Abstract

Der CIO Score ist ein zusammengesetzter Lageindikator (Composite Indicator), der öffentlich verfügbare Messdaten zur externen Steuerungsbelastung von IT-Führung auf einer Skala von 0 bis 100 verdichtet. Die Konstruktion folgt dem OECD/JRC-Vorgehen für Composite Indicators: dokumentierte Einzelindikatoren, Transformation auf eine gemeinsame Skala, deklarierte Gewichte, additive Aggregation. Ergänzend werden – der Kritik der Composite-Index-Literatur folgend – die effektiven Gewichte aller Basiskomponenten im Gesamtindikator offengelegt, da einzelne Komponenten in mehreren Ressorts verwendet werden.

Der Score misst ausdrücklich keine interne IT-Reife, keine Performance und keinen Branchenvergleich einzelner Unternehmen. Er beschreibt die externe Lage, die CIO-Entscheidungen beeinflusst: aktiv ausgenutzte Schwachstellen und deren Ransomware-Anteil, kritische CVE-Volumina, Exploit-Wahrscheinlichkeiten, Open-Source-Advisories, Wechselkurseffekte, Arbeitsmarktumfeld und regulatorische Fristen. Alle Normalisierungsschwellen sind redaktionell deklarierte Lagebild-Regeln, keine empirisch geschätzten Parameter; diese Einordnung ist Teil der Methodik, nicht ihre Schwäche.

1. Fragestellung und Konstrukt

IT-Führung benötigt Lagebilder, die zwischen Nachrichtenlage und internen Steuerungsdaten vermitteln. Der CIO Score beantwortet deshalb eine bewusst begrenzte Frage: Wie stark ist die externe Steuerungsbelastung für CIOs zum Erhebungsstichtag, und welche Ressorts tragen am meisten dazu bei? 100 Punkte stehen für geringe externe Belastung beziehungsweise hohen Handlungsspielraum, 0 Punkte für maximale Belastung innerhalb der deklarierten Bänder.

CIO Score = mean(Ressort Score1 ... Ressort Score8)

Die Gleichgewichtung der Ressorts ist eine normative, konservative Setzung: Ohne unternehmensspezifische Risikopräferenz wäre jede differenzierte Gewichtung scheinpräzise (vgl. Greco et al. 2019 zur Gewichtungsproblematik zusammengesetzter Indizes). Die Gleichgewichtung gilt auf Ressortebene; auf Komponentenebene ergeben sich daraus ungleiche effektive Gewichte, die in Abschnitt 3.3 vollständig ausgewiesen werden.

Abgrenzung des Konstrukts: Der Score ist ein Umfeld-Indikator. Er wird wöchentlich neu berechnet und ist primär im Zeitvergleich interpretierbar (dafür wird jeder Lauf als Zeitreihe persistiert). Querschnittsvergleiche zwischen Unternehmen sind mit diesem Instrument nicht möglich und nicht beabsichtigt.

2. Datenbasis

Die Datengrundlage besteht ausschließlich aus öffentlichen, maschinenlesbaren und dokumentierten Quellen mit mindestens monatlicher Aktualisierung. Alle Rohwerte werden im Methodikbereich veröffentlicht und bleiben als Messwerte separat sichtbar. Bekannte Qualitätsgrenzen der Quellen werden ausgewiesen und fließen in die Limitationen (Abschnitt 6) ein.

