NIST ändert CVE-Bewertung nach Anstieg der Meldungen

Das National Institute of Standards and Technology (NIST) hat am 21. April 2026 bekannt gegeben, dass es Änderungen in der Handhabung von Cybersecurity-Schwachstellen und -Expositionen (CVEs) in seiner National Vulnerability Database (NVD) vornehmen wird. Diese Entscheidung folgt einem bemerkenswerten Anstieg der CVE-Einreichungen um 263 % im Vergleich zum Vorjahr. NIST wird künftig nur noch CVEs anreichern, die bestimmten Kriterien entsprechen, um die Qualität und Relevanz der Daten zu gewährleisten. Die neuen Richtlinien zielen darauf ab, die Effizienz der Datenverarbeitung zu verbessern und die Überlastung durch eine hohe Anzahl an Einreichungen zu reduzieren.

CVEs, die die festgelegten Kriterien nicht erfüllen, werden weiterhin in der NVD gelistet, jedoch ohne zusätzliche Anreicherung. Diese Maßnahme soll sicherstellen, dass die wichtigsten Sicherheitslücken priorisiert behandelt werden. Die Entscheidung von NIST kommt zu einem Zeitpunkt, an dem die Cybersecurity-Landschaft zunehmend komplexer wird. Die steigende Zahl an Schwachstellen und die damit verbundenen Risiken erfordern eine gezielte und effektive Reaktion von Sicherheitsbehörden und Unternehmen. NIST hat betont, dass die Qualität der Informationen in der NVD von größter Bedeutung ist, um die Sicherheit von IT-Systemen zu gewährleisten.

Die Kriterien für die Anreicherung von CVEs umfassen unter anderem die Schwere der Schwachstelle, die Verbreitung der betroffenen Software und die potenziellen Auswirkungen auf die Sicherheit. Diese Faktoren sollen helfen, die relevantesten und kritischsten Schwachstellen zu identifizieren und hervorzuheben. NIST plant, diese Kriterien regelmäßig zu überprüfen und anzupassen, um den sich ändernden Bedrohungen gerecht zu werden. Die NVD ist eine zentrale Ressource für Sicherheitsforscher, IT-Administratoren und Unternehmen, die Informationen über bekannte Schwachstellen benötigen. Die Datenbank enthält Informationen zu CVEs, die von verschiedenen Organisationen und Sicherheitsforschern gemeldet werden.

Änderungen in der Anreicherung könnten Auswirkungen auf die Art und Weise haben, wie Unternehmen Schwachstellen priorisieren und darauf reagieren. Ein weiterer Aspekt der neuen Richtlinien betrifft die Transparenz der Datenverarbeitung. NIST hat angekündigt, dass es regelmäßige Berichte über die Anzahl der eingereichten CVEs und die Kriterien für deren Anreicherung veröffentlichen wird. Dies soll das Vertrauen in die NVD stärken und den Nutzern helfen, informierte Entscheidungen zu treffen. Die Reaktionen auf die Ankündigung von NIST sind gemischt.

Einige Experten begrüßen die Maßnahme als notwendig, um die Qualität der Daten zu verbessern, während andere Bedenken hinsichtlich der möglichen Auswirkungen auf die Sichtbarkeit weniger kritischer, aber dennoch relevanter Schwachstellen äußern. Die Diskussion über die Balance zwischen Qualität und Quantität in der Schwachstellenverwaltung wird voraussichtlich anhalten. Die Änderungen treten sofort in Kraft, und NIST hat bereits damit begonnen, die neuen Kriterien in der NVD umzusetzen. Die Organisation plant, die Auswirkungen dieser Änderungen in den kommenden Monaten zu evaluieren und gegebenenfalls Anpassungen vorzunehmen. NIST hat betont, dass die Sicherheit der IT-Infrastruktur weiterhin oberste Priorität hat. Die NVD verzeichnete im Jahr 2025 insgesamt 20.000 neue CVE-Einträge, was den Anstieg von 263 % im Vergleich zu den Vorjahren verdeutlicht. Diese Zahlen unterstreichen die Dringlichkeit, mit der Sicherheitsbehörden und Unternehmen auf die wachsenden Bedrohungen reagieren müssen.