Die US-Behörde für Standards und Technologie (NIST) hat ihr Management der National Vulnerability Database (NVD) grundlegend umgestellt. Angesichts eines nie dagewesenen Rückstaus an Sicherheitslücken setzt die Behörde nun auf ein risikobasiertes Triage-System. Seit Mitte April 2026 reichert NIST nur noch eine priorisierte Auswahl besonders gefährlicher Schwachstellen mit detaillierten Analysedaten an. Der Schritt ist eine Reaktion auf die explodierende Zahl gemeldeter Software-Lücken – ein Problem, das auch deutsche Unternehmen und Behörden betrifft.
Angesichts der rasanten Zunahme an Sicherheitslücken im Jahr 2024 ist ein proaktiver Schutz für kleine und mittelständische Betriebe wichtiger denn je. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Bedrohungen abwenden und Ihr Unternehmen auch ohne großes Budget langfristig absichern. IT-Sicherheit stärken ohne teure Investitionen
Der Kipppunkt: 263 Prozent mehr Sicherheitslücken in fünf Jahren
Die Entscheidung für ein Triage-System kommt nicht überraschend. Zwischen 2020 und 2025 stieg die Zahl der gemeldeten Schwachstellen (CVEs) um 263 Prozent. Allein im vergangenen Jahr reicherte NIST rund 42.000 CVEs mit Detailinformationen an – ein Rekordwert, der 45 Prozent über dem Vorjahresniveau lag. Doch selbst diese Steigerung reichte nicht aus, um den Rückstau abzubauen, der sich seit Anfang 2024 aufgebaut hatte.
Seit dem 15. April 2026 gilt die neue Regel: NIST vergibt nur noch für einen Teil der gemeldeten Lücken einen Schweregrad (CVSS), identifiziert betroffene Produkte (CPE) und klassifiziert die zugrunde liegenden Schwachstellen (CWE). Die Behörde begründet den Schritt mit der schieren Masse: Allein im ersten Quartal 2026 lagen die Eingänge fast ein Drittel höher als im Vorjahreszeitraum.
Die neuen Prioritäten im Überblick:
– Höchste Priorität: Schwachstellen aus dem KEV-Katalog (Known Exploited Vulnerabilities) der US-Cybersicherheitsbehörde CISA – also Lücken, die bereits von Angreifern ausgenutzt werden
– Zweite Priorität: Lücken in Software, die in der US-Bundesverwaltung eingesetzt wird oder als kritische Software gilt
– Alle anderen: Verbleiben in der Datenbank, erhalten aber keine automatische Anreicherung – es sei denn, ein spezifischer Prüfungsantrag wird genehmigt
Neue Werkzeuge für das Cybersecurity Framework 2.0
Parallel zur Verschlankung der Schwachstellen-Analyse baut NIST das praktische Werkzeug-Angebot für das Cybersecurity Framework (CSF) 2.0 aus. Anfang der Woche veröffentlichte die Behörde einen neuen Entwurf des Leitfadens „Small Business Cybersecurity: Non-Employer Firms“ (CSWP 50). Das Dokument richtet sich an die rund 81,9 Prozent aller US-Kleinunternehmen, die ohne Angestellte arbeiten – also Einzelunternehmer, Freiberufler und Solo-Selbstständige.
Der Leitfaden übersetzt die CSF-2.0-Empfehlungen in verständliche Sprache und konzentriert sich auf grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und sichere Datensicherung. Besonderes Augenmerk liegt auf den aktuellen Bedrohungen des Frühjahrs 2026: ausgeklügelte Phishing-Kampagnen und Ransomware. Die öffentliche Kommentierungsfrist läuft bis Mitte Mai 2026.
Ergänzend dazu veröffentlichte NIST die finale Version von Special Publication (SP) 1308, einem Schnellstart-Leitfaden für Enterprise Risk Management (ERM) und Workforce Management. Das Dokument soll Führungskräften helfen, besser über Cybersicherheitsrisiken zu kommunizieren und technische Maßnahmen mit Geschäftszielen zu verzahnen. Ebenfalls neu: der Entwurf SP 1347, der Sicherheitsexperten dabei unterstützt, CSF-2.0-Vorgaben mit anderen Standards und regulatorischen Anforderungen abzugleichen.
