Sämtliche Schwachstellendaten sind rein statistischer Natur und können mit keinem Nutzer, System, Unternehmen oder Ort in Verbindung gebracht werden. Bei der Analyse wurden das "Fenster der Gefährdung", die Lebensdauer kritischer Sicherheitslücken, die getroffenen Abhilfemaßnahmen, längerfristige Trends und die Verbreitung von Schwachstellen ermittelt. Dabei ließen sich aufschlussreiche Gesetzmäßigkeiten im Hinblick auf die Halbwertzeit, den Verbreitungsgrad, die Wirkungsdauer und die Ausnutzung feststellen.

Befall nach Erstinfektion

Bei kritischen Schwachstellen werden innerhalb von 21 Tagen (in internen Netzen 62 Tagen) 50 Prozent der Systeme gepatcht.

Die Halbwertszeit einer Schwachstelle ist die Zeit, die vergeht, bis Unternehmen die Hälfte der betroffenen Systeme geschützt haben. Die Halbwertszeit kritischer Schwachstellen beträgt bei externen Systemen 21 Tage und bei internen Systemen 62 Tage; mit abnehmendem Schweregrad verdoppeln sich diese Zahlen. Mit anderen Worten: Selbst bei den gefährlichsten Sicherheitslücken haben Unternehmen nach 21 Tagen erst die Hälfte der anfälligen externen Systeme gepatcht; für die Hälfte der anfälligen internen Systeme benötigen sie 62 Tage. Die restlichen Systeme bleiben somit über einen beträchtlichen Zeitraum hinweg ungeschützt.

Im vergangenen Jahr verkürzte sich die Halbwertszeit von Schwachstellen in Systemen, die direkt an das Internet angebunden sind, von 30 auf 21 Tage - also um 30 Prozent. Das ist eine viel versprechende Entwicklung, die demonstriert, dass die Abwehrmaßnahmen gegen externe Sicherheitslücken besser werden. Andererseits jedoch zeigten Analysen von Schwachstellen innerhalb der Unternehmens-Firewalls, dass diese mit 62 Tagen eine fast 200 Prozent längere Halbwertszeit haben.