Das National Institute of Standards and Technology (NIST) richtet seine Arbeit an der National Vulnerability Database (NVD) grundlegend neu aus. Ab April 2026 werden nur noch priorisierte CVE-Eintraege vollstaendig analysiert und mit Detaildaten angereichert. Alle uebrigen Schwachstellen bleiben zwar verzeichnet, erhalten jedoch keinen gewohnten analytischen Kontext mehr.
Warum NIST die National Vulnerability Database umbaut
Hintergrund der Reform ist der massive Anstieg an gemeldeten Schwachstellen. Zwischen 2020 und 2025 stieg das Volumen neuer CVE-Eintraege laut NIST um 263 %. Bereits im ersten Quartal 2026 kamen noch einmal rund ein Drittel mehr Meldungen hinzu als im Vorjahreszeitraum. Damit stoesst selbst eine zentral organisierte Plattform wie die NVD an ihre Kapazitaetsgrenzen.
Im Jahr 2025 gelang es NIST, knapp 42.000 CVE-Eintraege detailliert aufzubereiten – ein Plus von 45 % gegenueber jedem frueheren Jahr. Trotz dieser Steigerung wird deutlich, dass eine vollstaendige manuelle Anreicherung aller Schwachstellen angesichts von jaehrlich zehntausenden neuen CVEs praktisch nicht mehr realisierbar ist.
Unter „Anreicherung“ versteht NVD typischerweise die Vergabe einer Schweregradbewertung (z. B. nach CVSS), die Zuordnung betroffener Produkte und Versionen, ausfuehrliche Beschreibungen, Referenzen und weitere Kontextinformationen. Diese Daten sind fuer Security-Teams zentral, um Schwachstellen zu priorisieren und begrenzte Ressourcen risikobasiert einzusetzen.
Neue NVD-Strategie: Priorisierung von CVE-Eintraegen
Ab April 2026 wird NIST nur noch priorisierte CVE-Eintraege vollstaendig anreichern. Ein CVE gilt als prioritaer, wenn er mindestens einem von NIST definierten Kriterium entspricht. Die offizielle Liste wird von NIST dokumentiert, im Kern geht es um Schwachstellen mit hohem potenziellen Impact – etwa aufgrund kritischer betroffener Produkte oder bekannter Ausnutzungsszenarien.
Alle anderen Eintraege erhalten den neuen Status „Not Scheduled“. Diese CVEs erscheinen weiterhin in der NVD, allerdings mit lediglich grundlegenden CVE-Feldern und ohne zusaetzliche Analyse von NIST. Unternehmen sehen damit zwar, dass eine Schwachstelle existiert, muessen aber den kontextuellen Teil der Risikoanalyse selbst uebernehmen.
Wesentlich ist zudem, dass NIST keine eigenen CVSS-Scores mehr berechnet, wenn bereits eine Bewertung durch eine CNA (CVE Numbering Authority) vorliegt – typischerweise den jeweiligen Hersteller oder eine autorisierte Stelle. Die Verantwortung fuer die Erstbewertung schuetzt NIST damit explizit bei den CNAs, was den Vendor-Fokus im Schwachstellenmanagement verschaerft.
Alle bislang unbearbeiteten CVEs mit einem Veröffentlichungsdatum vor dem 1. Maerz 2026 werden – mit Ausnahme der im KEV-Katalog (Known Exploited Vulnerabilities) gefuehrten Eintraege – ebenfalls in den Status „Not Scheduled“ verschoben. Bereits angereicherte CVEs werden nur noch bei wesentlichen Aenderungen erneut geprueft. Organisationen koennen im Einzelfall weitergehende Analyse anfragen, indem sie eine E-Mail an [email protected] senden.
Folgen des Status „Not Scheduled“ fuer Unternehmen
Der neue Status bedeutet, dass ein relevanter Teil der Schwachstellenlandschaft ohne zentrale NIST-Analyse bleiben wird. Fuer viele Unternehmen, die ihr Schwachstellenmanagement stark auf die NVD ausgerichtet haben, steigt damit sowohl das Risiko als auch der betriebliche Aufwand.
