🔍 Was beobachte ich?

Viele Schwachstellen-Prozesse hängen an einer einzigen Quelle: der National Vulnerability Database. Werkzeuge gleichen Software gegen NVD-Daten ab, das Ergebnis landet ungeprüft im Report. Fehlt dort ein Eintrag, gilt die Komponente als unauffällig.

🎯 Was soll eigentlich erreicht werden?

Das Ziel ist legitim: maschinenlesbare, angereicherte Schwachstellendaten – CPE, CWE, CVSS – als Fundament für automatisiertes Scanning und SBOM-Abgleich. Über Jahre war die NVD dafür der De-facto-Standard.

⚠️ Warum funktioniert das nicht?

Seit April 2026 reichert das NIST nur noch CISA-KEV-Einträge und priorisierte Software vollständig an – der Rest bleibt „Not Scheduled". Wo Werkzeuge direkt gegen NVD-Applicability-Statements prüfen, fehlt der Treffer dann nicht schwächer, sondern ganz: ein falsch-negatives Ergebnis, das wie Entwarnung aussieht. Zugleich reicht das NIST künftig die CVSS-Scores der Hersteller durch, statt unabhängig zweitzubewerten – und Hersteller bewerten eigene Lücken erfahrungsgemäß konservativer. Auch die europäische EUVD ist kein Ausweg: Sie erbt ihre Defizite aus CVE-Programm und NVD.

💡 Was funktioniert besser?

Die Datenversorgung gehört diversifiziert: CISA Vulnrichment für CWE und CVSS, EPSS zur Priorisierung, für CPE-Matching VulnCheck NVD++ oder Vulners, für SBOM-Pipelines OSV.dev und die GitHub Security Advisories. Wichtiger als jedes Werkzeug ist die Haltung: Keine Quelle ist vollständig – wer eine einzige zur Wahrheit erklärt, misst seine Sicherheit an ihren Lücken.

📚🔍