Im November 2024 nutzten Angreifer im Rahmen der sogenannten Operation Lunar Peek eine ungewöhnliche Methode, um ungeschützte administrative Schnittstellen von Palo Alto Networks zu kompromittieren. Innerhalb weniger Tage erhielten sie zunächst uneingeschränkten Admin-Zugriff und steigerten ihre Rechte schließlich bis zur Root-Ebene – und das auf mehr als 13.000 exponierten Systemen. Was als zwei separate Sicherheitslücken begann, entpuppte sich in Kombination als kritische Bedrohung. Doch die Bewertung der Schwachstellen nach dem Common Vulnerability Scoring System (CVSS) lieferte widersprüchliche Ergebnisse: Während NVD die CVEs mit 9,8 und 7,2 (CVSS v3.1) bzw. 9,3 und 6,9 (CVSS v4.0) einstufte, wurden sie in gängigen Sicherheitsprotokollen als weniger dringlich eingestuft. Eine fatale Fehleinschätzung, wie sich zeigte.
Warum der CVSS-Score allein versagt: Das Problem der isolierten Bewertung
Das Common Vulnerability Scoring System ist darauf ausgelegt, einzelne Schwachstellen anhand technischer Kriterien wie Ausnutzbarkeit, Auswirkungen und Komplexität zu bewerten. Doch genau diese Fokussierung auf Einzelszenarien wird zum Problem, wenn Angreifer mehrere Lücken gezielt kombinieren. Adam Meyers, Senior Vice President of Counter Adversary Operations bei CrowdStrike, warnt vor dieser Tendenz: „Angreifer umgehen Severity-Bewertungen, indem sie Schwachstellen miteinander verketten. Es ist, als hätte jemand nach 30 Sekunden alles vergessen, was zuvor passiert ist.“
Im Fall der Palo Alto-Schwachstellen sah die Realität so aus:
- CVE-2024-0012: Ermöglichte unauthentifizierten Remote-Zugriff auf administrative Schnittstellen.
- CVE-2024-9474: Ermöglichte bei bestehendem Admin-Zugriff eine Privilegieneskalation bis zur Root-Ebene.
Während die Kombination beider Lücken eine kritische Bedrohung darstellte, wurden sie in gängigen Sicherheitsdashboards als isolierte Risiken behandelt. Die niedrigere Bewertung von CVE-2024-9474 führte dazu, dass viele Unternehmen die Schwachstelle auf Wartungslisten setzten, statt sie umgehend zu patchen. Peter Chronis, ehemaliger CISO bei Paramount, bringt die Kritik auf den Punkt: „CVSS-Bewertungen sind theoretische Maße für Schweregrade, die den realen Kontext ignorieren. Bei Paramount haben wir durch den Verzicht auf reine CVSS-Priorisierung die Anzahl kritischer und hoher Risiken um 90% reduziert.“
Drei weitere Fallstricke: Warum CVSS die moderne Bedrohungslandschaft nicht abbildet
Die Herausforderungen für Sicherheitsverantwortliche enden nicht bei kombinierten Schwachstellen. Die exponentiell wachsende Anzahl an gemeldeten CVEs (2025: 48.185, Prognose für 2026: 70.135) überlastet die Infrastruktur hinter den Bewertungssystemen. Laut NIST sind die Einreichungen für den National Vulnerability Database (NVD) seit 2020 um 263% gestiegen – eine Entwicklung, die zu Verzögerungen bei der Anreicherung von Daten führt. Seit dem 15. April 2025 priorisiert der NVD nur noch Einträge aus dem Known Exploited Vulnerabilities (KEV)-Katalog sowie kritische Bundessoftware.
1. Zero-Day-Exploits innerhalb von Minuten
Die CrowdStrike Global Threat Report 2026 dokumentiert einen alarmierenden Trend: 42% mehr Schwachstellen wurden 2025 als Zero-Day ausgenutzt, bevor sie öffentlich bekannt wurden. Die durchschnittliche Zeit bis zum ersten Angriff nach einer Veröffentlichung beträgt nur 29 Minuten, im schnellsten beobachteten Fall sogar 27 Sekunden. Chinesisch-staatliche Akteure nutzen frisch gepatchte Lücken bereits zwei bis sechs Tage nach deren Bekanntgabe aus, wie Daniel Bernard, Chief Business Officer bei CrowdStrike, erklärt: „Früher reichte ein Patch am Patch Tuesday. Heute müssen wir täglich patchen – das ist die neue Realität.“
2. Jahrelang gehortete Schwachstellen
Ein Beispiel für das gezielte Warten auf den richtigen Moment ist die Salt Typhoon-Kampagne, bei der chinesische Hacker im Jahr 2024 eine Kette aus zwei Cisco-Schwachstellen (CVE-2023-20198 und CVE-2023-20273) nutzten, um hochrangige US-Politiker während des Präsidentschaftsübergangs abzuhören. Die Lücken waren bereits im Oktober 2023 gepatcht worden – doch 67% der von staatlichen Akteuren genutzten Schwachstellen im Jahr 2025 waren Remote-Code-Execution-Lücken, die sofortigen Systemzugriff ermöglichten. CVSS berücksichtigt nicht, wie lange eine Schwachstelle ungenutzt bleibt. Kein Dashboard zeigt an, wie lange ein KEV-Eintrag bereits auf einen Patch wartet – und genau das ist das eigentliche Risiko.
3. Menschliche Schwachstellen: Wenn CVSS versagt
Nicht jede Angriffsmethode lässt sich als technische Schwachstelle klassifizieren. Im Jahr 2023 führte ein einfacher Social-Engineering-Anruf beim Helpdesk eines großen Unternehmens zu Verlusten von über 100 Millionen US-Dollar. Keine CVE wurde vergeben. Kein CVSS-Score existierte. Und doch war dies eine der verheerendsten Sicherheitslücken des Jahres. Solche „weichen“ Angriffsvektoren bleiben in den meisten Bewertungssystemen unsichtbar – ein blinder Fleck, den Angreifer gezielt ausnutzen.
Alternative Modelle: Wie Sicherheitsverantwortliche die Lücken schließen
Angesichts der Grenzen des CVSS-Scores setzen immer mehr Unternehmen auf ergänzende Bewertungsmethoden:
- EPSS (Exploit Prediction Scoring System): Entwickelt von FIRST, berechnet dieses Modell die Wahrscheinlichkeit, mit der eine Schwachstelle in den nächsten 30 Tagen ausgenutzt wird. Es berücksichtigt historische Daten und aktuelle Bedrohungsindikatoren.
- SSVC (Stakeholder-Specific Vulnerability Categorization): CISAs Entscheidungsbaum-Modell bewertet nicht nur die Schwere einer Schwachstelle, sondern auch deren Kontext – etwa, ob sie bereits aktiv ausgenutzt wird oder ob ein öffentlicher Exploit-Code verfügbar ist.
- Risikobasierte Priorisierung: Unternehmen wie Paramount setzen auf eine Kombination aus CVSS, EPSS und internen Risikoanalysen, um kritische Schwachstellen schneller zu identifizieren und zu beheben.
Peter Chronis betont: „Es geht nicht darum, CVSS abzuschaffen, sondern es durch ein ganzheitlicheres Risikomanagement zu ergänzen. Die Frage ist nicht, wie schwerwiegend eine Schwachstelle ist, sondern wie wahrscheinlich sie in der Praxis ausgenutzt wird – und welche Auswirkungen das hätte.“
Fazit: Die Zukunft der Schwachstellenbewertung liegt in der Kontextualisierung
Die Palo Alto-Lücken zeigen eindrücklich, dass Sicherheitsverantwortliche ihre Strategien anpassen müssen. Ein reiner Fokus auf CVSS-Scores führt zu gefährlichen Fehleinschätzungen, besonders wenn Angreifer mehrere Schwachstellen kombinieren oder jahrelang auf den richtigen Moment warten. Die Lösung liegt in einer Kombination aus:
- automatisierten Risikoanalysen (z. B. EPSS),
- kontextbasierten Entscheidungsmodellen (z. B. SSVC),
- menschlicher Überprüfung (z. B. für Social Engineering oder Insider-Bedrohungen).
Solange Bewertungssysteme nur isolierte Technologien betrachten, werden Angreifer weiterhin Schwachstellenketten nutzen, um Unternehmen zu kompromittieren. Die Zukunft gehört denen, die über den Tellerrand des CVSS hinausdenken – und Schwachstellen nicht nur nach ihrem Score, sondern nach ihrem realen Risiko bewerten.
KI-Zusammenfassung
Two seemingly manageable Palo Alto CVEs—when combined—enabled root access to 13,000 devices. Learn how scoring systems fail on chained threats and what security teams must do next.
