Die rasante Weiterentwicklung der IT-Landschaft bringt nicht nur Chancen, sondern auch erhebliche Herausforderungen im Bereich der Cybersicherheit mit sich. Kaum ein Tag vergeht, an dem nicht neue Schwachstellen in Software und Hardware entdeckt werden. Für Unternehmen und Sicherheitsverantwortliche ist es dabei essenziell, rechtzeitig zu erkennen, welche dieser Schwachstellen tatsächlich ausgenutzt werden – eine Einschätzung, die bisher mit großer Unsicherheit verbunden war. Vor diesem Hintergrund hat das US-amerikanische National Institute of Standards and Technology (NIST) eine neue Metrik eingeführt, die ein umfassenderes Bild zur Wahrscheinlichkeit gibt, ob eine Sicherheitslücke tatsächlich angegriffen wird. Diese Metrik trägt den Namen Likely Exploited Vulnerabilities (LEV) und soll als Hilfsmittel bei der Entscheidungsfindung im Bereich Vulnerability Management dienen.
LEV basiert auf dem bereits etablierten Exploit Prediction Scoring System (EPSS), welches seit 2018 eingesetzt wird, um Vorhersagen über die Ausnutzungswahrscheinlichkeit von Sicherheitslücken zu treffen. EPSS berechnet dabei eine Wahrscheinlichkeit, dass eine Schwachstelle innerhalb eines definierten Zeitrahmens, meist 30 Tage, exploitierbar ist. Das System nutzt verschiedene Datenpunkte, um eine Prognose zu erstellen, die für IT-Sicherheitsteams von großer Bedeutung bei der Ressourcenplanung ist. Die neu eingeführte LEV Metrik baut auf EPSS auf und erweitert dessen Funktionalität, indem sie eine differenziertere Betrachtung der Exploit-Historie ermöglicht. Anstatt sich ausschließlich auf zukünftige Exploit-Wahrscheinlichkeiten zu fokussieren, berücksichtigt LEV auch vergangene Beobachtungen der Ausnutzung.
So erhalten Sicherheitsmanager konkrete Informationen zu einzelnen CVEs – den eindeutigen Identifikatoren für öffentlich bekannte Sicherheitslücken –, inklusive deren Veröffentlichungsdatum, Beschreibungen und vor allem einer Wahrscheinlichkeit, die auf vergangenen Exploits basiert. LEV stellt zudem den höchsten Wert des EPSS-Scores innerhalb der analysierten Zeiträume dar sowie die entsprechenden Zeitpunkte dieser Spitzenwerte. Es liefert somit eine zeitliche Dimension, die zeigt, wann eine Schwachstelle besonders stark ausgenutzt wurde oder wird. Darüber hinaus werden EPSS-Scores über mehrere aufeinanderfolgende 30-Tage-Fenster angezeigt, was ein detailliertes Monitoring der Exploit-Dynamik ermöglicht. Ein weiteres wichtiges Merkmal von LEV ist die Angabe betroffener Produkte mittels Common Platform Enumeration (CPE), die dabei hilft, Schwachstellen den spezifischen Produkten und Versionen zuzuordnen.
Diese Informationen sind für IT-Leiter und Sicherheitsbeauftragte unerlässlich, um präzise Gegenmaßnahmen einzuleiten und ungeschützte Systeme schnell zu erkennen. Die Einführung der LEV Metrik erfolgt in einer Zeit, in der Cyberbedrohungen immer ausgeklügelter werden und Unternehmen sich vor ständig neuen Angriffswellen schützen müssen. Eine Herausforderung bei der Nutzung herkömmlicher Exploit-Listen, wie der sogenannten Known Exploited Vulnerabilities (KEV) Listen von Behörden wie der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) oder privaten Anbietern, ist deren Unvollständigkeit. Diese Listen beruhen oft auf bekannten, dokumentierten Angriffsvektoren und decken nur einen Teil der existierenden Sicherheitsprobleme ab. LEV bietet hier eine wertvolle Ergänzung, da die Metrik nicht nur auf bereits öffentlich gewordene Exploits angewiesen ist, sondern auch statistische Vorhersagen und historische Exploit-Daten kombiniert, um eine umfassendere Einschätzung zu ermöglichen.
