Der neue NVD-Ansatz von NIST ist ein logischer Schritt, um die Flut an CVEs zu bewältigen. Doch durch die Priorisierung von Regierungssoftware droht dem privaten Sektor die notwendige Informationsgrundlage zu fehlen.
| 263%
WACHSTUM DER CVE-EINREICHUNGEN 2020–2025 |
42.000
IM JAHR 2025 ANGEREICHERTE CVEs — NOCH IMMER NICHT AUSREICHEND |
1%
ALLER CVEs WERDEN TATSÄCHLICH IN DER REALITÄT AUSGENUTZT |
Es hätte schon vor langer Zeit passieren müssen. Nach Jahren einer stetig anschwellenden Welle von Schwachstellenmeldungen — ein Anstieg der CVE-Einreichungen um 263 Prozent zwischen 2020 und 2025 — hat das National Institute of Standards and Technology endlich einen entscheidenden Schritt unternommen. Ab dem 15. April 2026 wird NIST nur noch jene CVEs anreichern, die bestimmte Priorisierungskriterien erfüllen: Schwachstellen, die im Known Exploited Vulnerabilities (KEV)-Katalog von CISA gelistet sind, Software, die innerhalb der US-Bundesregierung eingesetzt wird, sowie Systeme, die gemäß Executive Order 14028 als kritisch eingestuft sind. Alle anderen Einreichungen werden weiterhin in der National Vulnerability Database (NVD) erscheinen, jedoch mit dem Hinweis „Not Scheduled“ versehen. Das ist bürokratische Sprache für: Rechnen Sie nicht damit.
Als Sicherheitsfachmann verstehe ich die Begründung. Unsere Branche leidet seit Langem unter dem, was ich als „Signal-Rausch-Überlastung“ bezeichne: eine Lawine an Daten, die analysiert werden müssen, von denen die überwiegende Mehrheit keine direkte Relevanz für die Systeme hat, die wir tatsächlich schützen. Untersuchungen von VulnCheck zeigen, dass von den mehr als 40.000 im vergangenen Jahr neu veröffentlichten Schwachstellen nur 1 Prozent — lediglich 422 CVEs — aktiv in der Praxis ausgenutzt wurden. Sich auf das zu konzentrieren, was wirklich zählt, ist daher vollkommen nachvollziehbar.
„Schwachstellen werden veröffentlicht, aber nicht priorisiert. Das erleichtert Verteidigern die Arbeit nicht.“
Und dennoch stimmt etwas nicht. Und zwar grundlegend.
Das Paradox von Transparenz ohne Kontext
NIST hat sich dafür entschieden, alle CVEs weiterhin zu veröffentlichen, sie jedoch nicht mehr routinemäßig mit CVSS-Scores, betroffenen Softwarekonfigurationen oder zusätzlichem Kontext anzureichern. Das Ergebnis ist ein unangenehmer Mittelweg: Schwachstellen werden offengelegt, aber ohne die Orientierungshilfe, die Sicherheitsteams benötigen, um zu wissen, wie sie damit umgehen sollen. Das ist Transparenz in ihrer leersten Form.
Man stelle sich einen Arzt vor, der einem Patienten mitteilt, dass etwas nicht stimmt, sich jedoch weigert zu sagen, wie ernst es ist, welches Organ betroffen ist oder wie der Behandlungsplan aussieht. „Sie können uns gerne eine E-Mail schreiben, wenn Sie mehr erfahren möchten.“ Genau so fühlt es sich für die Tausenden von Organisationen an, die sich auf die NVD als ihre primäre, verlässliche Quelle für die Priorisierung von Patches verlassen haben.
Kleine und mittlere Unternehmen ohne eigenes Security Operations Center oder teure Threat-Intelligence-Abonnements sind am stärksten betroffen. Sie nutzten die NVD als kostenlosen Anker. Dieser Anker hat sich nun gelöst.
Zuerst die Regierung — und was ist mit allen anderen?
Das zweite Problem betrifft einen grundlegenden Unterschied zwischen der digitalen Realität von Regierungsbehörden und der von Unternehmen sowie Privatpersonen. Die Prioritäten von NIST sind aus Sicht der nationalen Sicherheit nachvollziehbar: Zuerst schützt man die kritische staatliche Infrastruktur. Doch die Softwareumgebungen eines Gesundheitsdienstleisters, eines Produktionsunternehmens oder eines kleinen Betriebs unterscheiden sich erheblich von der IT-Landschaft der US-Bundesregierung.
