IT-Sicherheit: NIST stellt eigenständige Bewertungen ab Juni ein

Das National Institute of Standards and Technology (NIST) stellt die eigenständige Bewertung von IT-Sicherheitslücken weitgehend ein. Ab dem 2. Juni 2026 übernimmt die US-Behörde nicht mehr selbst die Berechnung des Common Vulnerability Scoring System (CVSS), sondern übernimmt die Bewertungen der Hersteller.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book jetzt herunterladen

Systemkrise bei der Schwachstellendatenbank

Der Schritt kommt nicht überraschend. Ein vernichtender Bericht des US-Handelsministeriums hatte zuvor massive Missstände offengelegt. Demnach türmte sich ein gewaltiger Rückstau unverarbeiteter Sicherheitslücken auf: von rund 13.000 im Februar 2024 auf 27.000 Ende 2025.

Die Ursache? NIST hatte es versäumt, rechtzeitig einen Nachfolger für einen auslaufenden Vertrag zu sichern – obwohl die Vorbereitungszeit zwei Jahre betrug. Die internen Ziele von 6.200 bearbeiteten Schwachstellen pro Monat wurden durchweg verfehlt.

Besonders brisant: In 80 Prozent der Fälle lieferten Hersteller bereits eigene CVSS-Bewertungen mit. Dennoch führte NIST weiterhin eigene Prüfungen durch – die in nur 12 Prozent der Fälle mit unabhängigen Bewertungen übereinstimmten.

Millionenverschwendung durch Doppelarbeit

Die Umstellung soll NIST rund 800.000 Dollar (etwa 740.000 Euro) in den nächsten zwei Jahren sparen. Künftig will sich die Behörde auf Fälle konzentrieren, in denen Herstellerdaten widersprüchlich sind oder eine Überprüfung angefordert wird.

Der Prüfbericht deckte zudem erhebliche Überschneidungen mit der Cybersecurity and Infrastructure Security Agency (CISA) auf. Deren Programm „Vulnrichment" bearbeitete rund 21.000 Fälle parallel zu NIST – geschätzte Verschwendung: 200.000 Dollar. Bereits 2024 hatte CISA die Finanzierung für NISTs Rolle in diesem Bereich eingestellt.

Bis zum 25. Juli 2026 muss NIST nun einen Aktionsplan vorlegen, der die Empfehlungen des Berichts umsetzt – darunter bessere Kommunikation und die Beseitigung von Doppelarbeit.

Zersplitterung der Sicherheitslandschaft

Die Probleme der NVD sind kein Einzelfall. Die Zahl der digitalen Vorschriften ist in den letzten fünf Jahren um 1000 Prozent gestiegen. Die Folge: Immer mehr regionale Datenbanken entstehen. Neben der US-amerikanischen CVE Foundation betreibt die EU das EUVD, China sein CNNVD seit 2009.

Die Zersplitterung kommt zu einem denkbar schlechten Zeitpunkt. Die Zahl gemeldeter Sicherheitslücken erreicht Rekordhöhen: Für 2026 werden über 60.000 erwartet. Allein 2025 wurden mehr als 48.000 Schwachstellen identifiziert – ein Anstieg von 20 Prozent gegenüber dem Vorjahr.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen

Künstliche Intelligenz verschärft das Problem

KI-gestützte Sicherheitsforschung setzt die traditionellen manuellen Bewertungsmodelle zusätzlich unter Druck. Seit April 2026 scannt Anthropics „Project Glasswing" mit dem Claude-Mythos-Modell Open-Source-Projekte und hat angeblich über 23.000 potenzielle Schwachstellen identifiziert – mehr als 10.000 davon mit hohem oder kritischem Risiko.

Die aktuelle Bedrohungslage zeigt die Dringlichkeit: Eine Umgehungslücke in Palo Altos GlobalProtect VPN (CVE-2026-0257) wird seit Mitte Mai aktiv ausgenutzt. Zudem erforderten ein kritischer Befehlseinschleusungsfehler in der Flowise-LLM-Plattform (CVE-2026-40933) und eine SQL-Injection-Lücke in der OTRS-Helpdesk-Software (CVE-2026-48188) in den letzten Wochen dringende Patches.

NISTs Rückzug aus der Routinebewertung markiert einen Wendepunkt. Die Frage ist, ob Herstellerbewertungen allein ausreichen – oder ob die Sicherheitslücke, die die Behörde hinterlässt, noch größere Probleme verursacht.

de | wirtschaft | 69469966 |