CISA-Direktive, BOD

CISA-Direktive BOD 26-04: Drei-Tage-Frist für kritische Lücken

12.06.2026 - 20:37:05 | boerse-global.de

Die US-Cybersicherheitsbehörde CISA ersetzt starre Fristen durch ein risikobasiertes System und verschärft die Anforderungen für kritische Schwachstellen.

CISA-Direktive BOD 26-04: Neue Risikobewertung für US-Behörden
CISA-Direktive - A glowing blue and green digital shield icon, symbolizing cybersecurity, with data streams flowing around it in a dark, high-tech setting. 12.06.2026 - Bild: über boerse-global.de

Die US-Cybersicherheitsbehörde CISA zwingt Bundesbehörden zu einem radikalen Umdenken bei der Verwaltung von Sicherheitslücken. Statt nach starren Bewertungsskalen müssen künftig die tatsächlichen Risiken im Fokus stehen.

Neue Direktive ersetzt alte Vorschriften

Am 10. Juni 2026 erließ die Cybersecurity and Infrastructure Security Agency (CISA) die verbindliche Betriebsdirektive BOD 26-04. Sie löst die bisherigen Regelungen aus den Jahren 2019 und 2022 ab. Der Kern der Reform: Ein abgestuftes System mit unterschiedlichen Fristen ersetzt die bisherigen einheitlichen Zeitvorgaben.

Anzeige: Die neue CISA-Direktive BOD 26-04 zwingt zu radikalem Umdenken: Statt starrer Fristen zählen jetzt tatsächliche Risiken. Besonders kritische Lücken müssen innerhalb von drei Tagen geschlossen werden – inklusive forensischer Untersuchung. Wer die Frist verpasst, riskiert empfindliche Sanktionen. Unser kostenloser Report liefert die Checkliste für die Umstellung, eine Priorisierungsmatrix für KEV-Schwachstellen und konkrete Sofortmaßnahmen bei aktiven Angriffen. Jetzt kostenlosen Compliance-Report anfordern

Vier Faktoren bestimmen künftig die Dringlichkeit: die Erreichbarkeit aus dem öffentlichen Internet, die Aufnahme in den KEV-Katalog (Known Exploited Vulnerabilities), die Möglichkeit automatischer Angriffe sowie der potenzielle Schaden für das betroffene System.

Für besonders kritische Lücken – öffentlich erreichbar, aktiv ausgenutzt und mit vollständiger Systemkontrolle durch automatisierte Angriffe – gilt künftig eine Drei-Tage-Frist. Hinzu kommt eine forensische Untersuchung, um bereits erfolgte Kompromittierungen auszuschließen.

Weniger riskante Schwachstellen erhalten Fristen von 14 oder 60 Tagen. Manche Lücken dürfen sogar bis zum nächsten großen System-Update warten.

Drei neue Schwachstellen im KEV-Katalog

Am heutigen Freitag erweiterte die CISA ihren Katalog um drei Schwachstellen, die bereits aktiv angegriffen werden:

  • CVE-2026-20245: Ein Root-Kommando-Problem im Cisco Catalyst SD-WAN Manager
  • CVE-2026-11645: Eine Code-Ausführungslücke in der Google Chrome V8-Engine
  • CVE-2026-7473: Ein Fehler in der Arista EOS-Datenverarbeitung

Während Cisco und Google bereits Patches bereitgestellt haben, gibt es für die Arista-Lücke noch keinen Fix. Die CISA empfiehlt bis dahin konfigurationsbasierte Gegenmaßnahmen. Bundesbehörden müssen diese drei Bedrohungen bis zum 23. Juni 2026 beseitigen.

Bereits am 12. Juni nahm die Behörde zudem CVE-2026-10520 in den Katalog auf – eine kritische Befehlseinschleusung in Ivanti Sentry. Sicherheitsforscher berichten von aktiven Angriffen und der Installation von Hintertüren. Hier gilt eine noch kürzere Frist: Die Behörden müssen bis zum 14. Juni 2026 patchen.

KI beschleunigt die Bedrohungslage

Die CISA-Führung begründet die Verschärfung mit einer sich rasant verändernden Bedrohungslage. Chris Butera, stellvertretender Exekutivdirektor für Cybersicherheit, verwies auf den Einfluss moderner KI-Modelle. Diese verkürzen das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer Ausnutzung durch Angreifer drastisch.

Der amtierende CISA-Direktor Nick Andersen spricht von einer „rücksichtslosen Priorisierung". Das Modell sei darauf ausgelegt, die begrenzten Ressourcen der Behörden auf die unmittelbarsten Bedrohungen zu konzentrieren.

Die Dringlichkeit unterstreichen aktuelle Marktdaten: 2025 wurden branchenweit nur 26 Prozent der im KEV-Katalog gelisteten Schwachstellen vollständig behoben.

Übergangsfristen für die Umstellung

Die Bundesbehörden haben 60 Tage Zeit, ihre internen Sicherheitsprozesse an die neue Direktive anzupassen. Die vollständige Umsetzung – einschließlich automatisierter Berichterstattung und einer kompletten Bestandsaufnahme aller extern erreichbaren Systeme – muss innerhalb von 180 Tagen abgeschlossen sein.

Anzeige: KI-Modelle verkürzen das Zeitfenster zwischen Schwachstellen-Veröffentlichung und Ausnutzung drastisch. Die CISA reagiert mit einer „rücksichtslosen Priorisierung“ – doch nur 26% der KEV-Lücken werden derzeit behoben. Unser Report zeigt, wie Sie mit einer risikobasierten Priorisierung Ihre begrenzten Ressourcen auf die unmittelbarsten Bedrohungen konzentrieren – bevor Angreifer die KI-getriebene Lücke nutzen. KI-gestützte Priorisierungsstrategie jetzt sichern

Aktuelle Angriffswelle auf Unternehmenssysteme

Die neuen KEV-Einträge fallen in eine Phase erhöhter Angriffsaktivität. Sicherheitsdienste beobachten derzeit nicht authentifizierte Remote-Angriffe auf Oracle PeopleSoft (CVE-2026-35273), die mutmaßlich von der Gruppe ShinyHunters durchgeführt werden. Auch bei Fortinet und Veeam wurden kürzlich schwerwiegende Lücken geschlossen.

Parallel dazu veröffentlichte Google am 12. Juni 2026 ein großes Update für Chrome. Es schließt 28 Sicherheitslücken, darunter mehrere kritische Use-After-Free-Fehler und einen Heap-Buffer-Overflow in der GPU-Komponente.

de | wissenschaft | 69529754 |