Warum CVE-Triage mit KI-Unterstützung schneller wird
IT-Sicherheitsteams stehen 2026 vor einer wachsenden Herausforderung: Die Anzahl neu gemeldeter Sicherheitslücken steigt seit Jahren, während Zeit und Personal für manuelle Analyse knapp bleiben. Eine durchschnittliche CVE-Meldung enthält technische Details, CVSS-Scores, betroffene Softwareversionen und manchmal widersprüchliche Priorisierungshinweise. Für Teams, die täglich Dutzende neuer Einträge sichten müssen, ist manuelle Auswertung allein kaum noch vertretbar.
Hier gewinnen große Sprachmodelle als analytische Werkzeuge an Bedeutung. Sie können Freitextbeschreibungen von Sicherheitslücken lesen, gegen bekannte Angriffsmuster abgleichen und kontextbezogene Bewertungen liefern – schneller als jede manuell gepflegte Datenbank.
Was LLMs bei der CVE-Analyse konkret leisten
Moderne KI-Modelle können in der Vulnerability-Analyse mehrere Aufgaben übernehmen, die bisher zeitintensiv waren:
- Zusammenfassung und Klassifikation: Ein Sprachmodell übersetzt eine CVE-Beschreibung in wenigen Sekunden in strukturierte Felder – betroffene Komponente, Angriffsvektor, benötigte Rechte, Exploitabilität – und beschleunigt damit die manuelle Erstprüfung erheblich.
- Kontextualisierung: Durch Integration mit der eigenen Inventarisierungsdatenbank lässt sich abfragen, ob die betroffene Software überhaupt im Einsatz ist. Nur relevante Lücken erfordern sofortige Aktion.
- Priorisierung: KI-Modelle kombinieren den CVSS-Score mit weiteren Faktoren – bekannte Exploits in der Wildnis, Netzwerkexposition oder Datenklassifikation betroffener Systeme – und erzeugen eine handlungsrelevantere Rangfolge als ein Score allein.
- Patch-Recherche: Sprachmodelle können gezielt nach verfügbaren Patches, Workarounds und betroffenen Versionen suchen und diese Informationen strukturiert aufbereiten.
Priorisierung jenseits des CVSS-Scores
Ein häufiges Problem im Vulnerability-Management ist die ausschließliche Orientierung am CVSS-Score. Ein Score von 9.8 klingt kritisch – aber wenn die betroffene Software nur in einem isolierten Testsystem läuft, ist der tatsächliche Handlungsdruck gering. Umgekehrt kann ein Score von 6.5 eine dringende Maßnahme erfordern, wenn das System externe Netzwerkexposition hat und aktiv ausgenutzte Exploits bekannt sind.
KI-gestützte Priorisierung kombiniert deshalb mehrere Signale:
- CVSS v3.1 Base Score und Temporal Score
- EPSS (Exploit Prediction Scoring System) – statistische Wahrscheinlichkeit aktiver Ausnutzung in den nächsten 30 Tagen
- Threat Intelligence Feeds zu bekannten Angreifern und aktiven Kampagnen
- Interne Inventarisierung: Ist die betroffene Komponente überhaupt im Einsatz und erreichbar?
- Business Impact: Wie kritisch ist das betroffene System für den Betrieb?
Plattformen wie VulnCheck, Nucleus Security oder eigene LLM-Pipelines kombinieren diese Faktoren automatisiert. IT-Teams profitieren davon, indem sie sich auf tatsächlich relevante Lücken konzentrieren können, statt alle CVEs gleichwertig zu behandeln.
Integration in bestehende Security-Workflows
Die Stärke KI-gestützter Vulnerability-Analyse liegt nicht in der Ablösung bestehender Prozesse, sondern in ihrer gezielten Integration:
- SIEM-Integration: LLM-basierte Anreicherung von CVE-Alerts direkt im SIEM-System ohne manuellen Lookup in der NVD-Datenbank.
- Ticketing-Systeme: Automatische Erstellung strukturierter Tickets mit Kontext, Priorität und vorgeschlagenen Maßnahmen für das Sicherheitsteam.
- CI/CD-Pipeline: Dependency-Scans mit KI-Anreicherung, die nicht nur bekannte Hashes prüfen, sondern Transitivabhängigkeiten kontextuell bewerten.
- Monitoring-Integration: Bei aktiv ausgenutzten Lücken kann ein KI-gestützter Workflow automatisch Incident-Tickets erstellen und relevante Teams über Alerting-Systeme benachrichtigen.
Grenzen und Risiken im Blick behalten
KI-gestützte Analyse ist ein Werkzeug, kein Ersatz für menschliches Urteilsvermögen. Wichtige Einschränkungen sollte jedes Team kennen:
- Halluzinationen: Sprachmodelle können Patches oder Versionsangaben falsch wiedergeben. Jede maschinell erzeugte Empfehlung sollte gegen offizielle Quellen wie NVD oder Hersteller-Advisories geprüft werden.
- Aktualität: Trainingsdaten haben einen Zeitstempel. Frisch entdeckte Zero-Days liegen außerhalb des Modellwissens – hier braucht es aktuelle Threat-Intelligence-Feeds als Ergänzung.
- Datenschutz: Wer interne Inventarisierungsdaten an externe LLM-APIs übermittelt, muss Datenschutz und Compliance berücksichtigen. In regulierten Umgebungen sind lokal betriebene Modelle oft die sichere Wahl.
- Bias durch Trainingsdaten: Selten dokumentierte CVEs aus Nischensoftware werden von Sprachmodellen möglicherweise schlechter bewertet als bekannte Schwachstellen in verbreiteten Systemen.
Einstiegspunkte für IT-Teams
Der Einstieg muss nicht komplex sein. Einige praktische erste Schritte:
- Bestandsaufnahme: Wie viele CVEs wertet das Team pro Woche aus? Wo entsteht der größte manuelle Aufwand – bei der Erstsichtung, der Priorisierung oder der Patch-Dokumentation?
- EPSS nutzen: EPSS-Scores sind kostenlos über FIRST verfügbar und kombinieren sich gut mit bestehenden CVSS-Daten. Ein einfaches Skript kann die Priorisierung bereits messbar verbessern.
- LLM-Enrichment testen: Mit verfügbaren LLM-APIs lässt sich ein einfacher Enrichment-Workflow aufbauen, der CVE-Texte zusammenfasst und klassifiziert – als erster Schritt ohne große Infrastrukturänderung.
- Pipeline überwachen: Wer KI-gestützte Security-Pipelines betreibt, sollte deren Verfügbarkeit und Antwortzeiten genauso überwachen wie andere kritische Dienste im Betrieb.
Fazit
KI-gestützte Vulnerability-Analyse ist 2026 ein pragmatisches Werkzeug für IT-Sicherheitsteams unter Zeitdruck. Wer Sprachmodelle gezielt für CVE-Triage, Priorisierung und Patch-Recherche einsetzt, kann seinen Workflow spürbar entlasten – ohne die menschliche Kontrolle aufzugeben. Entscheidend bleibt, welche Daten in welche Modelle fließen und wie maschinenerzeugte Ergebnisse validiert werden.
Bildquelle: VPSExpertYuri, CC BY-SA 4.0, via Wikimedia Commons
Quellen: NVD (National Vulnerability Database), FIRST EPSS, NIST CVE-Dokumentation, VulnCheck-Dokumentation