Das **NIST** hat diese Woche angekündigt, dass es seine Bemühungen zur Analyse von Schwachstellen aufgrund eines überwältigenden Anstiegs von Common Vulnerabilities and Exposures (CVE)-Einreichungen zurückfahren wird. Ab dem 15. April wird die **National Vulnerability Database (NVD)** nur noch detaillierte Analysen, einschließlich der Bewertung der Schwere, für Schwachstellen bereitstellen, die spezifische Kriterien erfüllen. ### Priorisierungskriterien Das **NIST** wird seine Ressourcen nun auf Schwachstellen konzentrieren, die: * Im Known Exploited Vulnerabilities (KEV)-Katalog der **CISA** aufgeführt sind. * Software der US-Bundesregierung betreffen. * Kritische Software gemäß Executive Order 14028 betreffen. ### Der Anstieg der Einreichungen Das **NIST** führt diese Änderung auf einen dramatischen Anstieg der CVE-Einreichungen zurück. Die Behörde meldet einen Anstieg der Einreichungen um 263 %, ein Trend, der voraussichtlich anhalten wird. Im Jahr 2025 hat das **NIST** etwa 42.000 CVEs angereichert, aber die Behörde erklärt, dass sie dieses Analyselevel für alle Einreichungen nicht mehr aufrechterhalten kann. ### Auswirkungen auf die NVD Die **NVD** wird weiterhin alle eingereichten Schwachstellen auflisten. Für diejenigen, die die Priorisierungskriterien nicht erfüllen, wird jedoch nur eine Bewertung der Schwere durch die CVE Numbering Authority (CNA) zugewiesen, die die Schwachstelle ursprünglich bewertet und eingereicht hat. Zu den CNAs gehören Anbieter und Organisationen wie **The MITRE Corporation**. ### Warum das wichtig ist Die **NIST NVD** ist eine kritische Ressource für Sicherheitsforscher, IT-Profis und Organisationen weltweit. Sie liefert detaillierte Informationen über Schwachstellen, einschließlich Bewertungen der Schwere, betroffene Produkte und Links zu Warnungen und Patches. Diese Informationen sind für ein effektives Risikomanagement und die Behebung von Schwachstellen unerlässlich. ### Status "Nicht geplant" Schwachstellen, die die neuen Kriterien nicht erfüllen, werden als "Nicht geplant" kategorisiert. Das **NIST** betont, dass dies nicht bedeutet, dass diese Schwachstellen unwichtig sind, sondern dass sie nicht das gleiche systemische Risiko darstellen wie die in den priorisierten Kategorien. "Alle eingereichten CVEs werden weiterhin zur NVD hinzugefügt. Diejenigen, die die oben genannten Kriterien nicht erfüllen, werden jedoch als 'Nicht geplant' kategorisiert", [erklärt das NIST.](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth) ### Anfragen zur Anreicherung In Anerkennung dessen, dass einige Schwachstellen mit hoher Auswirkung möglicherweise den Priorisierungsprozess durchlaufen, akzeptiert das **NIST** Anfragen zur Anreicherung für CVEs mit niedrigerer Priorität per E-Mail an '[email protected]'. ### Eine Verlagerung des Schwerpunkts Obwohl seit 2024 Verzögerungen bei der Anreicherung zu beobachten waren, formalisiert diese Ankündigung die Verlagerung des Schwerpunkts des **NIST** auf die kritischsten und am weitesten verbreiteten Schwachstellen.