## NIST kündigt Änderungen am Schwachstellenverfolgungssystem an **NIST** hat bedeutende Änderungen an der Art und Weise angekündigt, wie es Cybersicherheitsschwachstellen verfolgt, und anerkennt, dass die Anzahl der Bug-Einreichungen in einem nicht nachhaltigen Tempo wächst. Diese Änderung wird beeinflussen, wie Schwachstellen in der weit verbreiteten **NVD** kategorisiert und angereichert werden. Die Behörde wird ihre Ressourcen nun auf Schwachstellen konzentrieren, die bestimmte Kriterien erfüllen, was eine Abkehr von ihrer früheren Mission darstellt, jede **CVE** (Common Vulnerabilities and Exposures) zu kategorisieren. Diese Entscheidung kommt zustande, da die Behörde Schwierigkeiten hat, mit dem zunehmenden Einreichungsvolumen Schritt zu halten. Laut einer von **NIST** veröffentlichten Erklärung sind die Einreichungen in den ersten drei Monaten des Jahres 2026 fast ein Drittel höher als im gleichen Zeitraum des Vorjahres, trotz einer Erhöhung der CVE-Anreicherung um 45 % im Jahr 2025. ## Priorisierungskriterien Gemäß der neuen Richtlinie wird **NIST** **CVE**-Einträge nur anreichern, die bestimmte Schwellenwerte erfüllen. Insbesondere wird die Anreicherung priorisiert für: * **CVE**s, die im Known Exploited Vulnerabilities Catalog der **Cybersecurity and Infrastructure Security Agency (CISA)** aufgeführt sind. * **CVE**s, die Produkte betreffen, die von der Bundesregierung verwendet werden. * **CVE**s, die Software betreffen, die als "kritisch" eingestuft wird. **NIST** strebt an, Schwachstellen im **CISA**-Katalog innerhalb eines Tages nach Benachrichtigung anzureichern. **CVE**s, die diese Kriterien nicht erfüllen, werden weiterhin gelistet, erhalten jedoch keine zusätzliche Analyse oder Schweregradbewertung von **NIST**. ## Das Rückstauproblem **NIST** hat einen bestehenden Rückstau von **CVE**s anerkannt, die es aufgrund von Ressourcenbeschränkungen nicht verarbeiten konnte. Diese zurückgestellten Einträge, die vor dem 1. März 2026 liegen, werden in die Kategorie "Nicht geplant" verschoben und nur dann priorisiert, wenn sie die neuen Kriterien erfüllen. **NIST** wird sich auch stärker auf die von den Einreichern bereitgestellten Schweregradbewertungen verlassen, anstatt eigene Bewertungen für alle **CVE**s zu generieren. Obwohl **NIST** anerkennt, dass die Änderungen "möglicherweise nicht jede potenziell hochwirksame **CVE** erfassen", betont die Behörde, dass dieser risikobasierte Ansatz notwendig ist, um sicherzustellen, dass die Datenbank nachhaltig und zuverlässig bleibt. ## Branchenreaktion Experten wie Trey Ford von **Bugcrowd** schlagen vor, dass die Änderungen von **NIST** ein breiteres Verständnis in der Forschungsgemeinschaft widerspiegeln: Die Zentralisierung der Schwachstellen-Triage in diesem Umfang ist nicht nachhaltig. Ford betonte, dass die reale Ausnutzbarkeit, die von menschlichen Forschern ermittelt wird, der wahre Treiber für die Priorisierung von Behebungsmaßnahmen ist. <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">Mehr erfahren.</a> [](https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad)