Das NVD-System der US-Behörde NIST hat sich nie wirklich von einem Rückstau erholt, der im Februar 2024 begann. Bis Mitte 2024 waren 75 % der eingereichten CVEs noch nicht bearbeitet, und im März letzten Jahres räumte das NIST ein, dass der Rückstau trotz des Versprechens, ihn abzubauen, aufgrund eines Anstiegs der Einreichungen um 32 % weiter wuchs.
Noch bevor sich der Rückstand aufbaute, haben wir im Januar 2024 Aikido eingeführt. Wir waren der Ansicht, dass es nicht mehr tragbar war, sich allein auf Schwachstellendatenbanken zu verlassen. Das war umständlich und konnte mit der Geschwindigkeit und dem Umfang der Open-Source-Sicherheit nicht Schritt halten.
Gestern räumte die US-Behörde NIST schließlich ein , dass sie mit der Flut an CVE-Meldungen nicht Schritt halten kann.
Obwohl die Zahl der im Jahr 2025 erfassten CVEs um 45 % stieg, nahmen die CVE-Meldungen um 263 % zu. Die Behörde konnte da unmöglich Schritt halten. Daher musste sie einen neuen, „risikobasierten“ Ansatz verfolgen, um dieser Situation gerecht zu werden.
Der neue Ansatz wird CVEs priorisieren, die Software betreffen, die innerhalb der US-Regierung verwendet wird, kritische Software betreffen oder im Katalog „Known Exploited Vulnerabilities“ (KEV) aufgeführt sind. Andere CVEs werden zwar in das NVD aufgenommen, aber nicht analysiert. Das bedeutet, dass nicht jede CVE unabhängig bewertet wird. Stattdessen wird einfach die Bewertung des Einreichers übernommen, und geänderte CVEs werden nicht erneut analysiert, es sei denn, jemand weist darauf hin, dass dies erforderlich ist. Der wachsende Rückstand wird in den Status „nicht geplant“ verschoben, was so viel bedeutet wie „wir kommen vielleicht irgendwann dazu (aber verlassen Sie sich nicht darauf)“.
Ohne diese Anreicherung sind CVEs weniger aktuell und weniger zuverlässig. Welche Auswirkungen wird dies auf die Tausenden von Organisationen und Sicherheitsexperten haben, die sich auf das NVD als ihre maßgebliche Informationsquelle verlassen? Wenn ein CVE nicht vom NIST angereichert wird, zeigen die Tools, die auf das NVD setzen, das CVE nicht an. Teams werden nicht darauf hingewiesen, dass etwas übersehen wurde. Und die Tools selbst erzeugen falsche Negativmeldungen.
Kurz gesagt: Die Abdeckung, auf die sie sich verlassen, ist nicht mehr vollständig. Und wenn sie weiterhin auf das NVD als verlässliche Quelle setzen, versetzen sie sich in ein falsches Gefühl der Sicherheit.
CVEs haben ohnehin nie das ganze Bild abgedeckt
Natürlich wird das NIST genau unter die Lupe genommen werden, aber in Wirklichkeit würden die Teams selbst bei einem einwandfrei funktionierenden NVD den Großteil der tatsächlichen Schwachstellen übersehen, da CVEs nur das erfassen, was öffentlich bekannt wird.
Selbst die Entwickler der größten Anbieter beheben Sicherheitsprobleme, melden diese jedoch nie. Zentralisierte Datenbanken allein können nicht erfassen, was nie gemeldet wird.
Aus diesem Grund haben wir Aikido bereits im Januar 2024 ins Leben gerufen – Wochen bevor der Rückstau bei NVD überhaupt begann –, denn wir hatten bereits erkannt, dass es eine zum Scheitern verurteilte Strategie war, sich bei der Information über Sicherheitslücken ausschließlich auf zentralisierte Datenbanken zu verlassen.
Intel nutzt speziell trainierte große Sprachmodelle (LLMs), um Changelogs, Release Notes und Commit-Meldungen in Open-Source-Paketen zu analysieren. Wenn sicherheitsrelevante Patches identifiziert werden, werden diese mit fünf Schwachstellendatenbanken abgeglichen. Liegt noch keine öffentliche Meldung vor, überprüfen unsere Sicherheitsingenieure den Fund und veröffentlichen einen Sicherheitshinweis mit einer Aikido .
Zur Veranschaulichung: Im ersten Jahr wurden 67 % der Pakete, in denen Intel Sicherheitslücken entdeckt hatte, niemals öffentlich in einer Datenbank veröffentlicht – weder bei NVD, noch bei GitHub Advisory, noch bei MITRE, noch sonst wo.
Und dabei handelt es sich nicht um obskure Pakete. Axios (56 Millionen wöchentliche npm-Downloads) hat stillschweigend eine „Prototype Pollution“-Sicherheitslücke behoben , für die bis heute keine CVE-Nummer vorliegt. Apache ECharts hat eine Cross-Site-Scripting-Schwachstelle behoben und dies nie öffentlich gemacht. Chainlit hat eine kritische Path-Traversal-Sicherheitslücke behoben und dazu kein Wort verloren. Bei den Fällen, die schließlich doch bekannt wurden, betrug die durchschnittliche Zeitspanne zwischen der Behebung und der Vergabe einer CVE-Nummer 27 Tage. Die längste Zeitspanne bis zur Offenlegung betrug neun Monate.
In einer einzigen Woche der Intel-Überwachung im Januar dieses Jahres hatten 12 von 16 gemeldeten Sicherheitslücken überhaupt keine CVE-Kennung.
Heute überwacht Intel 4,3 Millionen Pakete und hat über 2.000 Sicherheitslücken entdeckt. Das Tool ist unter der AGPL als Open Source verfügbar, was bedeutet, dass es jeder nutzen, ändern und weitergeben darf. Außerdem ist es für seinen Betrieb weder auf CPE-Zuordnungen noch auf NVD-Erweiterungen angewiesen.
Aikido füllte diese Lücke bereits, bevor sie überhaupt entstand.
Und wie geht es jetzt weiter?
Die EU baut bereits eine eigene Alternative zum NVD auf, die Europäische Schwachstellendatenbank (EUVD), die seit Mai 2025 in Betrieb ist. Ab September 2026 wird die Meldung aktiv ausgenutzter Schwachstellen für Hersteller gemäß dem Cyber Resilience Act. Die EU hat das Risiko erkannt, von einer einzigen, von den USA betriebenen Datenbank abhängig zu sein, und strebte daher eine Entkopplung an. Doch auch die EUVD befindet sich noch in einem frühen Stadium und ist stark auf die Synchronisierung mit der NVD und anderen bestehenden Datenbanken angewiesen. Diese Datenbanken werden nicht verschwinden, und das sollten sie auch nicht – sie erfüllen eine wichtige Funktion. Aber jede einzelne davon als vollständiges Bild zu betrachten, ist keine tragfähige Strategie mehr.
Kurz gesagt: Es gibt keine einzige verlässliche Informationsquelle mehr (falls es diese jemals wirklich gab). NVD verliert an Bedeutung, EUVD steckt noch in den Kinderschuhen, könnte aber denselben Weg gehen, und andere CVE-Programme, wie beispielsweise MITRE, hatten mit Finanzierungsproblemen zu kämpfen. Sich als Team oder für ein Sicherheitstool auf eine einzige Datenbank zu verlassen, bedeutet, dass man weniger Abdeckung und Transparenz hat. Diese Ära ist offiziell vorbei.
Wir haben auf diesen Moment hingearbeitet. Aikido ist jetzt live, als Open-Source-Projekt verfügbar und wächst stetig. Hier geht es zur Seite.