Messwert Quelle Rolle im Modell
Aktive Exploitlast CISA Known Exploited Vulnerabilities Catalog Neue CISA-KEV-Einträge seit 26.05.2026; letzter Katalogeintrag vom 25.06.2026. KEV listet ausschließlich Schwachstellen mit belegter aktiver Ausnutzung.
KEV-Ransomware-Anteil CISA Known Exploited Vulnerabilities Catalog Anteil der neuen KEV-Einträge der letzten 30 Tage, die laut CISA in bekannten Ransomware-Kampagnen verwendet werden (Feld knownRansomwareCampaignUse).
Kritische CVEs NVD CVE API 2.0 Neu veröffentlichte NVD-CVEs mit CVSS-v3-Schweregrad CRITICAL (9.0-10.0) im 30-Tage-Fenster.
EPSS-Hochrisiko FIRST EPSS API CVE mit mehr als 70 % Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen laut EPSS am 25.06.2026.
OSS-Patchdruck GitHub Global Security Advisories API GitHub-reviewed Security Advisories mit Schweregrad critical, veröffentlicht in den letzten 30 Tagen.
Cloud-USD-Faktor EZB Euro Foreign Exchange Reference Rates Veränderung der durchschnittlichen USD-Kosten in Euro: aktuelles 30-Beobachtungen-Fenster gegenüber dem vorhergehenden Fenster (EZB-Referenzkurse).
Arbeitsstellenmarkt Eckwerte gemeldete Arbeitsstellen Gemeldete Arbeitsstellen in Deutschland im Berichtsmonat Mai 2026; gesamtwirtschaftlicher Frühindikator, nicht IT-spezifisch.
AI-Act-Fenster Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113 Kalendertage bis zum nächsten Anwendungsmeilenstein der Verordnung (EU) 2024/1689: Allgemeine Anwendbarkeit der Verordnung (Art. 113). Meilensteinplan redaktionell gepflegt, Rechtsstand 11.06.2026.

Eine Quelle wird nicht automatisch abgerufen: Der AI-Act-Meilensteinplan wird redaktionell aus dem Rechtstext der Verordnung (EU) 2024/1689 (Art. 113) gepflegt (Rechtsstand 2026-06-11) und ist im Quellenregister entsprechend als „redaktionell gepflegt" gekennzeichnet.

Anwendungsmeilenstein Datum Status
Verbote unannehmbarer Praktiken und KI-Kompetenz (Kapitel I und II) 2025-02-02 geltendes Recht
GPAI-Pflichten, Governance-Struktur, Sanktionen 2025-08-02 geltendes Recht
Allgemeine Anwendbarkeit der Verordnung (Art. 113) 2026-08-02 geltendes Recht
Hochrisiko-Pflichten Anhang III (vorläufige Omnibus-Einigung vom 07.05.2026; formale Annahme stand 06/2026 aus) 2027-12-02 vorläufig (Omnibus-Einigung, formale Annahme ausstehend)
Hochrisiko-Pflichten Anhang I / produktregulierte Systeme (vorläufige Omnibus-Einigung; formale Annahme aus) 2028-08-02 vorläufig (Omnibus-Einigung, formale Annahme ausstehend)

3. Methode

Die Berechnung folgt fünf Schritten: Datenerhebung, Indikatorbildung, Normalisierung, Ressortaggregation und Gesamtaggregation. Jeder Schritt ist im Quellcode des Update-Skripts nachlesbar und wird hier vollständig dokumentiert.

3.1 Normalisierung

Alle Trendkomponenten werden symmetrisch normalisiert: Keine Veränderung gegenüber der Vorperiode ergibt 50 Punkte; innerhalb eines deklarierten Bandes wird linear bis 0 beziehungsweise 100 skaliert. Damit ist der Indikator frei von Richtungs-Bias – eine unveränderte Lage wird weder beschönigt noch dramatisiert. Niveaukomponenten (AI-Act-Runway) verwenden deklarierte absolute Anker. Die Bandbreiten sind redaktionelle Lagebild-Regeln und als solche gekennzeichnet; sie wurden an der beobachteten Variabilität der jeweiligen Quelle kalibriert (z. B. ±20 % je 30 Tage für volatile Zählgrößen, ±5 % je 7 Tage für die trägen EPSS-Bestände, ±5 % je Periode für Wechselkurse).

