Eine neue Marktstudie für das Jahr 2026 mit 128 Sicherheitsentscheidern zeigt eine deutliche Trennlinie zwischen Unternehmen, die Continuous Threat Exposure Management (CTEM) eingeführt haben, und solchen, die weiterhin auf klassische Vulnerability-Ansätze setzen. Organisationen mit CTEM erreichen rund 50 % bessere Sichtbarkeit ihrer Angriffsoberfläche, eine um 23 Prozentpunkte höhere Nutzung von Schutzmaßnahmen und eine insgesamt reifere Threat-Intelligence.
Studie 2026: Wie CTEM die Sichtbarkeit der Angriffsoberflaeche veraendert
Die befragten Personen sind überwiegend leitende Fachkräfte: 85 % der Teilnehmenden haben Positionen auf Manager-Ebene oder höher, 66 % stammen aus Großunternehmen mit mehr als 5.000 Mitarbeitenden. Abgedeckt wurden besonders regulierte Branchen wie Finanzdienstleistungen, Gesundheitswesen und Handel, in denen Ausfälle und Datenpannen unmittelbar geschäftskritisch sind.
Trotz des Reifegrads der Zielgruppe haben erst 16 % der Unternehmen CTEM bereits produktiv eingeführt. Die übrigen 84 % verlassen sich weiterhin auf fragmentierte Modelle des Vulnerability- und Risikomanagements. Gleichzeitig erkennen 87 % der Sicherheitsverantwortlichen die strategische Bedeutung von CTEM an. Damit entsteht ein typischer Umsetzungsstau: Die Notwendigkeit ist akzeptiert, die operative Transformation bleibt jedoch aus.
Die Ergebnisse decken sich mit Einschätzungen von Analystenhäusern wie Gartner, die CTEM als Weiterentwicklung des klassischen Vulnerability Managements einordnen: kontinuierlich, risikobasiert und geschäftsorientiert statt punktuell, tool-zentriert und rein technisch.
Was ist Continuous Threat Exposure Management (CTEM)?
CTEM ist kein einzelnes Tool, sondern ein Rahmenwerk für kontinuierliches Management der Cyber-Exposition. Im Zentrum steht der Übergang von einer reaktiven „Patch-alles-sofort“-Logik hin zu einem zyklischen Prozess:
Erstens werden alle Elemente der externen Angriffsoberfläche fortlaufend identifiziert – von Domains und Subdomains über Cloud- und SaaS-Ressourcen bis zu eingebetteten Drittanbieter-Skripten.
Zweitens werden potenzielle Angriffsvektoren validiert. Statt nur theoretische Schwachstellenlisten zu pflegen, wird mit Techniken wie Angriffssimulation, externem Attack Surface Management und automatisierten Checks geprüft, welche Schwachstellen real ausnutzbar sind.
Drittens erfolgt eine Priorisierung nach Geschäftsrisiko. Nur Expositionen, die nachweislich erheblichen Schaden für Prozesse, Daten oder Reputation verursachen können, werden bevorzugt behandelt. Damit grenzt sich CTEM klar von rein CVSS-getriebenen Patch-Backlogs und sporadischen Scans ab.
Warum viele Unternehmen trotz Risiko nicht auf CTEM umstellen
Die Lücke zwischen Verständnis und Umsetzung spiegelt die Kernfrage vieler Sicherheitsabteilungen: Was hat heute Priorität – Feuer löschen oder Brandfrüherkennung? Sicherheitsverantwortliche sehen sich konfrontiert mit historisch gewachsenen IT-Landschaften, konkurrierenden Digitalisierungsprojekten und Budgets, die eher kurzfristige Incident-Response als langfristige Risikoarchitektur begünstigen.
Zusätzlichen Druck erzeugen externe Faktoren. 91 % der befragten CISOs melden eine Zunahme von Vorfällen mit Drittparteien – ein Trend, der sich auch in globalen Breach-Analysen widerspiegelt. Der IBM Cost of a Data Breach Report 2023 beziffert die durchschnittlichen Kosten einer Datenpanne weltweit auf rund 4,45 Mio. US‑Dollar, was den im Report genannten 4,44 Mio. US‑Dollar entspricht. Parallel verschärfen Standards wie PCI DSS 4.0.1 die Anforderungen an Monitoring, Logging und Reporting.
Damit rückt die Steuerung der Angriffsoberfläche von einer rein technischen Disziplin zu einem Thema für Vorstand und Aufsichtsorgane auf. Dennoch scheitert die Einführung von CTEM in vielen Fällen an fehlender Prozessreife, unklaren Verantwortlichkeiten und dem Fehlen einer klaren Roadmap.
