CVSS: NIST schränkt Bewertung von IT-Sicherheitslücken ein

Das US-amerikanische National Institute of Standards and Technology (NIST) wird die Bewertung von IT-Sicherheitslücken mit den bekannten CVSS-Schweregraden weitgehend einstellen. Das ist eine der Maßnahmen, mit denen NIST den wachsenden Rückstau seiner National Vulnerability Database (NVD) bekämpfen möchte. Wie das vereinbar ist mit der rechtlichen Verpflichtung, CVSS (Common Vulnerability Scoring System) zu berechnen, bleibt offen – aber wo kein Kläger, da kein Richter.

Die NVD baut auf CVE auf. CVE (Common Vulnerabilities and Exposures) ist ein System zur standardisierten Identifikation von IT-Sicherheitslücken. Das NIST übernimmt die CVE-Einträge und reichert sie mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. Dazu gehört eine Bewertung nach CVSS, wie schwerwiegend das Problem ist, sowie die Erstellung einer maschinenlesbaren Liste betroffener Software. Beispielsweise kann ein Fehler in einer Code-Bibliothek zahlreiche Programme ganz unterschiedlicher Hersteller treffen, die diese Bibliothek verwenden.

IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails. Hinzu tritt automatisierte Auswertung der NVD-Einträge. Stand April 2026 haben durchschnittlich mehr als 300.000 Unique User NVD pro Tag genutzt, der Abfragetraffic hat sich auf 22 Terabyte täglich summiert. Die intensive Nutzung zeigt, wie wichtig der Dienst zur Verbesserung der IT-Sicherheit ist.

Unterfinanziert und schlecht vorbereitet

Das Problem: NIST bekommt nicht genügend Budget für den Betrieb der NVD. Die Zahl der täglich gemeldeten Sicherheitslücken steigt laufend, die Personalstärke nicht. Und so ist der Rückstau von 13.000 Analysen im Juni 2024 auf rund 27.0000 Stand September 2025 angewachsen, trotz vorangegangener Bemühungen des NIST. Im letzten Quartal 2025 dürfte NIST den Rückstau immerhin stabil gehalten haben.

Nun drängt der Rechnungshof des US-Handelsministeriums auf Einschränkungen. Er schätzt, dass 2026 mehr als 60.000 zu analysierende Schwachstellen anfallen werden. Zum Vergleich: ICAT (Internet Category of Attack Toolkit), der Vorläufer des NVD, nahm seine Arbeit 1999 auf und erreichte erst drei Jahre später die Marke von 5.000 Einträgen insgesamt.

Der Bericht kritisiert NIST für Mangel an strategischer Planung. Das ist nicht von der Hand zu weisen: Aufgrund budgetrechtlicher Vorgaben durfte NIST nur kleine Unternehmen mit Führung der NVD beauftragen. Anfang 2021 wurde der Auftragnehmer jedoch von einem größeren Unternehmen aufgekauft, weshalb der Vertrag drei Jahre später auslaufen musste. Doch im Herbst 2023 stellte die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) ihre finanziellen Beiträge zum Betrieb der NVD ein.

Damit blieb die Arbeit ab Februar 2024 liegen und der Rückstau begann. Der Rechnungshof erkennt zwar das finanzielle Problem an, hält aber den Zuständigen vor, zu spät reagiert zu haben. Erst im Mai 2024 kam der Vertrag mit einem neuen Dienstleister zustande, die Einschulung der Mitarbeiter wurde im November des Jahres abgeschlossen. Das NIST verspricht nun eine Strategie sowie einen management plan zum Abarbeiten des Rückstaus.

Jetzt gilt der CVSS-Vorschlag des Herstellers

Zusätzlich wirft der Rechnungshof dem NIST Geldverschwendung vor, wenngleich in bescheidenem Ausmaß: Die Berechnung der CVSS sei meist unnötig, weil die Herausgeber der jeweiligen Software bereits selbst einen CVSS-Wert angeben. Dabei ist die unabhängige Berechnung wertvoll, schließlich spielen Software-Herausgeber Fehler ihrer Produkte gerne herunter. Für dieses offene Geheimnis hat NIST im Rahmen der Prüfung allerdings keine Beweise vorgelegt, weshalb der Bericht das ausdrücklich nicht beachtet.

Durch Einstellung der CVSS-Bewertung könne das NIST binnen zweier Jahre 800.000 US-Dollar einsparen. Das NIST versucht den Spagat: Die routinemäßige CVSS-Berechnung wird sofort eingestellt. Nur wenn der vom Hersteller angegebene Wert deutlich inkonsistent mit dem Standard oder öffentlich bekannten Informationen ist, wird das NIST „vielleicht” noch einen Wert berechnen – ansonsten nur auf ausdrücklichen Wunsch. Unterdessen sucht das Institut nach einer Möglichkeit, CVSS automatisch zu berechnen.

NIST NVD v CISA Vulnrichment

Weitere 200.000 US-Dollar soll das NIST vergeudet haben, weil das CISA seit Mai 2024 ein paralleles Projekt namens Vulnrichment betreibt. Tatsächlich überlappen sich NVD und Vulnrichment: Beide sichern die Quellen von Hinweisen auf Sicherheitslücken, bewerten deren Schwere nach CVSS und kategorisieren nach CWE. (CWE steht für Common Weakness Enumeration. Dabei geht es nicht um individuelle Sicherheitslücken, sondern um Kategorien häufiger Schwachstellen bei Hard- und Software.)

Doch nur in der NVD kann man nachlesen, welche Produkte von einer Lücke betroffen sind. Dazu führt das NIST die CPE (Common Platform Enumeration), eine standardisierte Liste von Software-Bezeichnungen und -Versionen – schließlich recht es ja nicht, „Lücke des Taschenrechners in Windows” hinzuschreiben. Bei Vulnrichment fehlt diese wichtige Information, dafür berechnet CISA einen zweiten Schweregrad namens SSVC (Stakeholder-Specific Vulnerability Categorization), der Software-Administratoren anzeigen soll, wie dringend das Problem in ihrem konkreten Einsatzszenario ist.

Während das NIST zur Führung des NVD gesetzlich verpflichtet ist, betreibt CISA Vulnrichment aus eigenem Anstoß. Warum dann NIST 200.000 Dollar vergeudet haben soll und nicht CISA, setzt der Bericht nicht auseinander. Dennoch verspricht das NIST, die Zusammenarbeit mit CISA zu verbessern. Zudem hofft das NIST auf ein Werkzeug, mit dem einmeldende Unternehmen selbst CPE-standardisiert angeben können, welche Programme von einer konkreten Sicherheitslücke betroffen sind.

Ein weiterer Kritikpunkt ist mangelhafte Kommunikation. Speziell hervorgehoben wird ein offener Brief von mehr als 50 IT-Sicherheitsexperten, der im April 2024 den Rückstau und die mangelhafte Transparenz ansprach. Das NIST hat darauf nie geantwortet. Jetzt will es immerhin eine Kommunikationsstrategie ausarbeiten.

(ds)