Die versteckten Kosten von CVEs – und der Wert, den Sie ungenutzt lassen
Common Vulnerabilities and Exposures (CVEs) sind nicht mehr nur ein nebensächliches Ärgernis – sie sind eine zunehmende Belastung. In containerisierten Softwareumgebungen stellen CVEs ein reales Risiko dar: die Gefahr von Sicherheitsverletzungen, die Last des ständigen Patchens und die Opportunitätskosten für Engineering-Zeit, die von Innovationen abgezogen wird. Dennoch wird ihre volle Auswirkung immer noch weitgehend unterschätzt.
Chainguards Bericht für 2025, „The Cost of CVEs“, beziffert diesen Tribut – und zeigt auf, wie viel Unternehmen für das Management von Schwachstellen ausgeben und wie sehr sie davon profitieren können, das Problem an der Wurzel zu lösen.
CVEs kosten mehr, als Sie denken
Vom manuellen Erstellen gehärteter Container-Images über die Triage und Behebung von Schwachstellen bis hin zur Pflege der Compliance-Dokumentation und der Bearbeitung von Kundeneskalationen verbringen Engineering-Teams enorme Zeit mit CVE-bezogenen Aufgaben, die keinen geschäftlichen Mehrwert schaffen. Diese Aufgaben sind mühsam und erfordern oft ein hohes Maß an Fachwissen, um sie ordnungsgemäß auszuführen. Wenn die Kapazitäten knapp sind und das Unternehmen weiter innovativ sein muss, um gesund zu bleiben, wird das CVE-Management zu einer Belastung für die Produktivität.
Chainguard hat mit einer Auswahl unserer Kunden aus verschiedenen Branchen (Konsumgüter & Handel, Finanzdienstleistungen, Gesundheitswesen, Technologie sowie Telekommunikation & Infrastruktur) und Umsatzsegmenten zusammengearbeitet, um den geschäftlichen Nutzen aufzuzeigen, den sie durch den Einsatz von Chainguard Containers erzielen können. Mit Chainguard können Unternehmen Aufgaben wie die manuelle Erstellung gehärteter Container-Images, die Sichtung und Behebung von Schwachstellen, die Pflege der Compliance-Dokumentation und die Bearbeitung von Kundeneskalationen auslagern. Wir haben zudem die Vorteile im Hinblick auf die Verringerung des Risikos von Sicherheitsverletzungen, die Erschließung von Umsätzen durch sicherheitsbewusste Kunden und die Umverteilung von Engineering-Talenten für die Produktentwicklung bewertet.
Einige Highlights aus den Daten:
Unternehmen aus verschiedenen Branchen sparten jährlich durchschnittlich rund 2,1 Millionen US-Dollar bei der Behebung von CVEs ein – ein Bereich mit harten Kosteneinsparungen, der direkt Werte in anderen Geschäftsbereichen freisetzt.
Die teilnehmenden Unternehmen verzeichneten eine jährliche Ersparnis von durchschnittlich über 400.000 US-Dollar bei der Härtung von Container-Images, was besonders in regulierten Branchen wie dem Gesundheitswesen sowie dem Konsumgüter- und Handelssektor bemerkenswert ist.
Organisationen im Gesundheitswesen können von einem jährlich freigesetzten Wert von durchschnittlich 50 Millionen US-Dollar profitieren, wovon allein 39 Millionen US-Dollar auf die Risikominderung entfallen.
Start-ups in der Wachstumsphase (mit einem Umsatz von 100 bis 500 Millionen US-Dollar) aus verschiedenen Branchen meldeten durchschnittliche jährliche Erträge von 12,6 Millionen US-Dollar, was zeigt, dass dies nicht nur ein Problem für „große Unternehmen“ ist.
Jeder teilnehmende Kunde verzeichnete direkte Kosteneinsparungen durch die Reduzierung des Zeit- und Arbeitsaufwands für das Engineering bei der CVE-Behebung, der Wartung gehärteter Minimal-Images und der Bearbeitung von Kundeneskalationen. Der unmittelbarste Vorteil ergab sich aus der Reduzierung des Arbeitsaufwands für die Verwaltung von CVEs. Wenn Unternehmen weniger Zeit für die Behebung von CVEs und den Aufbau der dafür erforderlichen internen Infrastruktur aufwenden, können sie mehr Zeit anderen wichtigen Geschäftsbereichen widmen, wie der Umsatzsteigerung, der Beschleunigung von Innovationen und der Senkung des allgemeinen Risikoprofils.
Die Kosten für Eigenleistungen
Im Bericht meldeten Chainguard-Kunden konkrete Kosteneinsparungen in vier Hauptbereichen: CVE-Behebung, Image-Härtung, Compliance und weniger Kundeneskalationen. Diese Bereiche erfordern ständige Aufmerksamkeit und Konzentration, um erfolgreich umgesetzt zu werden. Für viele dieser Unternehmen führte dieser Bedarf dazu, dass eine immense Anzahl an Engineering-Stunden für die interne Erstellung oder Wartung von Container-Images aufgewendet wurde.