Ohne vollstaendige CVSS-Bewertung, ohne klare Liste betroffener Produkte und ohne interpretierenden Kontext muessen Security-Teams eigene Bewertungsverfahren etablieren oder auf alternative Quellen zurueckgreifen. Dazu zaehlen Herstellerhinweise, branchenspezifische ISACs, der KEV-Katalog sowie kommerzielle Threat-Intelligence-Feeds.
Stimmen aus der Sicherheitsbranche und Einordnung
Branchenvertreter bewerten die Aenderungen differenziert. Nach Angaben von VulnCheck fehlten im Jahr 2025 bei rund 10.000 Schwachstellen noch immer CVSS-Werte; insgesamt seien nur etwa 32 % der CVE-2025-Eintraege vollstaendig durch NVD angereichert worden. Die Neuausrichtung zementiert diesen Trend und zwingt Organisationen, ihre Abhaengigkeit von einer einzigen Datenquelle zu ueberdenken.
Security-Verantwortliche weisen zudem darauf hin, dass damit eine „Epoche der Monokultur im Vulnerability Management“ endet. Der Fokus verschiebt sich in Richtung KEV-Katalog und Exploitabilitaetsmetriken, also hin zu Schwachstellen, die nachweislich in realen Angriffen ausgenutzt werden. Damit rückt die praktische Ausnutzbarkeit staerker in den Mittelpunkt als die rein theoretische Schwere jeder einzelnen Luecke.
Praktische Empfehlungen fuer modernes Vulnerability Management
Mehrere Datenquellen konsolidieren
Unternehmen sollten ihre Prozesse so ausrichten, dass sie nicht mehr allein von der NVD abhaengen. Neben NVD und KEV sind Hersteller-Alerts, ISAC-Informationen, Open-Source-Communities und kommerzielle Threat-Intelligence-Angebote wichtige Saeulen. Entscheidend ist, diese Quellen technisch und prozessual in ein einheitliches Schwachstellenmanagement zu integrieren.
Exploitabilitaet und Business-Kontext staerker gewichten
Ein reiner Blick auf CVSS-Punkte reicht nicht aus. In der Risikoanalyse sollten Faktoren wie bekannte Exploits, Angriffsszenarien, Exponierung der Systeme und betroffene Geschaeftsprozesse mindestens gleichwertig beruecksichtigt werden. So lassen sich auch CVEs ohne vollstaendige NVD-Analyse sinnvoll priorisieren.
Asset-Transparenz und Automatisierung ausbauen
Je weniger zentrale Voranalyse durch NIST verfuegbar ist, desto wichtiger wird eine aktuelle und genaue Inventarisierung der IT-Assets. Automatisierte Werkzeuge, die CVEs mit konkreten Systemen, Softwareversionen und Konfigurationen abgleichen, sind dabei essenziell. In Kombination mit Patch-Orchestrierung und Policy-basierten Workflows laesst sich der Mehraufwand zumindest teilweise kompensieren.
Die Neuausrichtung der NVD ist ein deutliches Signal: Die globale Schwachstellenlandschaft ist so dynamisch geworden, dass zentrale Akteure wie NIST gezwungen sind, ihre Ressourcen strikt zu priorisieren. Fuer Unternehmen bedeutet das, ihre eigenen Prozesse im Vulnerability Management zu professionalisieren, mehrere Datenquellen zu verzahnen und Entscheidungen staerker auf reale Angriffsaktivitaet und Business-Impact zu stuetzen. Wer diese Weichen jetzt stellt, reduziert nicht nur Abhaengigkeiten von einzelnen Plattformen, sondern erhoeht nachhaltig die Resilienz gegen eine schnell wachsende und zunehmend ausgenutzte Angriffsoberflaeche.