Wachsende Angriffsoberflaeche und Visibility Gap als Risiko-Multiplikator
Die Studie zeigt einen klaren Zusammenhang zwischen der Größe der digitalen Präsenz und der Angriffsrate. Unternehmen mit 0 bis 10 Domains verzeichnen etwa 5 % der beobachteten Angriffe. Bei 51 bis 100 Domains steigt dieser Anteil bereits auf 18 %, jenseits von 100 Domains nimmt die Kurve dann besonders stark zu.
Ursache ist der sogenannte Visibility Gap: die Differenz zwischen allen Assets, für die ein Unternehmen rechtlich und operativ verantwortlich ist, und jenen, die in Inventaren und Monitoring-Systemen tatsächlich erfasst sind. Jeder neue Domain-Eintrag bringt oft Dutzende verbundene Dienste, APIs und Drittkomponenten mit sich; die potenziellen Einstiegspunkte summieren sich schnell auf mehrere Tausend.
Mit wachsender Komplexität brechen manuelle Verfahren zwangsläufig zusammen. Schatten-IT, vergessene Testumgebungen oder nicht registrierte SaaS-Integrationen bleiben außerhalb des Monitorings. Periodische „Sicherheits-Schnappschüsse“ durch Einzel-Audits oder jährliche Penetrationstests können dieses Delta nicht schließen. Unternehmen mit CTEM kompensieren dies durch automatisierte, kontinuierliche Entdeckung, Bewertung und Schließung von Expositionen und skalieren damit deutlich besser als Organisationen mit rein traditionellem Vulnerability Management.
Wenn klassisches Vulnerability Management nicht mehr skaliert
Unterhalb einer gewissen Komplexität – wenige Domains, überschaubare On-Premises-Infrastruktur – reicht ein Mix aus periodischen Scans und manueller Pflege oft noch aus. Mit wachsender Angriffsoberfläche kehrt sich dieses Verhältnis jedoch um: Der operative Aufwand steigt schneller als Teamkapazitäten und Budget, Entscheidungsprozesse verlangsamen sich, wichtige Patches werden verzögert umgesetzt.
Die Studie zeigt: Unternehmen mit CTEM weisen eine höhere Automatisierungsquote, bessere Asset-Abdeckung und schnellere Implementierung von Schutzmaßnahmen auf. Für Organisationen mit komplexen, hybriden IT-Landschaften lautet die Frage daher weniger „Brauchen wir CTEM?“, sondern „Kann unser aktueller Ansatz ohne CTEM die Dynamik der Risiken überhaupt noch abfangen?“.
So gelingt der Einstieg in CTEM: Vier praxisnahe Schritte
1. Vollständige Inventarisierung der Angriffsoberflaeche. Erfassung aller Domains, Subdomains, Cloud- und SaaS-Dienste, externen Web-Ressourcen, Skripte und Integrationen – idealerweise unterstützt durch Attack-Surface-Management-Lösungen.
2. Anreicherung mit Business-Kontext. Verknüpfung technischer Assets mit Prozessen, Datenklassen und Verantwortlichen, um Expositionen nach geschäftlicher Kritikalität statt nur nach technischen Schweregraden zu bewerten.
3. Kontinuierliche Validierung von Risiken. Einsatz von Angriffssimulation, Red-Teaming-Ansätzen, externen Scans und automatisierten Kontrollen, um zwischen theoretischen Schwachstellen und tatsächlich ausnutzbaren Angriffswegen zu unterscheiden.
4. Priorisierung und Orchestrierung der Reaktion. Integration von CTEM in bestehende Vulnerability-Management-, DevSecOps- und Incident-Response-Prozesse, ergänzt durch klare Metriken und Berichte für Management und Aufsichtsgremien.
Unternehmen, die von punktuellen Audits und manuellen Kontrollen auf ein konsequent kontinuierliches Exposure Management umstellen, verbessern nachweislich Sichtbarkeit, Reaktionsgeschwindigkeit und Resilienz. Angesichts zunehmender Regulierung, wachsender Abhängigkeit von Drittparteien und steigender Kosten pro Datenpanne ist der Aufbau eines CTEM-Programms weniger eine Option als eine strategische Notwendigkeit. Organisationen sollten ihren eigenen Visibility Gap gezielt messen, Lücken priorisieren und eine klare Roadmap für die Einführung von CTEM definieren, um Cyberrisiken nachhaltig zu senken und regulatorische wie geschäftliche Anforderungen zu erfüllen.
