Thought Leadership
Das US-amerikanische National Institute of Standards and Technology (NIST) kann mit der Flut an neuen Sicherheitslücken nicht mehr Schritt halten. Ab sofort werden nur noch kritische und aktiv ausgenutzte Schwachstellen (CVEs) detailliert angereichert.
Die zentrale Säule der globalen Schwachstellenbewertung wankt unter einer großen Last. Das National Institute of Standards and Technology (NIST) hat offiziell weitreichende Änderungen bei der Bearbeitung von Cybersecurity Vulnerabilities and Exposures (CVEs) in der National Vulnerability Database (NVD) bekannt gegeben. Ab sofort wird das Institut die sogenannte „Anreicherung“ von Schwachstellen, also das Hinzufügen von Metadaten wie Schweregrad-Bewertungen (CVSS) und betroffenen Software-Konfigurationen (CPE), drastisch einschränken und priorisieren.
Der Grund für diesen Schritt ist ein explosionsartiger Anstieg der gemeldeten Sicherheitslücken. Zwischen 2020 und 2025 verzeichnete das NIST eine Zunahme der CVE-Einreichungen um 263 Prozent. Ein Ende dieses Trends ist nicht abzusehen: Allein im ersten Quartal 2026 lagen die Zahlen fast ein Drittel über dem Vorjahreszeitraum.
„CVEs, die diese Kriterien nicht erfüllen, werden weiterhin in der NVD gelistet, aber nicht mehr automatisch durch das NIST angereichert. Diese Änderung wird durch einen Anstieg der CVE-Einreichungen vorangetrieben, die zwischen 2020 und 2025 um 263 % zugenommen haben. Wir erwarten nicht, dass dieser Trend in absehbarer Zeit nachlässt.“
Statement von NIST
Die neuen Priorisierungskriterien
Um die nationale Sicherheit und die Stabilität kritischer Systeme zu gewährleisten, konzentriert sich das NIST künftig auf drei Kernkriterien für die bevorzugte Bearbeitung:
- Aktive Bedrohungen: Schwachstellen, die bereits im Katalog der „Known Exploited Vulnerabilities“ (KEV) der US-Sicherheitsbehörde CISA gelistet sind.
- Regierungssoftware: Softwareprodukte, die innerhalb der US-Bundesverwaltung im Einsatz sind.
- Kritische Software nach Executive Order 14028: Hierzu zählt Software mit erweiterten Berechtigungen, privilegiertem Zugriff auf Netzwerkressourcen oder Kontrolle über operative Technologien (OT) sowie Anwendungen, die außerhalb normaler Vertrauensgrenzen operieren.
Sämtliche Einreichungen, die diese Schwellenwerte nicht erreichen, werden künftig mit dem Status „Not Scheduled“ (Nicht geplant) markiert. Das NIST begründet dies damit, dass diese Lücken zwar erhebliche Auswirkungen auf einzelne Systeme haben können, aber im Vergleich zu den priorisierten Kategorien ein geringeres systemisches Risiko für die gesamte Infrastruktur darstellen.
Operative Umstellungen und Altlasten
Die Reform betrifft auch den Umgang mit bestehenden Daten. Alle bisher nicht angereicherten CVEs mit einem Veröffentlichungsdatum vor dem 1. März 2026 werden in die Kategorie „Not Scheduled“ verschoben, sofern sie nicht im CISA KEV-Katalog enthalten sind. Zudem wird das NIST keine eigenen Schweregrad-Bewertungen mehr erstellen, wenn die zuständige CVE Numbering Authority (CNA) bereits einen Score geliefert hat. Eine erneute Analyse modifizierter CVEs erfolgt nur noch dann, wenn die Änderungen wesentliche Auswirkungen auf die Anreicherungsdaten haben.
Für Unternehmen, die eine Anreicherung für eine als „nicht geplant“ eingestufte Schwachstelle für notwendig halten, bleibt lediglich der Weg über eine manuelle Anfrage per E-Mail an das NVD-Team.
Expertenstimmen zur Änderung von NIST
„Diese Ankündigung unterstreicht, was wir bereits wissen: Wir leben nicht mehr in einer Welt, in der die manuelle Anreicherung neuer Schwachstellen eine machbare oder effektive Strategie ist. Selbst ohne KI-gesteuerte Schwachstellenforschung, die das CVE-Volumen und die Validierungsherausforderungen beschleunigt, verlangt das heutige Bedrohungsklima unmissverständlich nach verteilten Ansätzen in Maschinengeschwindigkeit zur Identifizierung und Anreicherung von Schwachstellen sowie nach einer wahrhaft globalen Perspektive auf Risiken, die die vernetzte, voneinander abhängige Natur des weltweiten Software-Ökosystems – und der Angreifer, die darauf abzielen – anerkennt. Schließlich werden Angreifer das priorisieren, was wir für uns selbst nicht priorisieren.“
Caitlin Condon, Vice President of Security Research bei VulnCheck
David Lindner, Chief Information Security Officer bei Contrast Security, bezeichnet die Entscheidung als das Ende einer Ära. Bisher konnten sich Verteidiger weltweit auf eine einzige, staatlich verwaltete Datenbank verlassen, um Sicherheitsrisiken zu bewerten. Künftig seien Unternehmen gezwungen, proaktive, durch Threat Intelligence gesteuerte Ansätze zu wählen. Man müsse sich vom „Rauschen“ des gesamten CVE-Volumens lösen und die begrenzten Ressourcen auf die CISA KEV-Liste und tatsächliche Ausnutzbarkeitsmetriken konzentrieren.
Fazit
Die Entscheidung des NIST ist ein Weckruf für CISOs weltweit. Die Abhängigkeit von einer umfassenden, manuell kuratierten staatlichen Datenbank nicht mehr tragbar. Die Schätzung, dass derzeit noch rund 10.000 Schwachstellen aus dem Jahr 2025 ohne CVSS-Score in der Datenbank liegen, verdeutlicht die prekäre Lage.
Unternehmen müssen ihre Auditing-Workflows modernisieren. Statt theoretische Schweregrade als alleiniges Maß zu nutzen, rückt die tatsächliche Exposition (Actual Exposure) in den Vordergrund. In einer vernetzten Welt, in der Angreifer zunehmend KI nutzen, um Schwachstellen in Rekordzeit zu finden, muss auch die Verteidigung auf automatisierte, datengesteuerte Prozesse setzen. Das NIST hat den Weg vorgegeben: Weg von der lückenlosen Archivierung jedes kleinen Fehlers, hin zu einer risikobasierten Priorisierung nationaler und globaler Resilienz.
