Die angekündigte Reduktion der CVE-Bearbeitung durch NIST markiert einen Wendepunkt in der Cybersicherheitslandschaft. Harold Booth, Programmmanager der NVD, erklärte die Entscheidung damit, dass die Organisation nur noch CVEs mit dem größten Schadenspotenzial mit vollständigen Enrichment-Daten ausstatten wird. Diese Enrichment-Daten — also zusätzliche Informationen zu betroffenen Produkten, Angriffsvektoren und Exploitierbarkeit — sind für Sicherheitsteams Gold wert. Doch ihre Erstellung ist extrem arbeitsintensiv: Sie erfordert manuelle Internetrecherche, Analyse von Referenzmaterialien und Überprüfung öffentlich verfügbarer Exploits.
Die Zahlen verdeutlichen das Ausmaß des Problems: Mit 504 zertifizierten CVE-Numbering-Authorities (CNAs) weltweit werden täglich neue Sicherheitslücken registriert — eine Menge, die NIST mit reduziertem Personal nicht bewältigen kann. Jessica Sica, Chief Information Security Officer bei Weave, fasst die Situation nüchtern zusammen: “Einiges wird übersehen werden.” Viele Sicherheitsanbieter und Unternehmen verließen sich bislang darauf, dass NIST als vertrauenswürdige Quelle fungiert. Diese Gewissheit ist nun vorbei.
Ein weiteres strukturelles Problem liegt in den unzureichenden Anforderungen bei der CVE-Meldung selbst. Aktuell benötigt ein CVE-Eintrag nur eine ID, eine kurze Beschreibung und einen Produktverweis — eine magere Grundlage, auf der NIST aufbaut. CISA-Chefin Lindsey Cerovnik arbeitet daran, mehr Informationen bereits bei der Einreichung zu verlangen. Auch Software-Hersteller tragen Schuld: Google beispielsweise veröffentlicht Sicherheitshinweise, aktualisiert die entsprechenden CVE-Einträge aber teilweise erst Wochen später — statt innerhalb der geforderten 24 Stunden. Apple zeigt, dass Timeliness machbar ist.
Für deutsche Unternehmen ergibt sich daraus eine klare Konsequenz: Sie müssen proaktiver werden. Das bedeutet konkret: schnellere Patches, bessere interne Vulnerabilty-Management-Prozesse und der Aufbau von Sicherheit bereits in der Softwareentwicklung statt nur durch Patches nachträglich. Manche Experten empfehlen, auch Anforderungen zu Vulnerability-Reporting bereits in Einkaufsverträge mit Softwareanbietern aufzunehmen — ein Ansatz, den die US-Energiebranche gerade erprobt.
Brooke und andere Experten sehen hier auch einen Silberstreif: KI-Tools zur automatisierten Vulnerability-Analyse könnten zukünftig manuelle Prozesse ersetzen. Doch bis dahin müssen Sicherheitsteams mit weniger standardisierter Unterstützung auskommen und mehr in eigener Regie recherchieren.