Julia Wolf
Die Schwachstellen-Datenbank des US-Heimatschutzministeriums kollabiert unter ihrem eigenen Gewicht. NIST wirft das bewährte Bewertungssystem über Bord und sortiert ab April 2026 nur noch das, was wirklich wehtut. Für IoT-Hersteller und Betreiber kritischer Infrastrukturen ändert sich damit alles – oder auch gar nichts.
Es war einmal eine Datenbank. Eine richtig große. Jede Schwachstelle, die irgendwo auf der Welt ein Gerät, ein Betriebssystem, eine Software lahmlegen konnte – dokumentiert, bewertet, durchsuchbar. Das National Vulnerability Database, kurz NVD, war über Jahrzehnte das Rückgrat der globalen IT-Sicherheit. Ohne NVD keine Risikoeinschätzung. Ohne NVD kein Patch-Management. Ohne NVD gar nichts.
Dann kam die Flut.
Zwischen 2020 und 2025 stieg die Zahl der neu gemeldeten Common Vulnerabilities and Exposures – kurz CVEs – um 263 Prozent. Das ist keine Zahl, die man in Ruhe verarbeitet. Das ist eine Zahl, die eine Behörde zerlegt. NIST, die zuständige Stelle, kam nicht mehr hinterher. Die Folge: Hunderttausende Einträge rotteten vor sich hin. Kein CVSS-Score. Keine CPE-Zuordnung. Keine CWE-Klassifizierung. Nur rohe CVE-Nummern, die niemand mehr zuordnen konnte. Das Rückgrat der Sicherheitswelt wurde zur Altlast.
Im April 2026 ist Schluss mit dem Anspruch auf Vollständigkeit. NIST führt ein Triage-Modell ein – und die Regeln sind brutal simpel: Wer priorisiert werden will, muss eine der drei Hürden nehmen.
Erstens: Die Schwachstelle steht im CISA-Katalog der Known Exploited Vulnerabilities. Das sind Lücken, die in freier Wildbahn bereits aktiv angegriffen werden. Hier richtet sich die Welt.
Zweitens: Die Schwachstelle betrifft nationale Sicherheitsrisiken. Dazu gehören Softwarekomponenten, die als systemkritisch eingestuft sind – Rüstungsindustrie, Energieversorgung, Kommunikationsinfrastruktur.
Drittens: Die Schwachstelle betrifft kritische Software, die in großem Maßstab verbreitet ist. Open-Source-Bibliotheken mit Millionen-Abhängigkeiten. Cloud-Infrastruktur. Hypervisor. Betriebssystemkerne.
Alles andere? Weggespeist. Kein CVSS-Score, kein CPE, kein CWE. Die Einträge bleiben bestehen, aber sie sind nackt. Unbewertet. Nicht mehr nutzbar für automatisierte Risikoberechnung.
Sie betreiben ein Netzwerk. Industriesteuerungen. Smart Buildings. Medizingeräte. Sie haben einen Prozess: CVE kommt rein, CVSS-Score sagt, wie schlimm, Sie patchen oder mitigieren. Fertig.
Mit dem neuen Modell ist dieser Prozess tot.
Ohne CVSS-Score fehlt dem Vulnerability Scanner die Entscheidungsgrundlage. Ohne CPE fehlen die Paketzuordnungen – das automatische Matching gegen Ihre Software-Inventur funktioniert nicht mehr. Sie gucken auf einen CVE-Eintrag und wissen nur: Er existiert. Nicht, ob er Sie betrifft. Nicht, ob er ausgenutzt wird. Nicht, ob Sie heute, morgen oder nie handeln müssen.
Für IoT-Geräte ist das besonders hässlich. IoT-Hardware wird selten aktualisiert. Firmware-Patches sind teuer, testintensiv und – ehrlich gesagt – häufig werden sie gar nicht ausgeliefert. Hersteller haben keinen Anreiz, alte Geräte zu patchen. Betreiber haben keinen Anreiz, sie auszutauschen. Das war schon immer ein Problem. Aber es wurde erträglich, solange man die Risiken kannte.
Jetzt fehlt selbst das.
Während die NVD bröckelt, veröffentlicht NIST die überarbeitete Fassung von SP 800-82 Rev. 3 – Guide to Operational Technology Security. Für alle, die es noch nicht mitbekommen haben: OT ist alles, was die physikalische Welt steuert. Kraftwerke. Produktionsanlagen. Verkehrsleitsysteme. Aufzüge. Und ja, immer mehr IoT-Infrastruktur.
