Die National Vulnerability Database war jahrzehntelang das Rückgrat der globalen Cybersicherheitsinfrastruktur. Sicherheitsexperten, Administratoren und automatisierte Systeme verlassen sich auf diese Datenbank, um zu entscheiden, welche Sicherheitslücken am dringendsten behoben werden müssen. Doch dieses System ist kollabiert – und das Versagen liegt nicht bei technischen Problemen, sondern bei schlechtem Management.
Der Bericht des inspectors general zeigt ein Muster von Fehlentscheidungen: Im Februar 2024 stoppte NIST die Zahlungen an Auftragnehmer, die die Schwachstellen verarbeiten. Dies führte zu einem exponentiellen Anwachsen des Rückstands auf über 27.000 unbearbeitete Vulnerabilities bis Ende 2025. Besonders problematisch ist NIST’s hoffnungsloser optimistischer Plan: Die Behörde versprach, bis September 2024 etwa 6.200 Schwachstellen monatlich abzuarbeiten – historisch hatte man aber nie mehr als 5.000 pro Monat geschafft. Ein Plan zur Erreichung dieses Ziels existierte nicht.
“NIST hat keine nachhaltigen Prozesse, um NVD-Einreichungen zu verwalten”, warnt der Bericht deutlich. “Ohne signifikante Veränderungen wird es unmöglich sein, den Rückstand zu beseitigen.”
Zusätzlich zu strategischen Mängeln offenbarte sich eine katastrophale Kommunikationskrise: NIST und die Cybersecurity and Infrastructure Security Agency (CISA) arbeiteten nicht zusammen, obwohl CISA ihr eigenes Vulnrichment-Programm aufbaute. Das Resultat war massive doppelte Arbeit – in mindestens 21.000 Fällen bearbeiteten beide Agenturen dieselben Schwachstellen. An einer Stelle zahlten sie sogar denselben Auftragnehmer für identische Aufgaben. Dies verschlang etwa 200.000 US-Dollar seit Mai 2024.
Besonders irritierend: Als CISA NIST zur Zusammenarbeit einlud, lehnte NIST ab. Ein offener Brief von 50 Cybersicherheitsexperten an den Kongress im April 2024 kritisierte die mangelnde Transparenz – weder NIST noch das Handelsministerium antworteten.
Der Report empfiehlt Effizienzsteigerungen, etwa weniger Ressourcen für Schweregrad-Bewertungen auszugeben. Diese Scores haben minimalen Nutzen: 80 Prozent der Schwachstellen-Meldungen enthalten bereits Scores, und NIST’s Bewertungen stimmen nur zu 12 Prozent mit unabhängigen Assessments überein.
Für deutsche Unternehmen und das BSI bedeutet dies unmittelbare Konsequenzen. Bei kritischen Lücken könnten Verzögerungen bei der Verfügbarkeit von NVD-Informationen zu schleppend umgesetzten Patches führen – und damit zu erhöhten Compliance-Risiken unter der DSGVO.
NIST hat den Empfehlungen zugestimmt und will sofort handeln. Einige Experten fordern jedoch radikalere Lösungen: Michael Daniel von der Cyber Threat Alliance argumentiert, NIST sollte die NVD vollständig an CISA abgeben – eine Behörde, deren Mission besser zu einem operativen Programm dieser Größe passt.