SchwachstellenCybersicherheit

NIST reduziert Sicherheitsbewertungen: Nur noch kritische Lücken erhalten Analyse

NIST reduziert Sicherheitsbewertungen: Nur noch kritische Lücken erhalten Analyse
Zusammenfassung

Das National Institute of Standards and Technology (NIST) ändert seine Strategie zur Bewertung von Sicherheitslücken grundlegend. Ab dem 15. April wird die Behörde nur noch Schweregrad-Einstufungen für Schwachstellen vergeben, die bestimmte Kriterien erfüllen und hohes Risikopotenzial bergen. Der Grund für diese Maßnahme ist dramatisch: Die Anzahl der eingereichten Sicherheitslücken ist um 263 Prozent gestiegen, während NIST mit der Analyse nicht mehr Schritt halten kann. Zwar werden alle gemeldeten CVEs weiterhin in der National Vulnerability Database (NVD) gelistet, aber niedrig priorisierte Lücken erhalten künftig nur die Bewertung der ursprünglichen CNAs statt zusätzlicher NIST-Analysen. Diese Entscheidung hat erhebliche Auswirkungen auf deutsche Sicherheitsexperten, IT-Administratoren und Behörden, die sich auf NVD-Daten zur Risikobeurteilung verlassen. Unternehmen müssen künftig eigenverantwortlicher werden und können sich weniger auf zentrale NIST-Bewertungen stützen. Gleichzeitig besteht das Risiko, dass tatsächlich kritische Lücken übersehen werden – NIST bietet daher die Möglichkeit, manuell Enrichment-Anfragen einzureichen, um auch weniger priorisierte CVEs analysiert zu bekommen.

Die National Vulnerability Database ist eine der weltweit wichtigsten Anlaufstellen für Informationen über Softwareschwachstellen. Cybersicherheitsteams verlassen sich täglich darauf, um ihre Systeme zu schützen und Patches einzuspielen. NIST reichert die von verschiedenen CVE Numbering Authorities (CNA) wie Herstellern und der gemeinnützigen Organisation MITRE eingereichten Lücken mit zusätzlichen Details an: Schweregrad, betroffene Produktversionen, technische Klassifizierungen und Links zu Patches. Diese Mehrwertinformationen sind entscheidend für Risikomanagement.

Doch die Kapazitätsgrenzen sind erreicht. NIST habe 2025 bereits 42.000 CVEs angereichert, erklärte die Behörde. Gleichzeitig beschleunigt sich die Flut weiter — nicht nur wegen mehr Sicherheitsforschung, sondern auch durch automatisierte Schwachstellenfinder und KI-gestützte Analysewerkzeuge.

Die neue Strategie konzentriert sich auf vulnerabilities, die eines dieser Kriterien erfüllen: Sie müssen entweder öffentlich ausnutzbar sein, bereits aktiv in Angriffen verwendet werden, oder von den US-Behörden CISA als kritisch flaggt werden. Schwachstellen mit niedriger Priorität erhalten nur noch die Bewertung der jeweiligen CNA, nicht die zusätzliche NIST-Analyse.

NIST betont, dass diese Maßnahme notwendig ist, um sich auf Lücken mit großflächigem Schadenpotenzial zu konzentrieren. Allerdings räumt die Behörde ein, dass manche potenziell gefährliche Schwachstellen durchs Raster fallen könnten. Daher bietet NIST einen Workaround an: Organisationen können per E-Mail (nvd@nist.gov) Anträge auf Anreicherung auch von niedriger priorisierten CVEs stellen.

Für deutsche Unternehmen und Behörden bedeutet das praktisch: Sie müssen künftig eigenständiger arbeiten, externe Datenquellen nutzen und womöglich bei den CNAs direkt nachfragen. Größere Organisationen mit eigenen Sicherheitsteams können das verkraften. Kleine und mittlere Unternehmen, die sich auf NVSTs freie Daten stützen, könnten jedoch blind flecken bekommen. Die formale Ankündigung zeigt jedoch: Die Volatilität des Schwachstellenmarktes überfordert selbst zentrale Institutionen. Das ist ein Weckruf für die gesamte Branche.

Ähnliche Artikel