Zurück zur Startseite

NIST priorisiert CVE: Was hat sich in NVD geändert

NIST hat aufgrund eines starken Anstiegs der Anzahl von Schwachstellen die Priorisierung der CVE-Bearbeitung in NVD eingeführt. Nun erhalten nur hochrisikoreiche CVE eine vollständige Analyse. Der Artikel erklärt die neuen Kriterien, Änderungen in den Workflows und Auswirkungen auf die Branche.

NIST ändert die Spielregeln: Nur kritische CVE erhalten Bearbeitung
Advertisement 728x90

# NIST führt CVE-Priorisierung ein: Wie sich das auf das Management von Schwachstellen auswirkt

Das National Institute of Standards and Technology (NIST) hat offiziell auf ein risikobasiertes Modell für die Bearbeitung von Schwachstellen umgestellt. Ab dem 15. April 2026 erhalten nur noch CVEs, die strenge Prioritätskriterien erfüllen, eine vollständige analytische Bearbeitung in der National Vulnerability Database (NVD). Alle anderen werden als "Not Planned" markiert. Diese Entscheidung geht auf einen Anstieg der CVE-Anfragen um 263 % von 2020 bis 2025 zurück sowie auf die Unmöglichkeit, das bisherige Ausmaß manueller Datenanreicherung aufrechtzuerhalten.

Warum NIST seine Herangehensweise an die Bearbeitung von CVEs geändert hat

Das Datenvolumen neuer Schwachstellen hat einen kritischen Punkt erreicht. 2025 wurden in der NVD knapp 42.000 CVEs erfasst – ein Plus von 45 % gegenüber allen Vorjahren. In den ersten drei Monaten 2026 stiegen die Anfragen um ein weiteres Drittel. Die Ressourcen von NIST sind hingegen begrenzt, und die manuelle Überprüfung sowie Anreicherung jedes Eintrags erfordert erheblichen Zeit- und Personaleinsatz.

Bisher strebte NIST an, für alle Schwachstellen einheitliche, umfassende Informationen bereitzustellen: CVSS-Bewertungen, technische Details und Links zu Patches. Nun gibt das Institut zu, dass dieses Modell veraltet ist. Das Ziel der neuen Strategie ist es, sich auf Schwachstellen mit dem größten Potenzial für weitreichende Auswirkungen auf Infrastruktur und Sicherheit zu konzentrieren.

Google AdInline article slot

Priorisierungskriterien: Welche CVEs werden bearbeitet

Nach der aktualisierten Richtlinie ist eine vollständige Bearbeitung in der NVD nur für folgende Kategorien von Schwachstellen garantiert:

  • Schwachstellen, die im Known Exploited Vulnerabilities (KEV)-Katalog der U.S. Cybersecurity and Infrastructure Security Agency (CISA) aufgeführt sind;
  • Schwachstellen in Software, die vom US-Bundesregierungsapparat genutzt wird;
  • Schwachstellen in kritischer Software gemäß Executive Order 14028. Dazu gehören Systeme, die:

- mit erhöhten oder verwalteten Berechtigungen arbeiten;

- privilegierte Zugriffe auf Netzwerk- oder Rechenressourcen haben;

Google AdInline article slot

- den Zugriff auf Daten oder Betriebstechnologien steuern;

- jenseits normaler Vertrauensgrenzen mit erweiterten Rechten funktionieren.

Alle anderen CVEs erhalten automatisch den Status „Not Planned“. Das bedeutet nicht, dass sie aus der Datenbank entfernt werden – sie bleiben in der NVD, jedoch ohne zusätzliche Analyse von NIST.

Google AdInline article slot

Änderungen an den NVD-Workflows

Zusätzlich zur Priorisierung hat NIST mehrere technische und prozedurale Anpassungen vorgenommen:

  • Keine doppelten CVSS-Bewertungen mehr: Wenn das CVE-Programm bereits eine Schweregradbewertung geliefert hat, erlässt NIST keine eigene mehr.
  • Neubewertung nur bei wesentlichem Einfluss: Änderungen an bereits bearbeiteten CVEs lösen keine automatische Überprüfung aus, es sei denn, sie wirken sich substanziell auf die Bearbeitungsdaten aus.
  • Stapelweise Verschiebung alter Einträge: Alle unbearbeiteten CVEs, die vor dem 1. März 2026 veröffentlicht wurden, wurden auf „Not Planned“ gesetzt – außer denen, die bereits im KEV sind.
  • Aktualisierungen von Oberfläche und Bezeichnungen: Das NVD-Dashboard zeigt nun den Echtzeit-Bearbeitungsstatus für jede Schwachstelle an.

Benutzer können per E-Mail an [email protected] die Bearbeitung eines bestimmten CVE anfordern. NIST behält sich jedoch vor, dies abzulehnen, wenn die Schwachstelle die Risikokriterien nicht erfüllt.

Auswirkungen auf die Branche und Sicherheitspraktiken

Dieser Schritt markiert das Ende der Ära zentralisierter, staatlich geführter Bewertung aller Schwachstellen. Wie Caitlin Condon (VulnCheck) betont: „We no longer live in a world where manual enrichment of new vulnerabilities is a viable strategy."

Für Unternehmen bedeutet das einen Wechsel zu proaktivem Risikomanagement:

  • Integration externer Datenquellen (einschließlich kommerzieller Plattformen und Open-Source-Feeds);
  • Automatisierte Priorisierung basierend auf Kontext: aktive Ausnutzung, KEV-Aufnahme und Nutzung in der eigenen Infrastruktur;
  • Abschied von blinder Abhängigkeit von CVSS-Bewertungen hin zu Analyse realer Ausnutzbarkeit und geschäftlicher Auswirkungen.

David Lindner (Contrast Security) unterstreicht: „Relying on a carefully curated set of valuable data is far more effective for national resilience than maintaining a comprehensive but unmanageable archive of every minor flaw."

Wichtige Erkenntnisse

  • NIST bearbeitet nicht mehr alle CVEs – nur die mit hohem Risikopotenzial.
  • Nicht priorisierte Schwachstellen bleiben in der NVD, aber ohne CVSS-Bewertungen oder weitere NIST-Analysen.
  • Unternehmen müssen ihre Prozesse im Schwachstellenmanagement umstellen und Kontext sowie reale Bedrohungen priorisieren.
  • Anfragen zur Bearbeitung nicht priorisierter CVEs sind möglich, werden von NIST aber nicht garantiert umgesetzt.
  • Der Trend geht hin zu Dezentralisierung und Spezialisierung im Cybersecurity-Ökosystem.

— Editorial Team

Advertisement 728x90

Weiterlesen