Auf den Punkt: NIST wird weniger Schwachstellen selbst mit CVSS bewerten und setzt künftig stärker auf Drittquellen, um einen wachsenden Analyserückstau zu reduzieren.
Das US-amerikanische NIST (National Institute of Standards and Technology) hat angekündigt, zukünftig weniger Schwachstellen in seiner Datenbank NVD (National Vulnerability Database) mit eigenen CVSS-Scores zu bewerten. Grund ist ein erheblicher Rückstau bei der Analyse sowie Kritik des US-Rechnungshofs.
Die NVD ist die zentrale öffentliche Schwachstellendatenbank der USA und wird vom NIST gepflegt. Bislang hat das NIST für eingetragene Schwachstellen eigene CVSS-Bewertungen (Common Vulnerability Scoring System) erstellt, um eine einheitliche Vergleichbarkeit des Risikos zu ermöglichen. Dieser Prozess führte zu einem erheblichen Rückstau: Viele gemeldete Schwachstellen warten seit längerer Zeit auf die offizielle Analyse und Bewertung durch NIST-Experten.
Der US-Rechnungshof (Government Accountability Office) kritisierte diese Situation kürzlich harsch. Das NIST wird nun sein Vorgehen ändern: Die Datenbank wird künftig vermehrt Drittbewertungen von Anbietern akzeptieren und veröffentlichen, anstatt alle Einträge selbst zu analysieren. Das soll den Rückstau abbauenweit und die Aktualität der Datenbank erhöhen.
Für CISOs bedeutet diese Änderung eine neue Herausforderung bei der Bewertung von Schwachstellen: Sie können sich nicht mehr auf eine einheitlich vom NIST erstellte Bewertung verlassen, sondern müssen künftig Bewertungen von verschiedenen Quellen berücksichtigen und deren Qualität selbst einschätzen. Dies erfordert eine stärkere Differenzierung bei der Schwachstellenbewertung und möglicherweise zusätzliche Validierungsprozesse.
Quelle: www.heise.de · Erschienen 2. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.