„Jeden Tag arbeitet CISA mit Sicherheitsforschern und Industriepartnern zusammen, die ausgenutzte Schwachstellen identifizieren und melden. Diese neue Meldefunktion verbessert die Fähigkeit von CISA, kritische Bedrohungsinformationen zu erkennen, zu validieren und schnell weiterzugeben“, erklärte Chris Butera, kommissarischer Executive Assistant Director für Cybersicherheit bei CISA. Frühzeitige Erkennung und koordinierte Offenlegung von Schwachstellen zählten zu den wirksamsten Mitteln, um Risiken in großem Maßstab zu senken.

Eingereichte Schwachstellen müssen Informationen zur Lücke sowie Nachweise ihrer Ausnutzung enthalten. Der KEV-Katalog soll sicherstellen, dass ausgenutzte Schwachstellen früh entdeckt, verantwortungsvoll kommuniziert und über Bundes-, Privat- und kritische Infrastrukturnetze hinweg rasch behoben werden.

Robert Costello, der fast fünf Jahre lang Chief Information Officer der CISA war, bevor er die Behörde im März verließ, bezeichnete das Formular als praktischen Weg, die Partnerschaft mit der Forschungsgemeinschaft umzusetzen. „Wenn man Erkenntnisse über Ausnutzung über einen standardisierten Nominierungsprozess auf eine breite Basis stellt, bedeutet das schnellere KEV-Aufnahmen und letztlich schnellere Abwehrmaßnahmen im gesamten Ökosystem“, sagte er. Dies sei der richtige Schritt zur richtigen Zeit, da KI sowohl die Entdeckung als auch die Ausnutzung von Schwachstellen beschleunige.

Seit seinem Start 2021 ist der Katalog gewachsen und wird auch von Verteidigern außerhalb der Bundesverwaltung als Referenz genutzt. Fachleute stellten fest, dass Organisationen im KEV gelistete Schwachstellen 3,5-mal schneller beheben als nicht gelistete. An Bedeutung gewinnt er zusätzlich angesichts einer wachsenden Flut KI-entdeckter Schwachstellen, von denen viele unbedeutend und kaum ausnutzbar sind.

Mayuresh Dani von Qualys merkte an, dass CISA zuvor bereits Einreichungen per E-Mail angenommen habe, es jedoch keine externen Berichte darüber gab, wie viele Schwachstellen auf dieser Grundlage in den KEV gelangten. Das neue Formular zwinge Einreichende zu detaillierten Angaben. „Hoffentlich schafft diese Funktion nun Transparenz darüber, was nach einer Einreichung genau passiert“, sagte Dani gegenüber Recorded Future News. Offen sei, wie CISA die Informationen prüfe und welche Schutzmechanismen gegen falsche Meldungen es einziehe, damit nur reale und validierte Beobachtungen in die Liste gelangten. Dani fügte hinzu, CISA könnte versuchen, Rückstand aufzuholen, da kommerzielle Alternativen zum KEV existieren und dieser teils als nachlaufender Indikator gilt.

Während fast alle anfangs aufgenommenen Schwachstellen eine Frist von drei Wochen erhielten, ist im vergangenen Jahr die Zahl der Lücken mit Drei-Tage- oder sogar 24-Stunden-Fristen gestiegen. In diesem Monat berichtete Reuters, dass der kommissarische CISA-Direktor Nick Anderson und der US-amerikanische National Cyber Director Sean Cairncross erwogen, die KEV-Frist für alle neuen Schwachstellen auf nur drei Tage zu begrenzen — aus Sorge, dass Hacker mithilfe leistungsfähiger KI-Systeme Exploits in kürzerer Zeit entwickeln.

Chris Doyle von JupiterOne sagte, Verbesserungen wie diese könnten Signalqualität und Aktualität des KEV stärken, was letztlich Verteidigern zugutekomme, die reale Risiken statt theoretischer Schweregrade priorisieren wollten.