Thought Leadership
Eine Prognose des FIRST-Netzwerks erwartet bis zu 100.000 Schwachstellen allein in diesem Jahr und die Zahlen steigen weiter. Gleichzeitig ist die Zukunft des CVE-Programms selbst ungewiss.
Die Zahl neu gemeldeter Sicherheitslücken wird in diesem Jahr erstmals die Schwelle von 50.000 überschreiten. So lautet jedenfalls die Prognose des internationalen Sicherheitsnetzwerks FIRST (Forum of Incident Response and Security Teams). Wäre das noch halbwegs beherrschbar, deutet die eigentliche Schreckenszahl in eine andere Richtung: Im Median rechnet FIRST mit rund 59.000 veröffentlichten CVEs zum Jahresende 2026.
In realistischen Szenarien seien sogar zwischen 70.000 und 100.000 Schwachstellen möglich, heißt es im aktuellen 2026 Vulnerability Forecast des Netzwerks: “Während unsere zentrale Schätzung für 2026 bei etwa 59.000 liegt, halten wir es für durchaus realistisch, dass wir in diesem Jahr 70.000 bis 100.000 Schwachstellen erreichen werden”, schreibt das Netzwerk. “Die Obergrenze unseres 90-prozentigen Konfidenzintervalls liegt bei fast 118.000 – eine Zahl, die einen Paradigmenwechsel im Bereich des Schwachstellenmanagements bedeuten würde. Wir halten es für wahrscheinlicher, dass die Zahl eher bei 60.000 liegen wird, aber es ist wichtig, dass wir uns auch auf extremere Szenarien wie 70.000 oder 80.000 vorbereiten.”
Zum Vergleich: Noch 2024 galt die Marke von 40.000 CVEs in einem Jahr als alarmierend hoch. Jetzt soll die Zahl in kurzer Zeit um 25 bis 150 Prozent steigen, je nachdem, welches der vorhergesagten Szenarien eintrifft. Und die Prognosen für 2027 und 2028 zeigen: Eine Trendwende ist nicht in Sicht.
Strategisch priorisieren statt jedem CVE hinterherlaufen
FIRST versteht seine Vorhersagen ausdrücklich als Planungsinstrument für Sicherheitsteams. Nicht jede Lücke ist gleich gefährlich, und Unternehmen können schlicht nicht auf alle reagieren. Genau das ist die Botschaft des Berichts. „Die Frage, die sich Unternehmen jetzt stellen müssen, lautet: Sind meine Mitarbeiter und Prozesse bereit, dieses Volumen zu bewältigen, und priorisiere ich die Schwachstellen, die tatsächlich meine Daten gefährden?, sagt Éireann Leverett, FIRST Liaison und Lead der Vulnerability Forecasting Team.
Leverett ergänzt, die Prognose solle Verteidiger in die Lage versetzen, nicht mehr auf jeden neuen CVE zu reagieren, sondern strategische Entscheidungen zu treffen, bevor Angreifer die Lücken ausnutzen können. Klingt vernünftig, ist in der Praxis aber eine erhebliche Herausforderung für ohnehin schon überlastete Sicherheitsteams.
CVE-Programm: Finanzierung läuft im März aus
Ob und wie das CVE-Programm nach März weitergeführt wird, ist derzeit offen. Eine vollständige Einstellung wäre ein erheblicher Schlag für die gesamte IT-Sicherheitsbranche, die das System als De-facto-Standard für die Schwachstellenkommunikation nutzt.
Während die Zukunft des MITRE-Programms ungewiss bleibt, entsteht in Europa bereits eine strukturelle Antwort: Mit GCVE (Global CVE Allocation System) ist eine neue Plattform zur Erfassung von IT-Sicherheitslücken an den Start gegangen. Betrieben wird sie vom luxemburgischen CIRCL (Computer Incident Response Center Luxembourg), das in der europäischen Sicherheitsforschung seit Jahren einen guten Ruf genießt.
