---
title: "Die Datenmonokultur"
date: 2026-06-05T07:35:00+02:00
draft: false
image: "2026-06-05_Datenmonokultur.jpg"
tags: ["Anti-Pattern", "AppSec", "Schwachstellenmanagement", "NVD"]
keywords: ["National Vulnerability Database", "CISA Vulnrichment", "EPSS", "CVSS", "OSV.dev", "falsch-negatives Scanning"]
description: "Wer die NVD als einzige Schwachstellenquelle behandelt, übersieht ihre wachsenden Lücken – und hält falsch-negative Scans für Entwarnung."
---

## 🔍 Was beobachte ich?

Viele Schwachstellen-Prozesse hängen an einer einzigen Quelle: der National Vulnerability Database. Werkzeuge gleichen Software gegen NVD-Daten ab, das Ergebnis landet ungeprüft im Report. Fehlt dort ein Eintrag, gilt die Komponente als unauffällig.

## 🎯 Was soll eigentlich erreicht werden?

Das Ziel ist legitim: maschinenlesbare, angereicherte Schwachstellendaten – CPE, CWE, CVSS – als Fundament für automatisiertes Scanning und SBOM-Abgleich. Über Jahre war die NVD dafür der De-facto-Standard.

## ⚠️ Warum funktioniert das nicht?

Seit April 2026 reichert das NIST nur noch CISA-KEV-Einträge und priorisierte Software vollständig an – der Rest bleibt „Not Scheduled". Wo Werkzeuge direkt gegen NVD-Applicability-Statements prüfen, fehlt der Treffer dann nicht schwächer, sondern ganz: ein falsch-negatives Ergebnis, das wie Entwarnung aussieht. Zugleich reicht das NIST künftig die CVSS-Scores der Hersteller durch, statt unabhängig zweitzubewerten – und Hersteller bewerten eigene Lücken erfahrungsgemäß konservativer. Auch die europäische EUVD ist kein Ausweg: Sie erbt ihre Defizite aus CVE-Programm und NVD.

## 💡 Was funktioniert besser?

Die Datenversorgung gehört diversifiziert: CISA Vulnrichment für CWE und CVSS, EPSS zur Priorisierung, für CPE-Matching VulnCheck NVD++ oder Vulners, für SBOM-Pipelines OSV.dev und die GitHub Security Advisories. Wichtiger als jedes Werkzeug ist die Haltung: Keine Quelle ist vollständig – wer eine einzige zur Wahrheit erklärt, misst seine Sicherheit an ihren Lücken.

## 📚🔍

- NIST Updates NVD Operations to Address Record CVE Growth [https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth)
- CISA Vulnrichment [https://github.com/cisagov/vulnrichment](https://github.com/cisagov/vulnrichment)
- VulnCheck: CVSS Accuracy Issues [https://www.vulncheck.com/blog/cvss-accuracy-issues](https://www.vulncheck.com/blog/cvss-accuracy-issues)
- FIRST EPSS – Exploit Prediction Scoring System [https://www.first.org/epss/](https://www.first.org/epss/)
- OSV.dev – Open Source Vulnerabilities [https://osv.dev/](https://osv.dev/)