Ein weiterer Vorteil liegt in der Integration von LEV mit bereits vorhandenen Systemen wie EPSS und KEV. Diese Kombination unterstützt Unternehmen dabei, eine fundierte Risikoanalyse durchzuführen und so die Priorisierung von Patch-Management und Schutzmaßnahmen effizienter zu gestalten. Dabei sollten allerdings die Grenzen der Metrik nicht außer Acht gelassen werden. NIST weist in seiner technischen Veröffentlichung darauf hin, dass die LEV-Berechnung mit einer unbekannten Fehlerquote behaftet ist. Dies resultiert vor allem daraus, dass EPSS selbst keine Berücksichtigung vergangener Exploit-Vorfälle in seine Vorhersage einbezieht.
Zudem wird die Wahrscheinlichkeit nicht erhöht, wenn eine Schwachstelle innerhalb von 30 Tagen bereits ausgenutzt wurde, was zu einer Unterschätzung der tatsächlichen Risiken führen kann. Trotzdem wird LEV als ein Schritt in die richtige Richtung gesehen, um das Schwachstellenmanagement zu verbessern und Angriffspotentiale frühzeitiger zu erkennen. Die Praxis hat gezeigt, dass viele Cybersicherheitsvorfälle durch mangelnde Priorisierung von bekannten Risiken entstehen. Mit einer besseren Datenlage können Sicherheitsteams schneller reagieren, kritische Schwachstellen adressieren und dadurch Angriffe verhindern. Die Veröffentlichung der LEV-Metrik im Mai 2025 durch NIST ist auch Ausdruck der Notwendigkeit, ständig neue Modelle und Methoden zur Bewertung von Sicherheitsrisiken zu entwickeln.
Dabei spielt die kontinuierliche Aktualisierung von Datensätzen und Algorithmen eine wichtige Rolle, denn Angriffsstrategien verändern sich dynamisch und erfordern flexible Tools an der Front der Cyberabwehr. Neben der Entwicklung technischer Metriken ist die Zusammenarbeit zwischen öffentlichen Institutionen, privaten Unternehmen und der Open-Source-Community von großer Bedeutung, um die Sicherheitslage umfassend abzubilden. LEV stellt eine solche Kooperation dar, indem es auf bestehenden Standards aufbaut und gleichzeitig neue Wege aufzeigt. Für Unternehmen empfiehlt es sich, die neuen Möglichkeiten von LEV frühzeitig in ihre Sicherheitsprozesse zu integrieren. Die Erkenntnisse können nicht nur helfen, das Budget für Cybersicherheitsmaßnahmen besser zu planen, sondern auch die gesetzlich vorgeschriebenen Compliance-Anforderungen zu erfüllen.
Dies ist insbesondere für Branchen wichtig, in denen der Schutz sensibler Daten höchste Priorität hat, etwa im Finanzsektor, Gesundheitswesen oder in der kritischen Infrastruktur. Für Sicherheitsverantwortliche bedeutet das: Es lohnt sich, das Zusammenspiel von EPSS, LEV und KEV-Liste konstruktiv zu nutzen und an die eigenen Anforderungen anzupassen. Der kontinuierliche Blick auf die Historie und die aktuellen Ausnutzungswahrscheinlichkeiten ermöglicht, schneller auf neue Bedrohungen zu reagieren und Sicherheitslücken gezielt zu schließen. Insgesamt zeigt die Einführung der Likely Exploited Vulnerabilities Metrik durch NIST einen wichtigen Fortschritt für die Informationssicherheit. Sie erweitert die Möglichkeiten der Bedrohungsanalyse und unterstützt Unternehmen dabei, Angriffsrisiken besser einzuschätzen und proaktiv gegenzusteuern.
Auch wenn weitere Verbesserungen notwendig sind und die Modelle noch verfeinert werden müssen, ist LEV ein vielversprechendes Werkzeug im Arsenal moderner Cyberabwehr. Mit zunehmender Verbreitung und Anwendung könnte diese Metrik zukünftig maßgeblich dazu beitragen, die Sicherheit von IT-Systemen weltweit zu erhöhen und die Auswirkungen von Cyberangriffen zu minimieren.
