Greenbone AG

Wenn der Schiedsrichter aufhört zu pfeifen

NIST stellt die unabhängige CVSS-Bewertung weitgehend ein.

Seit Jahren ist das Ritual dasselbe. Eine neue Schwachstelle taucht auf, das Security-Team schaut in die NVD, sieht den CVSS-Score, und entscheidet: patchen oder warten. Ein einziger Wert, produziert von einer US-Bundesbehörde, wird zum Taktgeber für Millionen von Systemen weltweit.
Dieser Taktgeber fällt nun weitgehend weg.
Das NIST hat angekündigt, die routinemäßige CVSS-Berechnung für die National Vulnerability Database einzustellen. Der Rückstau an unbearbeiteten Einträgen ist seit Februar 2024 von 13.000 auf über 27.000 angewachsen bei gleichzeitig steigender Zahl gemeldeter Schwachstellen und stagnierendem Budget. Was bleibt, wenn NIST nicht mehr rechnet: der CVSS-Score des Herstellers selbst.

CVE-2025-20393-cisco-spam-filter

Das strukturelle Problem hinter der Schlagzeile

In der Security-Community ist es kein Geheimnis, dass Hersteller dazu neigen, die Schwere eigener Schwachstellen niedrig zu bewerten. Das NIST hat diesen Interessenkonflikt bisher mit einer unabhängigen Zweitbewertung ausgeglichen. Diese Unabhängigkeit baut sich immer weiter ab.
Für Teams, die bislang mit NVD-CVSS als primärer Prioritätsquelle gearbeitet haben, ist das eine echte Verschiebung. Für Greenbone-Nutzer ändert sich operativ nichts.

Breite internationale Datenbasis statt Single Source of Truth

Greenbones Ansatz basiert auf einer bewussten Quell-Diversität. Schwachstelleninformationen werden aus einem breiten, internationalen Portfolio bezogen wie offiziellen Datenbanken, Hersteller-Advisories in standardisierten Formaten wie CSAF, nationale Behörden wie das BSI, europäische Initiativen wie die EuVD, und darüber hinaus aus der globalen Security-Community. Jede wird eingeordnet, gewichtet und abgeglichen.
Der Vorteil dieser Breite zeigt sich besonders in Momenten wie dem aktuellen: Wenn eine Quelle ausfällt, wegfällt oder an Qualität verliert, verändert sich das Gesamtbild nicht. Die Redundanz ist kein Luxus, sondern Voraussetzung für verlässliche Priorisierung.

Die EuVD: Europäische Souveränität als konstruktive Antwort

Die NIST-Krise macht ein strukturelles Abhängigkeitsproblem sichtbar: Europa hat sich bei der Schwachstellenbewertung zu stark auf eine einzelne US-Behörde verlassen. Die ENISA-betriebene European Vulnerability Database ist die richtige systemische Antwort. Souverän, europäisch, unabhängig von US-Haushaltsentscheidungen.

Erfahren Sie, wie Ihr Unternehmen die Anforderungen des Cyber Resilience Act erfüllt und Ihre Cyberresilienz nachhaltig stärkt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von