CISA-Richtlinie BOD 26-04: Patches binnen 72 Stunden ab sofort
12.06.2026 - 13:27:30 | boerse-global.de
Die neue Richtlinie BOD 26-04, veröffentlicht am 11. Juni 2026, ersetzt die bisherigen Vorgaben BOD 19-02 und BOD 22-01. Statt sich auf reine Schweregrade von Sicherheitslücken zu verlassen, führt CISA ein 16-stufiges Risikomatrix-System ein. Vier Faktoren bestimmen künftig die Dringlichkeit: Ist das System öffentlich erreichbar? Ist die Lücke im KEV-Katalog (Known Exploited Vulnerabilities) gelistet? Lässt sich der Angriff automatisieren? Und wie weitreichend ist die Kontrolle für Angreifer?
Neue KI-Gesetze und rasant wachsende Cyberrisiken stellen Unternehmen vor immer komplexere Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis Cyber Security Report herunterladen
Die neue Härteklasse
Die kritischste Kategorie – öffentlich zugängliche, automatisierbare KEV-Lücken mit vollständiger Systemkontrolle – muss innerhalb von drei Tagen geschlossen werden. Für weniger riskante Schwachstellen gelten Fristen von 14 oder 60 Tagen. Die geringsten Risiken dürfen bis zum nächsten geplanten System-Update warten.
Besonders brisant: Bei den gefährlichsten Lücken müssen Behörden vor dem Patchen eine forensische Untersuchung durchführen. Der Hintergrund: Ein Update allein entfernt keinen Angreifer, der sich bereits im System eingenistet hat.
CISA begründet die Verschärfung mit KI-beschleunigten Bedrohungen und sinkenden Behebungsraten. 2025 lag die Quote für geschlossene KEV-Lücken bei mageren 26 Prozent. Die Richtlinie ist zwar nur für Bundesbehörden verpflichtend, doch CISA empfiehlt der Privatwirtschaft dringend, das Modell zu übernehmen.
Akute Gefahr: Ivanti und Check Point
Parallel zur neuen Richtlinie schlägt CISA Alarm wegen mehrerer aktiv ausgenutzter Lücken. Bereits bis zum 14. Juni müssen Bundesbehörden eine kritische Schwachstelle in Ivanti Sentry (CVE-2026-10520) schließen. Der Fehler mit der maximalen CVSS-Bewertung von 10,0 ermöglicht die Einschleusung von Betriebssystem-Befehlen. Mindestens 19 betroffene Systeme wurden identifiziert, einige zeigen bereits Spuren von Hintertüren.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch Sicherheitslücken – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur IT-Sicherheit sichern
Schon am 11. Juni lief eine Frist für eine Lücke in Check Point Security Gateway (CVE-2026-50751) ab. Diese Schwachstelle im IKEv1-Protokoll wird in Ransomware-Kampagnen genutzt, um sich unbefugten VPN-Zugang zu verschaffen. Ebenfalls neu im KEV-Katalog: eine Schwachstelle in Wing FTP (CVE-2025-47813), bei der lange Cookies Fehlermeldungen mit sensiblen Server-Pfaden auslösen.
Zeitplan für die Umstellung
Bundesbehörden haben 60 Tage Zeit, ihre internen Richtlinien an BOD 26-04 anzupassen. Die vollständige Umsetzung der neuen Risikoberichterstattung muss innerhalb von 180 Tagen erfolgen. CISA will Datenanforderungen für automatisierte Meldungen über das CDM-Dashboard (Continuous Diagnostics and Mitigation) veröffentlichen und plant Bürgerversammlungen mit IT-Verantwortlichen.
Sicherheitsexperten begrüßen den Schritt hin zu „intelligentem" Patchen grundsätzlich. Allerdings gibt es Bedenken: Die neuen Anforderungen könnten Behörden mit knappen Budgets und Personalengpässen überfordern. CISA verspricht, die Risikomatrix jährlich zu überprüfen und an neue Bedrohungslagen anzupassen.
