CISA BOD 26-04: Risikobasierte Patch-Priorisierung

Die US-Cybersicherheitsbehörde CISA krempelt ihr Schwachstellen-Management um. Mit der neuen Direktive BOD 26-04 vom 11. Juni müssen US-Bundesbehörden ihre Patches künftig nach echtem Risiko priorisieren — statt stur nach Kalenderfristen abzuarbeiten. Das klingt nach Behörden-Bürokratie, betrifft aber indirekt jeden Admin, der die berühmte KEV-Liste als Kompass nutzt.

SCHLUSS mit dem Frist-Marathon

Bisher galt ein einfaches Prinzip: Landet eine Lücke im Known-Exploited-Vulnerabilities-Katalog (KEV), läuft eine feste Frist — meist drei Wochen. Das Problem: Der Katalog ist explodiert. Allein 2025 kamen 1.484 neue Einträge dazu, die beobachtete aktive Ausnutzung stieg um rund 20 Prozent. Behörden-Teams ertranken in gleichrangigen Pflicht-Patches, obwohl längst nicht jede ausgenutzte Lücke das gleiche Schadenspotenzial hat.

BOD 26-04 ersetzt die alten Auflagen durch ein Framework, das die gefährlichsten Lücken zuerst auf den Tisch bringt: Wie kritisch ist das betroffene System? Wie breit wird die Lücke ausgenutzt? Wie groß wäre der Schaden? Danach richtet sich künftig die Reihenfolge — und die Geschwindigkeit.

WICHTIG für dich: Die KEV-Liste bleibt Gold wert

Auch wenn die Direktive nur US-Behörden bindet: Die KEV-Liste ist längst der weltweite De-facto-Standard für die Frage „Was patche ich zuerst?“. Wer im Homelab oder Firmennetz nach CVSS-Score allein priorisiert, verschwendet Energie — die KEV-Liste zeigt, was Angreifer wirklich aktiv ausnutzen. Genau diese Logik adelt die CISA jetzt zur offiziellen Strategie. Neu ist außerdem ein öffentliches Meldeportal, über das Forscher Kandidaten für den Katalog einreichen können.

FRISCH auf der Liste: Cisco und Arista

Passend dazu hat die CISA diese Woche drei Lücken in den Katalog aufgenommen, die bereits angegriffen werden: CVE-2026-20245 im Cisco Catalyst SD-WAN Manager, CVE-2026-7473 im Netzwerk-Betriebssystem Arista EOS und die bereits gemeldete Chrome-V8-Lücke CVE-2026-11645. US-Behörden müssen alle drei bis zum 23. Juni fixen — eine Deadline, die du dir auch privat ruhig in den Kalender schreiben kannst, wenn entsprechende Systeme bei dir laufen.

FAZIT: Weniger Checkliste, mehr Verstand

Der Schritt ist überfällig. Schwachstellen-Management nach Gießkanne funktioniert bei über tausend neuen KEV-Einträgen pro Jahr schlicht nicht mehr. Risiko-basierte Priorisierung ist das, was gute Security-Teams ohnehin längst machen — jetzt zieht die größte Cyberbehörde der Welt offiziell nach.

Häufige Fragen

Was ist BOD 26-04 genau?

Eine verbindliche Direktive der US-Cyberbehörde CISA vom 11. Juni 2026. Sie verpflichtet US-Bundesbehörden, Sicherheitslücken nach Risiko zu priorisieren — also nach Kritikalität des Systems, Ausnutzungsgrad und Schadenspotenzial statt nach starren Einheitsfristen.

Gilt die Direktive auch für deutsche Unternehmen?

Nein, rechtlich bindet sie nur US-Bundesbehörden. Die KEV-Liste, auf der das System aufbaut, ist aber frei zugänglich und weltweit der beste Indikator dafür, welche Lücken tatsächlich angegriffen werden — und damit auch für deutsche Admins ein Pflicht-Werkzeug.

Welche Lücken kamen neu in den KEV-Katalog?

CVE-2026-20245 im Cisco Catalyst SD-WAN Manager, CVE-2026-7473 in Arista EOS und CVE-2026-11645 in Chromes V8-Engine. Alle drei werden aktiv ausgenutzt; US-Behörden müssen sie bis zum 23. Juni 2026 beheben.

Wie nutze ich die KEV-Liste im eigenen Patch-Management?

Gleiche regelmäßig deine eingesetzte Software mit dem Katalog ab — etwa per RSS-Feed oder JSON-Export der CISA. Alles, was dort auftaucht und bei dir läuft, gehört an die Spitze der Patch-Liste, unabhängig vom CVSS-Score.

Quellen:

PATCH-REVOLUTION! US-Cyberbehörde wirft starre Fristen über Bord — jetzt zählt nur noch echtes Risiko