Mit ONEKEY das tägliche Schwachstellen Chaos einfach automatisieren

• Mehr als 100 neue Software-Schwachstellen (Common Vulnerabilities and Exposures) pro Tag
• Regelbasierte Automatisierung, Validierung und Dokumentation spart Zeit und Kosten
• Mit ONEKEY lässt sich viel Zeit, Aufwand und Nerven beim Schwachstellenmanagement sparen

Düsseldorf, 18. November 2025 – Jeden Tag werden mehr als 100 neue Software-Schwachstellen (Common Vulnerabilities and Exposures, CVEs) entdeckt, davon mehr als 40.000 allein im letzten Jahr. Angesichts dieser Flut wird es für die Hersteller vernetzter digitaler Geräte, Maschinen und Anlagen immer schwerer, herauszufinden, welche CVEs ihre Produkte tatsächlich betreffen und welche sie ignorieren können. Genau diese Klarheit ist erforderlich und verlangt auch die neue EU-Verordnung Cyber Resilience Act (CRA) ab Ende 2027.

Bei typischen Produktentwicklungszeiten von zwei bis drei Jahren wird es für die Industrie also höchste Zeit, sich dem Cyberschutz für IoT- und OT-Produkte (Internet of Things bzw. Operational Technology) zu widmen. Der CRA verlangt hierzu die Schaffung einer Sicherheitsarchitektur, die schon beim Gerätedesign auf maximalen Schutz vor Cyberangriffen ausgelegt ist (Security-by-Design und Security-by-Default) und diesen über den gesamten Produktlebenszyklus gewährleistet.

Ein stets aktueller Überblick über die Common Vulnerabilities and Exposures (CVEs) stellt eine wesentliche Voraussetzung hierfür dar. Daher verbringen die Sicherheitsteams in den Unternehmen viel Zeit damit, die Flut immer neuer CVEs zu sichten, obgleich die eigenen Produkte in den meisten Fällen gar nicht betroffen sind.

Strukturierte Entscheidungen statt CVE-Chaos

Als Abhilfe gegen das „Schwachstellen- oder CVE-Chaos“ hat das Düsseldorfer Cybersicherheitsunternehmen ONEKEY seine Plattform zur Cybersicherheitsanalyse von Gerätesoftware (Firmware) erweitert. Damit können Unternehmen nun Schwachstellen nicht nur automatisiert ermitteln und priorisieren, sondern auch direkt abschließend bewerten und dokumentieren – die sogenannte Triage.Erweiterte Software-Stücklisten (Software Bills of Materials, kurz: SBOMs) und der Import von Herstellerinformationen zu Schwachstellen (Vulnerability Exploitability eXchange, kurz: VEX) zählen ebenfalls dazu. Standardisierte Textvorschläge während der Bearbeitung vereinfachen diese und sparen zusätzlich Zeit und Aufwand.

„Damit erhalten die Entwicklungs- und Sicherheitsteams ein einfaches, systematisches und nachvollziehbares Verfahren, um den Überblick bei Schwachstellen zu behalten“, sagt Jan Wendenburg, CEO von ONEKEY. „Auf der Plattform lassen sich alle Entscheidungen dazu dokumentieren und mit einer Rechtfertigung für die Einschätzung in Bezug auf das jeweilige Produkt versehen. Damit lässt sich die vom CRA geforderte Transparenz und Nachvollziehbarkeit erreichen und die Teams verlieren nicht mehr so viel Zeit mit irrelevanten Schwachstellen, wie das aktuell noch oft der Fall ist.“

Fehlalarme lassen sich um über 60 Prozent reduzieren

Nach ersten Erfahrungen von ONEKEY mit den neuen Funktionen lassen sich damit die Fehlalarme um mehr als 60 Prozent reduzieren. „Fehlalarm“ bedeutet in diesem Zusammenhang, dass eine Gerätesoftware zwar potenziell von einer neu entdeckten Schwachstelle, bzw. CVE betroffen sein könnte, es tatsächlich aber gar nicht ist.

Durch die zügige Erkennung und Klassifizierung von irrelevanten CVEs werden die Teams in die Lage versetzt, ihre Kräfte stärker auf diejenigen Sicherheitslücken zu fokussieren, die tatsächlich von Hackern als Einfallstore für Cyberangriffe ausgenutzt werden könnten. „Schnellere Vulnerability Response mit weniger Ressourcen und Audit-fähige, transparente Entscheidungsprozesse sind die Hauptvorteile“, sagt Jan Wendenburg über die neue Funktionalität.

Regelbasierte Automatisierung, Validierung und Dokumentation

Die neue Erweiterung des Vulnerability Managements ist Teil der ONEKEY-Strategie, Herstellern digitaler Produkte das CVE-Management durch eine regelbasierte Automatisierung und Validierung maßgeblich zu erleichtern. Hauptvorteile sind Zeit- und Kostenersparnis, Konsistenz beim Umgang mit Schwachstellen und in der Dokumentation sowie die Gewährleistung der Compliance.

Dazu gehören eine kontextuelle Risikobewertung von CVEs, eine Priorisierung auf Basis realer Auswirkungen, eine Anreicherung der Software-Stückliste (Software Bill of Materials, SBOM) mit aussagekräftigen Zusatzinformationen und die vollständige Nachvollziehbarkeit aller Entscheidungen durch eine entsprechende Dokumentation. Zu jeder Entscheidung können Feedback von Anbietern, Anmerkungen von Analysten und Maßnahmen zur Risikominderung dokumentiert werden. Dieser möglicht die Rückverfolgbarkeit, verbessert die teamübergreifende Zusammenarbeit und vermittelt Kunden und Aufsichtsbehörden Vertrauen in den Umgang mit Schwachstellen.

CEO Jan Wendenburg ordnet ein: „ONEKEY hat seine Plattform von einer führenden Lösung zur Embedded Software Schwachstellenerkennung hin zu einem Vulnerability Management entwickelt. Damit können Unternehmen den gesamten Weg – von der automatischen Erkennung über die Bewertung bis zur dokumentierten Entscheidung– in einem einzigen, auditierbaren Workflow abbilden.“