Für viele dieser Engineering-Teams ist dies keine angenehme Aufgabe. Teams werden oft Opfer des „CVE-Teufelskreises“, da unzählige Stunden mit der Suche nach Lösungen für die Triage und Behebung von Schwachstellen verschwendet werden, nur um im Laufe der Zeit festzustellen, dass neue auftauchen. Dieser Teufelskreis wird dadurch verschärft, dass Kunden ihre Frustration äußern und Eskalationen auslösen, wenn sie bemerken, dass in ihrer Umgebung CVEs in Produkten und Dienstleistungen auftauchen, die sie nicht selbst beheben können. Und dabei ist die Notwendigkeit, CVEs in wichtigen Compliance-Frameworks wie FedRAMP oder PCI-DSS zu reduzieren, noch gar nicht berücksichtigt.
All diese Faktoren führen zusammen zu einer frustrierenden, unter Zeitdruck stehenden Notwendigkeit, Arbeiten zu erledigen, die oft nicht zum Kernbereich der täglichen Aufgaben eines Engineers gehören. Der CVE-Teufelskreis ist ein kostspieliges Problem, und für viele Unternehmen ist es schwierig und teuer, ihn intern zu bewältigen. Die im Bericht quantifizierten direkten Kosteneinsparungen zeigen das Ausmaß der Entlastung, die diese Organisationen durch die Auslagerung dieser Aufgaben erfahren, wodurch sie wiederum in anderen Bereichen erheblichen Mehrwert freisetzen.
Woher der Mehrwert kommt
Im gesamten Bericht gaben Organisationen massive Steigerungen der Umsätze an, die sie durch den Einsatz von Chainguard Containers erzielt haben. Die Reduzierung des Zeit- und Arbeitsaufwands für das CVE-Management ermöglicht es diesen Organisationen, neue, sicherheitsbewusste Märkte zu erschließen und strenge Compliance-Anforderungen zu erfüllen.
Ein weiterer Weg, wie diese Organisationen ihren Umsatz steigern, ist eine schnellere Innovation. Durch die Zeit, die Entwicklungsteams durch die Nutzung von Chainguard Containers zurückgewinnen, setzen sie potenzielle Umsätze in Millionenhöhe frei, indem sie die von ihren Kunden benötigten Lösungen schneller entwickeln und ausliefern. Das erhöhte Innovationstempo hilft diesen Organisationen, im Bewusstsein ihrer Kunden präsent zu bleiben.
Chainguard-Kunden berichteten zudem über einen signifikanten Return on Investment im Bereich der Risikominderung. Die Kosten eines Sicherheitsproblems sind hoch, insbesondere in regulierten Branchen wie dem Gesundheitswesen oder bei Finanzdienstleistungen. Organisationen in diesen Branchen verfügen über hochsensible Kundendaten, und die daraus resultierenden Entschädigungszahlungen und Bußgelder infolge einer Sicherheitsverletzung können astronomisch sein. Die Reduzierung der Angriffsfläche ist entscheidend, und die Verringerung der Anzahl von CVEs in der Umgebung eines Unternehmens ist von kritischer Bedeutung.
Eine einfache Änderung, massive Auswirkungen
Das zugrunde liegende Problem ist nicht nur das Vorhandensein von Schwachstellen – es ist die manuelle, reaktive und ressourcenfressende Art und Weise, wie die meisten Unternehmen sie verwalten. Hinzu kommt das potenzielle Risiko von Sicherheitsvorfällen.
Chainguard-Container werden täglich aus dem Quellcode neu erstellt, gehärtet, um Standards wie FIPS und STIGs zu entsprechen, und mit null bekannten Schwachstellen ausgeliefert. Dies eliminiert ganze Kategorien von mühsamer Routinearbeit, Eskalationen und Verzögerungen und verbessert gleichzeitig die Sicherheitslage auf ganzer Linie.
Das Fazit
Viel zu lange wurden CVEs als Teil der Geschäftskosten moderner Software betrachtet. Aber sie sind nicht nur ein Sicherheitsproblem – sie sind ein geschäftliches Problem. Und die Lösung bietet messbare Erträge in den Bereichen Engineering-Effizienz, Marktzugang und Markenvertrauen.
Wenn Ihr Unternehmen Millionen für das CVE-Management ausgibt – sei es sichtbar durch Personalkosten oder unsichtbar durch entgangene Chancen –, ist es an der Zeit, Ihre Container-Strategie zu überdenken.
Lesen Sie noch heute den vollständigen Bericht und erfahren Sie mehr darüber, wie Chainguard-Container Ihnen helfen können, Kosten zu senken, Risiken zu minimieren und Innovationen freizusetzen.
Share this article
Related articles
- research
Engineers Want to Build, Not Maintain: Key Findings From Our 2026 Engineering Reality Report
Dustin Kirkland, SVP of Engineering
- research
Mitigating malware in the python ecosystem with Chainguard Libraries
Aaditya Jain, Senior Product Marketing Manager
- research
Panic! At The Distro: A Study of Malware Prevention in Linux Distributions
Duc-Ly Vu, Trevor Dunlap, Paul Gibert, John Speed Meyers, and Santiago Torres-Arias
- research
Why AI developers are grumpy about containers
John Speed Meyers, Head of Chainguard Labs, and Dan Fernandez, Staff Product Manager
- research
FuzzSlice: Separating real CVEs from fakes through fuzzing
Aniruddhan Murali, Chainguard Labs Research Intern
- research
ChainGPT: Exploring open source projects with LLM agents
Paul Gibert, Chainguard Researcher