Die neue Fassung berücksichtigt, was in den letzten Jahren passiert ist: IT/OT-Konvergenz, IIoT, Cloud-Anbindung von Produktionsnetzen, Remote-Zugriffe auf industrielle Steuerungen. SP 800-82 Rev. 3 räumt der Governance einen prominenten Platz ein. Nicht weil das sexy ist, sondern weil die Vergangenheit gezeigt hat: Technische Controls scheitern an fehlender organisatorischer Einbettung.
Parallel dazu setzt das NIST Cybersecurity Framework 2.0 – CSF 2.0 – ebenfalls auf Governance. Das neue Kernelement „Govern“ steht über den anderen fünf Funktionen (Identify, Protect, Detect, Respond, Recover) und macht klar: IT-Sicherheit ohne Einbettung in die Unternehmensführung ist nur Bastelei.
Und dann ist da noch CIRCIA. Der Cyber Incident Reporting for Critical Infrastructure Act verpflichtet Betreiber kritischer Infrastrukturen in den USA zu schnellen Meldungen: 72 Stunden nach einem erheblichen Cybervorfall, 24 Stunden nach einer Lösegeldzahlung. Die entsprechenden NIST-Implementierungsrichtlinien konkretisieren, wie diese Meldungen auszusehen haben – und was alles hineingehört.
Das ist keine Bürokratie-Maßnahme. Das ist ein Alarmglockensystem auf nationaler Ebene. Wenn ein Angriff auf ein Kraftwerk in Ohio gemeldet wird, müssen Betreiber ähnlicher Anlagen in Kentucky und Virginia davon erfahren. Schnell genug, um sich zu verteidigen, bevor der Angriff über das Netz wandert.
Für deutsche Unternehmen klingt das erstmal nach US-Recht, das hier nicht gilt. Falsch gedacht. Wer in den USA Geschäfte macht, Cyberinfrastruktur in den USA betreibt oder Zulieferer in den USA hat, fällt unter CIRCIA. Und selbst wenn nicht: Die EU arbeitet an parallelen Instrumenten.
Der Cyber Resilience Act – CRA – der Europäischen Union tritt gestaffelt bis 2027 in Kraft. Das Grundprinzip ist verwandt, aber europäisch ausdifferenziert: Hersteller und Importeure von Produkten mit digitalen Elementen müssen sicherstellen, dass ihre Produkte über den gesamten Lebenszyklus sicher sind – nicht nur zum Zeitpunkt des Inverkehrbringens.
Konkret bedeutet das für IoT-Geräte:
Das ist das Ende der „Fire and Forget“-Ära. Hersteller, die billige IoT-Kameras auf den Markt werfen und dann vom Markt verschwinden, werden es schwerer haben. Aber: Die Durchsetzung wird ein Problem bleiben. Wer kontrolliert den chinesischen Hersteller, der über drei Zwischenhändler in die EU liefert?
Die ehrliche Antwort: Ein Chaos aus halb bewerteten, teils bewerteten und gar nicht mehr bewerteten Schwachstellen. Automatisierte Vulnerability-Scanner werden unbrauchbar, wenn die Datenbasis inkonsistent wird. Sicherheitsteams, die sich auf CVSS-Schwellwerte verlassen haben, müssen umdenken.
Alternativen existieren. FIRST bietet weiterhin den CVSS-Standard an – Hersteller und Forscher können CVSS-Scores weiterhin selbst vergeben, auch wenn NIST sie nicht mehr pflegt. EPSS (Exploit Prediction Scoring System) versucht, die Ausnutzungswahrscheinlichkeit vorherzusagen, ohne auf die vollständige NVD angewiesen zu sein. Und kommerzielle Anbieter wie Tenable, Qualys und Rapid7 bauen eigene Datenbanken auf, die das NVD-Vakuum füllen sollen – natürlich gegen Lizenzgebühren.
Für Verbraucher und kleinere Unternehmen wird es dadurch nicht einfacher. Die Lücke zwischen denen, die sich kommerzielle Threat-Intelligence leisten können, und denen, die auf das kostenlose NVD angewiesen waren, wird größer.
Paradoxerweise verschlechtert sich die globale IT-Sicherheit nicht durch eine neue Angriffswelle, sondern durch eine institutionelle Kapitulation. NIST hat nicht aufgegeben, weil die Hacker gewonnen haben. NIST hat aufgegeben, weil die Politik die Ressourcen nicht bereitgestellt hat, um mit dem Wachstum Schritt zu halten.
