CISA plant Drei-Tage-Frist für Sicherheits-Patches

CISA will die Frist für kritische Patches auf 72 Stunden senken. Grund ist die durch KI-Modelle wie Mythos extrem beschleunigte Angriffsgeschwindigkeit.

Die US-Cybersicherheitsbehörde CISA sowie nationale Sicherheitsverantwortliche diskutieren derzeit eine drastische Verkürzung der Fristen für das Schließen von Sicherheitslücken in der Regierungs-IT. Hintergrund der Erwägungen ist die Sorge, dass Angreifer durch hochentwickelte KI-Modelle in die Lage versetzt werden, Schwachstellen innerhalb kürzester Zeit zu identifizieren und auszunutzen. Laut Insiderberichten könnte die Reaktionszeit für aktiv ausgenutzte Schwachstellen von bisher durchschnittlich zwei bis drei Wochen auf lediglich drei Tage (72 Stunden) gesenkt werden. Das berichtete Cybernews.

Neue KI-Modelle verkürzen das Angriffsfenster

Die Dringlichkeit dieser Maßnahme resultiert aus der Veröffentlichung neuer, leistungsstarker KI-Modelle wie Mythos von Anthropic und GPT-5.4-Cyber von OpenAI. Diese spezialisierten Systeme sind in der Lage, bisher unbekannte Schwachstellen (Zero-Days) effizient aufzuspüren oder frisch veröffentlichte Sicherheitslücken sofort für komplexe Hacking-Operationen aufzubereiten. Während Angreifer in der Vergangenheit oft Wochen oder Monate benötigten, um eine Schwachstelle großflächig auszunutzen, hat sich dieser Zeitraum in aktuellen Szenarien teilweise auf wenige Stunden komprimiert.

Stephen Boyer, Gründer des Cybersicherheitsunternehmens Bitsight, betont, dass die Verteidiger in einen höheren Gang schalten müssen. Wenn zivile Behörden geschützt werden sollen, müsse die Reaktionsgeschwindigkeit massiv steigen, da das Zeitfenster für eine erfolgreiche Abwehr immer kleiner werde. Die KI fungiere hierbei als Katalysator, der die herkömmliche Zeitleiste eines Cyberangriffs nahezu vollständig eliminiert.

Geplante Fristverkürzung von drei Wochen auf 72 Stunden

Das Kernstück der neuen Initiative ist die Überarbeitung des KEV-Katalogs (Known Exploited Vulnerabilities). Die CISA führt diesen Katalog, um Prioritäten für zivile Bundesbehörden festzulegen. Bisher hatten diese Behörden in der Regel drei Wochen Zeit, um eine neu in den Katalog aufgenommene Schwachstelle zu schließen. In jüngster Zeit sank dieser Wert bereits auf etwa zwei Wochen. Die nun diskutierte Standardfrist von drei Tagen würde eine fundamentale Änderung der bisherigen Betriebsabläufe bedeuten.

Die Gespräche über diese Verschärfung werden laut anonymen Quellen von Nick Andersen, dem amtierenden Leiter der CISA, und Sean Cairncross, dem nationalen Cyber-Direktor der USA, geführt. Ziel ist es, eine proaktive Verteidigungslinie gegen automatisierte Angriffe zu etablieren. Eine offizielle Bestätigung oder ein genaues Datum für das Inkrafttreten der neuen Regelung stehen derzeit noch aus, doch die Signalwirkung für die gesamte Branche ist bereits spürbar.

Frist sei für viele Behörden nicht einhaltbar

Trotz der klaren Notwendigkeit einer schnelleren Reaktion warnen Experten vor der praktischen Umsetzbarkeit einer Drei-Tage-Frist. Kecia Hoyt, Vizepräsidentin beim Threat-Intelligence-Unternehmen Flashpoint, gibt zu bedenken, dass das Patchen von Software ein hochkomplexer Prozess ist. Vor der Implementierung müssen umfangreiche Tests durchgeführt werden, um sicherzustellen, dass die Updates nicht zu Systemausfällen in kritischen Umgebungen führen. Drei Tage seien für viele Behörden und deren oft veraltete Infrastrukturen schlicht unmöglich einzuhalten.

Ein weiteres Problem stellen die Ressourcen der CISA selbst dar. Nitin Natarajan, ehemaliger stellvertretender Direktor der Behörde, weist darauf hin, dass die Kapazitäten durch Stellenstreichungen und Budgetkürzungen geschwächt wurden. Um eine so kurze Frist effektiv zu überwachen und die Behörden bei der Umsetzung zu unterstützen, benötige die CISA mehr Mittel und Fachwissen, nicht weniger. Die Behörde müsse den Spagat zwischen technischer Notwendigkeit und personeller Leistungsfähigkeit meistern.

Signalwirkung für die globale Wirtschaft und den Bankensektor

Die Entscheidung der CISA wird voraussichtlich als Modell für staatliche Stellen, Kommunen und die Privatwirtschaft dienen. Besonders der Bankensektor beobachtet die Entwicklung. Finanzinstitute stehen unter erheblichem Druck durch Regulierungsbehörden, die die Risiken der neuen KI-Technologie evaluieren. Eine Verschärfung der Fristen bei Bundesbehörden sendet ein klares Signal an Unternehmen: Cybersicherheit muss in Echtzeit funktionieren.

John Hammond, leitender Sicherheitsforscher bei Huntress, zeigt sich vorsichtig optimistisch hinsichtlich der beschleunigten Abläufe. Er betont jedoch, dass erst die Zeit zeigen wird, ob die Industrie mit diesem Tempo Schritt halten kann. Die Einführung von GPT-5.4-Cyber habe die Messlatte für die IT-Abwehr so hoch gelegt, dass herkömmliche Patch-Zyklen als hinfällig betrachtet werden könnten. Die Branche stehe vor einer strukturellen Neuausrichtung ihrer Sicherheitsstrategien.

Die Veröffentlichung von spezialisierten KI-Modellen für offensive Zwecke zwingt die Behörden dazu, administrative Hürden abzubauen und technische Automatisierung in der Verteidigung voranzutreiben. Ob die Drei-Tage-Frist tatsächlich flächendeckend eingeführt wird, hängt maßgeblich davon ab, wie schnell die technologische Infrastruktur der US-Regierung modernisiert werden kann, um automatisierte Patch-Verfahren sicher zu ermöglichen.