Das US-amerikanische NIST (National Institute of Standards and Technology) steht vor einer großen Herausforderung: Ein erheblicher Rückstau bei der Bearbeitung von Schwachstelleneinträgen in der National Vulnerability Database (NVD) hat sich seit Februar aufgebaut. Um diesen Rückstau zu bewältigen, hat die Behörde ein spezialisiertes Unternehmen unter Vertrag genommen.

In einer Ankündigung auf der NIST-Webseite erläutert die Behörde ihre Pläne zur Bewältigung der Situation. „Das NIST hat einen Vertrag für zusätzliche Verarbeitungsunterstützung für eingehende Common Vulnerabilities and Exposures (CVEs) zur Aufnahme in die NVD vergeben. Wir sind zuversichtlich, dass die zusätzliche Unterstützung uns ermöglicht, in den nächsten Monaten zu Verarbeitungsraten zurückzukehren, die wir vor Februar 2024 gepflegt haben“, heißt es dort.

Rückstau seit Februar

Das NIST bearbeitet Schwachstellenmeldungen, die von Unternehmen und Organisationen eingereicht werden, und ergänzt diese mit wichtigen Meta-Informationen wie Schweregrad, Schwachstellentyp, Links, Unternehmens- und Softwarenamen. Diese Anreicherung macht die CVE-Einträge für viele Nutzer erst wirklich nutzbar und ermöglicht deren Einsatz in automatisierten Prozessen. Seit Februar hat sich jedoch ein Rückstau gebildet, den das NIST nun gemeinsam mit der Cybersecurity and Infrastructure Security Agency (CISA) bis zum Ende des Fiskaljahres auflösen möchte.

Technische und prozessuale Updates

Um den zunehmenden Schwachstellen-Meldungsstrom langfristig bewältigen zu können, plant das NIST technische und prozessuale Aktualisierungen. Ziel ist es, ein nachhaltiges Programm zu schaffen, das die Automatisierung des Schwachstellenmanagements, der Sicherheitsbewertung und der Vorschrifteneinhaltung ermöglicht.

Unterstützung durch externes Unternehmen

Wie The Record berichtet, hat das NIST das Unternehmen Analygence ausgewählt, um bei der Aufarbeitung des Backlogs zu helfen. Die in Maryland ansässige Firma wurde 2010 von Militärveteranen gegründet und liefert seit Jahren Cybersecurity-Dienste für US-Bundesbehörden und das US-Militär. Der erste Vertrag mit dem Department of Homeland Security (DHS) kam 2017 zustande. Seitdem hat Analygence 31 Verträge mit US-Einrichtungen abgeschlossen.

Analygence hat kürzlich einen 5-Jahres-Vertrag mit einem Auftragsvolumen von 125 Millionen US-Dollar vom NIST erhalten. Das Unternehmen wird dabei helfen, den Rückstau bei den CVE-Einträgen aufzulösen. Es ist üblich, dass US-Bundesbehörden externe Vertragsarbeiter hinzuziehen, um die notwendige Personalausstattung zu erreichen.

Mit dieser Unterstützung hofft das NIST, den Rückstau in der NVD-Datenbank rasch abzubauen und wieder zu den gewohnten Verarbeitungsraten zurückzukehren. Ob dies gelingt, wird sich in den kommenden Monaten zeigen. Eines steht jedoch fest: Der Kampf gegen Schwachstellen in Software und IT-Systemen bleibt eine Daueraufgabe, die stetige Anstrengungen erfordert – und manchmal eben auch ein wenig externe Hilfe.

---

Also, liebe Leser, nächstes Mal, wenn ihr euch über die Geschwindigkeit bei der Schwachstellenbearbeitung ärgert, denkt daran: Selbst in den besten Datenbanken kann es mal zu einem Rückstau kommen. Und dann braucht es eben einen kleinen „Analyse“-Engel, um wieder Licht ins Dunkel zu bringen!