263 Prozent mehr CVEs in fünf Jahren. Das ist nicht das Ergebnis besserer Erfassung – das ist das Ergebnis größerer Angriffsfläche. Mehr vernetzte Geräte. Mehr Software. Mehr Abhängigkeiten. Mehr Lieferketten. Mehr IoT.
Das NVD-Triage ist ein Notruf. Nicht für eine Schwachstelle. Für das gesamte System.
Die Regeln ändern sich. Hier ist, was auf Sie zukommt:
Patch-Management umbauen. Automatisierte Prozesse, die auf NVD-Daten angewiesen sind, müssen überprüft werden. Wo CVSS-Scores fehlen, brauchen Sie alternative Entscheidungsgrundlagen. EPSS. Externe Threat-Intelligence. Hersteller-Meldungen. Internes Monitoring.
OT/IoT-Inventur jetzt. Wenn Sie nicht genau wissen, welche OT- und IoT-Geräte in Ihrem Netzwerk laufen, wird das neue NVD-Modell Ihnen das nicht abnehmen. Sie brauchen einen aktuellen Bestand, um neue Schwachstellenmanuell zu prüfen – weil automatisch oft nichts mehr kommt.
Governance-Strukturen aufsetzen. NIST CSF 2.0 und SP 800-82 Rev. 3 zeigen in die gleiche Richtung: Technische Controls sind nur so gut wie ihre organisatorische Einbettung. Wer Governance ernst nimmt – also Sicherheit in die Unternehmensführung verankert – wird mit weniger Lücken durchkommen als der, der auf Einzellösungen setzt.
CIRCIA-Meldestrukturen aufbauen. Auch wenn Sie in Europa sitzen: Die 72/24-Stunden-Logik ist ein gutes Übungsformat. Wenn Sie heute noch nicht in der Lage sind, einen Cybervorfall innerhalb von 24 Stunden zu erkennen UND zu melden, ist das ein Defizit, das dringend geschlossen werden muss.
CRA-Readiness prüfen. Bis 2027 steht die volle CRA-Konformität an. Für Hersteller digitaler Produkte gelten dann neue Pflichten. Für Betreiber heißt das: Einkaufsrichtlinien anpassen, CRA-konforme Produkte bevorzugen, Hersteller-Policies zu Security-Support-Fenstern abfragen.
Lassen Sie uns kurz durchatmen und das Gesamtbild betrachten.
Wir haben eine Schwachstellen-Datenbank, die sich aus der Verantwortung zieht. Wir haben einOT-Sicherheits-Framework, das technisch brillant ist, aber nur wirkt, wenn Menschen es lesen und umsetzen. Wir haben nationale Meldepflichten, die schnelles Handeln erzwingen – aber nur für die, die diese Pflichten kennen und umsetzen können. Und wir haben einen EU-Gesetzgeber, der noch bis 2027 auf volle Durchsetzung schaltet.
Dazwischen: Millionen IoT-Geräte ohne Patches. Hersteller, die das Zeitliche segnen und keine Updates mehr liefern. Betreiber, die das nicht einmal bemerken. Angreifer, die sich über automatisiert ausnutzbare Schwachstellen freuen.
Es ist kein düsteres Bild, weil die Technik versagt. Die Technik funktioniert. Es ist düster, weil die Organisation versagt. Das ist kein tekn Problem. Das ist ein menschliches.
NIST wirft das NVD nicht weg. Es sortiert nur. Und die Sortierung ist ein ehrliches Zugeständnis: Wir schaffen es nicht mehr, alles zu machen. Wir machen nur noch das, was wirklich zählt.
Das ist ein Problem für alle, die auf die Datenbank als zentrale Informationsquelle gesetzt haben. Und es ist eine Chance für alle, die verstanden haben, dass Sicherheit immer Eigenverantwortung war – und jetzt erst recht ist.
Sie haben kein NVD mehr, das Ihnen sagt, was wichtig ist. Dann müssen Sie es selbst wissen. Das ist unbequem. Das ist teuer. Das ist der Preis für eine Welt, in der mehr vernetzt ist, als irgendjemand sicher verwalten kann.
IoT wächst weiter. Die Angriffsfläche wächst weiter. Die Zahl der CVEs wächst weiter. Das NVD-Triage ist kein Ende. Es ist ein Anfang – einer, in dem Sie mehr allein dastehen als zuvor.
Viel Glück dabei.
(Symbolbild)
Mehr zum Thema Datenschutz: Deepfakes erkennen und Passkeys als Alternative.
Quellen: Netzwoche · BornCity NVD
Deepfakes erkennen — auch OT-Umgebungen sind zunehmend betroffen.
