SchwachstellenCyberkriminalität

NIST ändert Strategie: Nicht mehr alle Sicherheitslücken werden dokumentiert

NIST ändert Strategie: Nicht mehr alle Sicherheitslücken werden dokumentiert
Zusammenfassung

Das nationale US-Sicherheitsinstitut NIST kündigte eine grundlegende Umstrukturierung seiner Arbeit bei der Erfassung von Cybersicherheitslücken an. Hintergrund ist eine explosionsartig gestiegene Flut von Sicherheitsmeldungen: Die Einreichungen in den ersten drei Monaten 2026 waren bereits um ein Drittel höher als im Vorjahr. NIST gibt zu, dass es unmöglich geworden ist, alle eingereichten Schwachstellen mit Detailinformationen wie Schweregrad-Bewertungen zu versehen – eine Aufgabe, die bisher als zentrale Mission galt. Ab sofort wird das Institut nur noch Sicherheitslücken priorisieren, die in einem föderalen Katalog kritischer Schwachstellen aufgelistet sind oder in Software der US-Regierung vorkommen. Der Grund für die Überlastung liegt unter anderem in der zunehmenden Nutzung von KI-gestützten Code-Review-Tools, die automatisiert auch kleinere Anfälligkeiten entdecken. Diese Entscheidung hat erhebliche Folgen für deutsche Unternehmen und Behörden, die bei der Verwaltung ihrer IT-Sicherheit stark auf die NIST-Datenbank angewiesen sind. Ein großer Teil von Sicherheitslücken wird künftig ohne umfassende Informationen registriert, was die Priorisierung von Patch-Maßnahmen erschwert.

Das Debakel ist hausgemacht. NIST verweist zwar auf rasant steigende Einreichungen, doch der Kern des Problems liegt in den Ressourcen. Während die Zahl der Schwachstellen jährlich exponentiell wächst, beschäftigt NIST im Bereich der Vulnerabilitätendatenbank konstant nur 21 Mitarbeiter. Das ist schlicht nicht zu bewältigen.

Ab sofort wird NIST nur noch CVEs “anreichern” – also mit Beschreibungen, Schweregrad und technischen Details versehen – die bestimmte Kriterien erfüllen. Neu eingereichte Lücken, die nicht in den CISA-Katalog exploitierter Vulnerabilities aufgenommen werden und nicht als “kritisch” eingestuft sind, erhalten keine detaillierte Dokumentation mehr. Sie werden zwar in der Datenbank gelistet, bleiben aber praktisch leer.

Die Priorisierung orientiert sich künftig hauptsächlich am Katalog der Cybersecurity and Infrastructure Security Agency (CISA), die auch in den USA die zentrale Behörde für kritische Infrastrukturen ist. CVEs in Produkten der US-Bundesregierung und als kritisch eingestufter Software werden innerhalb eines Tages bearbeitet. Alle anderen müssen warten – oder werden möglicherweise gar nicht mehr dokumentiert.

Besonders problematisch: NIST räumt ein, dass die neue Strategie “möglicherweise nicht jede potenziell hochgradig schädliche CVE erfasst”. Das ist eine bemerkenswerte Offenbarung. Die Datenbank, auf die sich weltweit IT-Sicherheitsteams verlassen, wird zum Filter mit bekannten Lücken.

Verantwortlich für die Krise ist auch die KI-Revolution im Code-Review. Automatisierte Tools werden zunehmend eingesetzt, um Schwachstellen zu finden – was die Zahl der Meldungen massiv erhöht, oft aber mit Vulnerabilities, die eher geringfügig sind. Gleichzeitig warnen Experten vor autonomen Systemen, die Bugs nicht nur finden, sondern auch sofort ausnutzen könnten.

Die Lage war bereits 2024 kritisch, als 90 Prozent der eingereichten CVEs nicht dokumentiert wurden. Damals sprangen Cybersecurity-Experten weltweit Alarm: NIST hätte dramatisch weniger Personal als nötig, wurde es hieß. CISA musste als Behelfslösung einspringen. Kürzere Fristen und vage Versprechen später – die Probleme sind größer geworden, nicht kleiner.

Für deutsche Unternehmen bedeutet dies: Bei der Bewertung von Sicherheitsrisiken können sie sich künftig nicht mehr vollständig auf die NVD verlassen. Die Realität ist, dass das zentrale globale System zur Vulnerabilität-Verwaltung unter der Last kollabiert. NIST hofft, durch Automatisierung und “Workflow-Verbesserungen” das Problem zu lösen – aber realistisch ist, dass es vorerst nur schlimmer wird.

Ähnliche Artikel