Das Vulnerability-Management-System ist an seine Grenzen gestoßen. NIST hat Jahrelang für praktisch jede gemeldete Sicherheitslücke eine detaillierte Analyse mit eigenen Severity-Scores durchgeführt – eine Praxis, die für Unternehmen und Behörden zum Standard für Patch-Priorisierung geworden ist. Doch die Masse ist inzwischen unbeherrschbar geworden. In den ersten drei Monaten 2026 lagen die Einreichungen bereits um ein Drittel über dem Vorjahreswert.
Die Gründe für diese Explosion sind vielfältig: Verbesserte Erkennungswerkzeuge, künstliche Intelligenz, erweiterte Bug-Bounty-Programme, dramatisch vergrößerte Angriffsflächen und rasante Entwicklungszyklen führen zu einer regelrechten Flut neuer Schwachstellen. NIST konnte einfach nicht mehr mithalten – es bildete sich ein massiver Rückstau bei der Klassifizierung.
Mit der neuen Strategie verschiebt NIST die Verantwortung bewusst: Alle Meldungen werden zwar weiterhin in der NVD erfasst, aber nur ein kleiner Teil erhält die ausführliche Analyse. Im Fokus stehen zwei Kategorien: Schwachstellen aus der CISA Known Exploited Vulnerabilities (KEV) Katalog – also Lücken, die aktiv von Angreifern ausgenutzt werden – sowie kritische Software nach der US-Cybersecurity-Verordnung 14028, etwa Systeme mit erhöhten Privilegien oder Betriebstechnik.
Alte Rückstände werden unter “Not Scheduled” eingeordnet und vorläufig nicht bearbeitet. Eine wichtige Ausnahme: Alles, was bereits in der KEV-Liste steht, wird weiterhin priorisiert.
Experten sehen darin eine notwendige, wenn auch schmerzhaft ausfallende Anpassung. Trey Ford von Bugcrowd betont: “Man kann Vulnerability-Triage in diesem Volumen nicht zentralisieren und erwarten, dass das funktioniert.” Die echte Gefahr komme nicht aus Datenbank-Metadaten, sondern aus realer Ausnutzbarkeit. Das erfordere spezialisierte Forscher, die kontinuierlich gegen Live-Systeme arbeiten.
David Lindner, CISO bei Contrast Security, sieht die Reform als Wendepunkt: “Unternehmen können sich nicht mehr auf eine einzige Regierungsdatenbank verlassen, um jede Schwachstelle einzuordnen.” Stattdessen müssen Sicherheitsteams ihre limitierten Ressourcen auf tatsächlich exploitierte Lücken konzentrieren, nicht auf theoretische Schweregrade.
Für deutsche Organisationen bedeutet dies ein Umdenken: Legacy-Audit-Prozesse könnten störanfällig werden, langfristig aber sollte ein Fokus auf echte Exploitierbarkeit statt reiner Zahlenflut zu besserer Sicherheit führen. Die Ära der vollständigen CVSS-basierten Compliance geht zu Ende.