Microsoft 365, Google Workspace, weit verbreitete CRM-Plattformen, industrielle Steuerungssysteme in der Fertigung — viele dieser Systeme fallen nicht unter die Definition von „kritischer Software“ gemäß Executive Order 14028. Eine Schwachstelle in einer weit verbreiteten Cloud-Anwendung, die von KMU genutzt wird, kann monatelang in der Kategorie „Not Scheduled“ verbleiben, während Angreifer sie bereits aktiv ausnutzen.
Michelangelo Sidagni, CTO bei NopSec, brachte es treffend auf den Punkt: NIST delegiert die Priorisierung faktisch an CISA, doch der KEV-Katalog von CISA ist bewusst konservativ gehalten. Vergleichsanalysen zeigen, dass KEV derzeit 1.559 Schwachstellen umfasst, während VulnDB mehr als 7.000 mit bekannter Ausnutzung verzeichnet. Tausende gefährliche Schwachstellen fallen somit sowohl außerhalb von KEV als auch außerhalb des neuen Anreicherungsprozesses der NVD. Für Angreifer ist diese Unterscheidung irrelevant.
Das Ende einer einzigen Quelle der Wahrheit
Der breitere Kontext verstärkt die Besorgnis. Das von MITRE betriebene CVE-Programm — die Grundlage, auf der die NVD basiert — entging im vergangenen Jahr nur knapp dem Zusammenbruch, als der staatliche Finanzierungsvertrag auszulaufen drohte. CISA sprang in letzter Minute ein, doch die Fragilität dieser Infrastruktur ist offensichtlich geworden. Gleichzeitig entwickelt die EU eine eigene European Vulnerability Database (EUVD), die sich jedoch noch in einem frühen Stadium befindet. Und das explosive Wachstum der KI-gestützten Schwachstellenentdeckung — FIRST prognostiziert einen Rekord von 50.000 neuen CVEs im Jahr 2026 — dürfte die Lage erheblich verschärfen.
Das Zeitalter einer einzigen verlässlichen, öffentlichen Quelle für Schwachstelleninformationen ist endgültig vorbei. Organisationen, die dies noch nicht erkannt haben, werden nun direkt mit dieser Realität konfrontiert.
Was muss geschehen?
Die Kritik an NIST ist berechtigt, doch realistisch betrachtet hatte die Behörde kaum eine Wahl. Da die Einreichungen jedes Quartal neue Rekorde erreichen und die Analysekapazitäten grundlegend nicht mithalten können, war eine Kursänderung unvermeidlich. Die Richtung — Priorisierung auf Basis tatsächlicher Risiken — ist grundsätzlich richtig.
Doch die Umsetzung muss verfeinert werden. Erstens: Die Priorisierungskriterien sind zu stark auf den Regierungskontext ausgerichtet. Eine breitere Definition von „hoher Auswirkung“ — die auch die Verbreitung in kommerzieller Software berücksichtigt — würde die Realität des privaten Sektors besser widerspiegeln. Zweitens: Das Modell „Kontaktieren Sie uns per E-Mail, wenn Sie eine Anreicherung wünschen“ ist nicht skalierbar und schafft Ungleichheiten. Größere Organisationen wissen, wie und wo sie ihren Fall vorbringen müssen, kleinere nicht.
Drittens und vielleicht am dringendsten: Die Branche muss aufhören, sich auf eine einzige öffentliche Datenbank als primäre Verteidigungslinie zu verlassen. Die Diversifizierung von Quellen — kommerzielle Threat Intelligence, branchenspezifische ISACs, Open-Source-Alternativen — ist kein Luxus, sondern eine Notwendigkeit. Sicherheitsfachleute, die dies bereits erkannt haben, werden diesen Übergang meistern. Die übrigen haben gerade einen Weckruf erhalten.
Die Flut irrelevanter Daten war schon immer das Problem. NIST hat dies nun offiziell anerkannt. Die Frage ist, ob die gewählte Lösung die richtigen schützt — oder nur diejenigen mit den richtigen Regierungsverträgen.
QUELLEN
- NIST — NVD Updates NVD Operations to Address Record CVE Growth (15. April 2026)
- Help Net Security — NIST admits defeat on NVD backlog, will enrich only highest-risk CVEs going forward (16. April 2026)
- CyberScoop — NIST narrows scope of CVE analysis to keep up with rising tide of vulnerabilities (17. April 2026)
- Socket.dev — NIST Officially Stops Enriching Most CVEs as Vulnerability Volume Surges (April 2026)
- Infosecurity Magazine — NIST Drops NVD Enrichment for Pre-March 2026 Vulnerabilities (April 2026)
- SecureWorld — The NVD Course Correction: Navigating NIST’s Strategic Pivot for 2026 (April 2026)
- Dark Reading — NIST Revamps CVE Framework to Focus on High-Impact Vulnerabilities (April 2026)
- The Hacker News — NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions (April 2026)