KI und Lieferketten: Die neuen Risikofelder
Die aktuellen Veröffentlichungen spiegeln einen wachsenden Fokus auf zwei Bedrohungsbereiche wider: Künstliche Intelligenz und Lieferketten-Abhängigkeiten. Branchenanalysten beobachten, dass Cybersicherheit zunehmend als unternehmerisches Grundrisiko verstanden wird – nicht mehr als isoliertes IT-Thema. Das Identity Theft Resource Center zählte allein 2025 insgesamt 3.322 öffentlich bekannt gewordene Datenkompromittierungen.
Ein wesentlicher Treiber ist die rasche Verbreitung von KI-Technologien. NIST hat sein Cyber-AI-Profil weiter verfeinert, das als praktische Ergänzung zum CSF 2.0 fungiert. Es adressiert KI-spezifische Gefahren wie Modellmanipulation, Datenvergiftung und unerwünschtes Systemverhalten. Die Dringlichkeit unterstreicht eine aktuelle Erhebung: 97 Prozent der Organisationen, die 2025 KI-bezogene Sicherheitsvorfälle meldeten, verfügten über keine angemessenen KI-Zugriffskontrollen.
Da die EU-KI-Verordnung bereits unmittelbar gilt, müssen Unternehmen neue Pflichten wie Risikodokumentation und Kennzeichnung zügig umsetzen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den notwendigen Überblick über Fristen und Risikoklassen. Kostenloses E-Book zur KI-Verordnung jetzt sichern
Auch die Lieferkettensicherheit bleibt ein Schwerpunkt. Der Verizon Data Breach Investigations Report 2025 zeigt: 30 Prozent aller Sicherheitsverletzungen waren auf Drittanbieter zurückzuführen – doppelt so viele wie 2024. Das CSF 2.0 greift diese Entwicklung auf und legt verstärkt Wert auf Lieferantenkontrollen, abgestimmt auf Vorgaben wie die EU-Verordnung DORA (Digital Operational Resilience Act) und die US-Executive Order 14028.
Analyse: Ein Paradigmenwechsel hin zur geteilten Verantwortung
Der Wechsel zum Triage-Modell markiert eine Zäsur. Sicherheitsexperten sehen darin die Anerkennung einer Realität: Die schiere Menge an produziertem Code – zunehmend unterstützt durch KI-Entwicklungswerkzeuge – übersteigt die manuelle Analysekapazität jeder einzelnen Regierungsbehörde.
Indem NIST den Fokus auf „reale Ausnutzbarkeit“ und Bundessoftware legt, verschiebt die Behörde Verantwortung für die Schwachstellen-Analyse bewusst in den privaten Sektor und die Cybersicherheits-Community. Die Folge: Unternehmen werden stärker auf private Schwachstellen-Intelligenz und automatisierte Erkennungstools angewiesen sein. Gleichzeitig gewinnt die im CSF 2.0 neu eingeführte „Govern“-Funktion an Bedeutung, die Organisationen dazu anhält, interne Richtlinien für Risiken zu entwickeln, die möglicherweise nicht mehr vollständig in staatlichen Datenbanken dokumentiert sind.
Ausblick: Was kommt auf Unternehmen zu?
Für die zweite Jahreshälfte 2026 erwarten Experten eine beschleunigte Umstellung von CSF 1.1 auf die 2.0-Version. Aufsichtsbehörden und Branchenverbände signalisieren, dass sie bei Compliance-Prüfungen verstärkt auf die neuen Governance- und Lieferketten-Kategorien achten werden.
Hinzu kommt das Cybersecurity Incident Reporting for Critical Infrastructure Act (CIRCIA). Es schreibt für kritische Infrastrukturen verbindliche Meldefristen vor: 72 Stunden für schwerwiegende Vorfälle, 24 Stunden für Lösegeldzahlungen. Die Integration der neuen NIST-Schnellstart-Leitfäden in die Incident-Response-Pläne wird für Betreiber kritischer Infrastrukturen zur Priorität.
In den kommenden Wochen wird NIST das öffentliche Feedback zu den aktuellen Entwürfen auswerten. Die finalen Versionen der Leitfäden für Kleinunternehmen und Informationsreferenzen werden voraussichtlich bis zum Frühsommer 2026 vorliegen. Ziel der Behörde: Während sie ihre Schwachstellen-Datenbank triagiert, soll sie Organisationen gleichzeitig die strategischen Werkzeuge an die Hand geben, um ein zunehmend komplexes Bedrohungsumfeld eigenständig zu managen.
