SchwachstellenCybersicherheit

NIST ändert Strategie: Nur noch kritische Schwachstellen werden priorisiert erfasst

NIST ändert Strategie: Nur noch kritische Schwachstellen werden priorisiert erfasst
Zusammenfassung

Das nationale US-amerikanische Institut für Standards und Technologie (NIST) hat angekündigt, seine Strategie zur Verwaltung von Sicherheitslücken grundlegend zu reformieren. Grund für diese Änderung ist die explodierende Menge an neuen CVE-Meldungen (Common Vulnerabilities and Exposures), die zwischen 2020 und 2025 um 263 Prozent gestiegen sind. NIST wird künftig nur noch Sicherheitslücken priorisieren, die von der US-Cybersecurity and Infrastructure Security Agency (CISA) als aktiv ausgenutzt dokumentiert oder in kritischen Systemen von Bundesbehörden vorhanden sind. Alle anderen CVE-Einträge erhalten den Status „Not Scheduled" und werden nicht automatisch mit detaillierten Informationen angereichert. Dies betrifft potenziell auch deutsche Nutzer und Unternehmen, da die NVD weltweit als zentrale Referenzdatenbank für Schwachstellen gilt. Während hierzulande betroffene Sicherheitsverantwortliche künftig möglicherweise verzögert auf umfassende Informationen zu Sicherheitslücken zugreifen können, konzentriert sich NIST damit auf die Bekämpfung der kritischsten Bedrohungen. Deutsche Organisationen sollten alternative Informationsquellen entwickeln und eigenständig Schwachstellen-Management betreiben.

Die Flut von Sicherheitsmeldungen ist für NIST zur Belastungsprobe geworden. Im vergangenen Jahr verarbeitete das Institut nur 42.000 CVEs, konnte aber mit dem rasanten Anstieg neuer Meldungen nicht Schritt halten. Besonders beeindruckend: In den ersten drei Monaten des Jahres 2026 verzeichnete NIST bereits etwa ein Drittel mehr Meldungen als im gleichen Zeitraum des Vorjahres.

Um diese Flut zu bewältigen, führt NIST ein risikobasiertes Priorisierungssystem ein. Künftig werden CVE-Einträge automatisch angereichert, wenn sie:

  • innerhalb eines Tages nach Einreichung in CISAs Katalog der bekannten ausgebeuteten Schwachstellen (KEV) aufgenommen werden,
  • Schwachstellen in Software betreffen, die von US-Bundesbehörden genutzt wird,
  • kritische Software nach Dekret 14028 betreffen.

Alle anderen Einträge erhalten zunächst das Label “Not Scheduled” und werden erst auf Anfrage angereichert. NIST betont, dass diese CVEs zwar relevant sein können, aber nicht dasselbe systemische Risiko darstellen wie die priorisierten Kategorien.

Die Konsequenzen sind weitreichend: Der gesamte Rückstau an unangereicherten CVEs vor dem 1. März 2026 wird nachträglich in die “Not Scheduled”-Kategorie verschoben. Zudem wird NIST keine eigenen Severity-Scores mehr vergeben, wenn die CVE-Numbering-Authority bereits Bewertungen vorgelegt hat, und wird Einträge nach Anreicherung nicht erneut analysieren, es sei denn, Änderungen beeinflussen die Anreicherungsdaten wesentlich.

Für deutsche Sicherheitsteams bedeutet diese Strategieänderung praktische Konsequenzen. Viele Schwachstellen werden ohne NIST-Analysen in die Datenbank aufgenommen und erfordern eine verstärkte Eigenrecherche. Besonders kleine und mittlere Unternehmen könnten Schwierigkeiten bekommen, die Kritikalität von CVEs ohne professionelle Anreicherung zu bewerten. Allerdings ermöglicht das neue System NIST, langfristig automatisierte Systeme und verbesserte Workflows zu entwickeln — eine Investition in die Zukunftsfähigkeit der vulnerabilities Database.

NIST räumt ein, dass diese Änderungen die Nutzer beeinflussen werden. Doch das risikobasierte Modell sei notwendig, um die Qualität der Datenmbase zu sichern und gleichzeitig das wachsende Aufkommen zu bewältigen.

Ähnliche Artikel