden-Vorgabe

Die Vorgabe von CERT-In ist ein notwendiger Weckruf, der jedoch in der Praxis für viele Organisationen einen gewaltigen Schock bedeuten dürfte. Ein 12-Stunden-Patching-Zyklus für internet-exponierte Systeme setzt eine Reife im DevSecOps-Bereich voraus, die in der Realität selten anzutreffen ist. Es erfordert hochgradig automatisierte CI/CD-Pipelines, extrem agile Testing-Verfahren und eine 24/7-Bereitschaft der Security- und Entwicklerteams.

Die Forderung ist symptomatisch für eine neue Ära der Asymmetrie in der Cybersicherheit: Verteidiger müssen nahezu fehlerfrei und blitzschnell reagieren, während Angreifer mit KI-Unterstützung nur einen winzigen Zeitfenster- oder Konfigurationsfehler brauchen. Das 12-Stunden-Fenster mag für Tech-Giganten machbar sein, für den Mittelstand ist es ohne massive Investitionen in Automatisierung und Virtual Patching kaum realisierbar.

Zero Trust und Defense-in-Depth als Lebensversicherung

Um das unfassbare Timing zu kompensieren, setzt CERT-In auf einen Paradigmenwechsel weg vom reinen Patch-Management hin zu einer resilienten Architektur. Die Behörde empfiehlt:

  • Assume Breach: Von einer Kompromittierung ausgehen und schnelle Eindämmung vorbereiten.
  • Zero Trust: Kontinuierliche Verifikation und Least-Privilege-Zugriff.
  • Defense-in-Depth: Gestaffelte Controls, um Single Points of Failure zu eliminieren.
  • Secure-by-Design: Sicherheit muss von Grund auf in Systeme und KI-Workflows integriert sein.

Besonders betont wird auch das Thema Supply Chain. Unternehmen müssen Risiken aus Drittanbieter-Software, KI-Modellen und Abhängigkeiten durch SBOMs (Software Bill of Materials), Provenance-Validierung und Assessments reduzieren.

Fazit

Die Richtlinie des CERT-In ist mehr als nur eine bürokratische Vorgabe – sie ist das Spiegelbild einer neuen Bedrohungslage. Wenn KI-gestützte Angriffe autonom werden und Exploit-Timelines kollabieren, können traditionelle, wochenlange Patch-Zyklen nicht mehr die Antwort sein. Die 12-Stunden-Frist ist sicherlich hart, aber sie zwingt Unternehmen dazu, über reaktives Patchen hinauszudenken. Wer seine internet-exponierten Systeme nicht innerhalb von Stunden absichern kann, muss sie durch konsequente Zero-Trust-Architekturen und Virtual Patching so weit eindämmen, dass die Zeit bis zum offiziellen Fix überbrückt wird. Die Ära der Nachsicht ist vorbei.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert