Auf den Punkt: CISA definiert ein neues Priorisierungsmodell für Schwachstellen, bei dem Vulnerabilities mit drei oder mehr Risikomerkmalen (Internet-Exposure, aktive Ausnutzung, automatisierbare Exploits, hohes Post-Exploitation-Impact) innerhalb von drei Tagen gepatcht werden müssen — eine Abkehr von der reinen CVSS-basierenden Priorisierung.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat mit der Binding Operational Directive 26-04 ein neues Rahmenwerk für Patch-Priorisierung eingeführt. Es ersetzt die alleinige Abhängigkeit von Severity-Scores durch ein System, das vier konkrete Risikofaktoren berücksichtigt.
Die neue Direktive antwortet auf eine Verschärfung der Bedrohungslage: Laut Verizons 2026 Data Breach Investigations Report behobenen Organisationen 2024 nur noch 26 % der aktiv ausgebeuteten Schwachstellen vollständig — ein Rückgang von 38 % im Vorjahr. Die Median-Behebungszeit für diese bekannten Risiken beträgt 43 Tage, während Angreifer ihr Exploit-Fenster auf Tage oder Stunden verkürzt haben.
BOD 26-04 setzt auf vier konkrete Kriterien zur Risikobewertung: öffentliche Internet-Erreichbarkeit des betroffenen Systems, Listung in CISAs Known Exploited Vulnerabilities (KEV) Katalog, Automatisierbarkeit der Ausnutzung und das Kontrolllevel nach erfolgreicher Exploitation. Schwachstellen, die mindestens drei dieser Attribute aufweisen, müssen innerhalb von drei Tagen gepatcht werden. Vulnerabilities mit geringerem Risikoprofil können längerfristig oder bis zur nächsten Major-Version adressiert werden.
Chris Butera, Acting Executive Assistant Director für Cybersecurity bei CISA, begründete den Wechsel damit, dass die künstliche Intelligenz Angreifern ermöglicht, Schwachstellen in großem Maßstab und teilweise autonom zu identifizieren und auszunutzen. Verteidiger könnten es sich nicht leisten, Wochen mit dem Patchen von Systemen zu verbringen, die bereits kompromittiert sein können. Die CVSS-Severity-Scores hätten sich als schlechter Prädiktor für tatsächliche Ausnutzung bewährt — ein Konsens, zu dem auch Sicherheitsforschung der RAND Corporation und Vertreter der FIRST-Community kommen.
Quelle: www.csoonline.com · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.