Auf den Punkt: Der NIST-Rückstau resultiert aus strategischen Defiziten und Doppelstrukturen mit CISA, wobei beide Behörden seit Mai 2024 parallel Vulnerability-Enrichment-Programme betreiben und etwa 200.000 Dollar an Mitteln verschwenden.
Das US-Handelsministerium kritisiert die NIST für wachsende Rückstände bei der Aufnahme von Sicherheitslücken in die National Vulnerability Database (NVD). Ein Inspektoren-Bericht identifiziert Managementmängel, koordinative Lücken zwischen NIST und CISA sowie fragwürdige Severity-Berechnungen als Hauptprobleme.
Der Bericht des Inspectors General des US-Handelsministeriums attestiert der National Institute of Standards and Technology (NIST) erhebliche Versäumnisse bei der Verwaltung der National Vulnerability Database (NVD). Der Report diagnostiziert mangelnde strategische Planung und zögerliches Handeln als Hauptursachen für das kontinuierlich anwachsende Rückstauvolumen unverarbeiteter Schwachstellen. Besonders kritisiert wird die unzureichende Kommunikation seitens der NIST, die das Vertrauen von Stakeholdern untergraben habe.
Ein zentrales Koordinationsproblem besteht darin, dass NIST und die Cybersecurity and Infrastructure Security Agency (CISA) seit Mai 2024 zwei parallele Vulnerability-Enrichment-Programme betreiben. Dies führt zu erheblichen Doppelungen: Der Bericht beziffert den Mittelverbrauch durch Duplizierungen auf etwa 200.000 Dollar seit Mai 2024. CISA stellt dabei nahezu identische Enrichment-Daten bereit wie NIST. Der NIST hätte diese Daten bereits früher nutzen können, um den Rückstau abzubauen. Allerdings war dies bis März 2025 technisch nicht möglich, da die NVD-Infrastruktur keine Attributierung von Daten zu spezifischen Quellen unterstützte. NIST-Mitarbeiter wollten vermeiden, dass es so aussah, als hätte ein NVD-Analyst die Enrichment-Daten von CISA durchgeführt. Insgesamt schätzt der Bericht das Sparpotenzial durch bessere Effizienz auf etwa 800.000 Dollar über zwei Jahre hinweg.
Ein weiteres kritisches Problemfeld liegt in der Zuverlässigkeit von Severity-Scores. NIST nutzt den industriestandard Common Vulnerability Scoring System (CVSS) zur Bewertung von Schwachstellen. Interne Tests zeigten jedoch, dass unabhängige Bewerter nur in 12 Prozent der Fälle zum identischen Severity-Score kamen. Der Bericht schlussfolgert, dass die Bewertungen stark von der zur Verfügung stehenden Information und der fachlichen Einschätzung des jeweiligen Bearbeiters abhängen. Dies werfe Fragen zur Konsistenz und Reproduzierbarkeit auf und deute darauf hin, dass die manuelle NIST-Severity-Berechnung womöglich grundsätzlich überprüft werden sollte.
Branchenexperten räumen ein, dass der Rückstau real ist und sich über Jahre aufgebaut hat. Sie weisen jedoch darauf hin, dass die Bundesregierung wenig zur Unterstützung beiträgt. Verteidiger der NIST führen Budgetkürzungen an, die die Institution erheblich gehindert haben. Hinzu kommt eine fundamentale Verschiebung in der Natur der Schwachstellenerkennung: Generative KI-Entwicklungen der letzten zwei Jahre haben die Zahl der entdeckten Vulnerabilities dramatisch erhöht und die Geschwindigkeit der Entdeckungen beschleunigt. Dies wirft grundlegende Fragen auf, ob die NVD-Prozesse komplett neu gestaltet werden müssen.
Quelle: www.csoonline.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.