Komponente Benchmark / Band Transformation
AI-Act-Runway Regulatorik-Normalisierung: 365+ Tage Vorlauf bis zum nächsten Anwendungsmeilenstein = 100; Fälligkeitstag = 0; linear dazwischen. Begründung: Implementierungsprogramme benötigen erfahrungsgemäß mindestens ein Jahr Vorlauf. Je weniger Kalendertage bis zum nächsten gepflegten AI-Act-Meilenstein bleiben, desto niedriger der Score. Zwischen Rechtsänderungen ist die Komponente ein deterministischer Countdown.
USD-Kostendruck FinOps-Normalisierung: 30-Tage-Mittel der USD-Kosten in EUR gegenüber der Vorperiode; ±5 %-Band, keine Veränderung = 50. USD-Verteuerung senkt den Score unter 50, USD-Vergünstigung hebt ihn symmetrisch darüber.
OSS-Advisory-Trend GitHub-Benchmark: reviewed Global Security Advisories mit severity=critical; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50. Mehr kritische Open-Source-Advisories gegenüber der Vorperiode senken den Score unter 50, weniger heben ihn darüber.
KEV-Trend Symmetrische Trendnormalisierung: keine Veränderung = 50 Punkte; -20 % oder besser = 100; +20 % oder schlechter = 0. Je stärker die Zahl aktiv ausgenutzter Schwachstellen gegenüber der Vorperiode steigt, desto niedriger der Score; Rückgänge erhöhen ihn spiegelbildlich.
EPSS-Hochrisiko-Trend EPSS-Benchmark: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen; >70 % ist ein deklarierter redaktioneller Hochrisiko-Schnitt. Symmetrisches ±5 %-Band je 7 Tage. Score = 50 - (7-Tage-Veränderung / 5 %) x 50, begrenzt auf 0-100. Sprünge über 25 % gelten als Modellwechsel und werden ausgeschlossen.
CVSS-Critical-Trend NVD/CVSS-Benchmark: Critical entspricht CVSS v3.x 9.0-10.0; symmetrische Trendnormalisierung mit ±20 %-Band, keine Veränderung = 50. Sinkt die Zahl neuer Critical-CVEs, steigt der Score über 50; steigt sie, fällt er unter 50.
KEV-Ransomware-Anteil Selbstkalibrierende Normalisierung gegen den Gesamtkatalog: Anteil = Langfrist-Basis ergibt 50 Punkte; 0 % = 100; doppelte Basis oder mehr = 0. Score = 100 - 50 x (aktueller Ransomware-Anteil / langfristiger Kataloganteil), begrenzt auf 0-100. Unter 5 neuen Einträgen wird kein Score gebildet.
Arbeitsmarkt-Entlastung Arbeitsmarkt-Normalisierung: -10 % gemeldete Stellen ggü. Vorjahr = 100; +10 % = 0; 0 % = 50 (symmetrisch). Ein sinkender Gesamtstellenmarkt wird als Entlastung für Recruitingdruck gewertet; der KPI ist nicht IT-spezifisch und als Kontextsignal deklariert.
Security-Führungsdruck Gleichgewichteter Mittelwert der verfügbaren normalisierten Security-Trendkomponenten. Verdichtet externe Security-Last als Führungskapazitätsfaktor; fehlende Teilkomponenten werden ausgeschlossen.

Zwei Robustheits-Regeln ergänzen die Normalisierung: Der EPSS-Trend wird verworfen, wenn die 7-Tage-Veränderung 25 % übersteigt (mutmaßlicher Modellwechsel, der alle Scores gleichzeitig verschiebt), und der KEV-Ransomware-Anteil wird nur bei mindestens fünf neuen Katalogeinträgen im Fenster gebildet.

3.2 Ressortaggregation

Jedes Ressort erhält einen verständlichen Easy-KPI als gewichteten Mittelwert seiner Komponenten. Die Gewichte sind fachlich begründet, vollständig offengelegt und summieren sich je Ressort auf 100 %. Fehlt eine Komponente (Quellausfall, Robustheits-Regel), wird sie ausgeschlossen und die verbleibenden Gewichte werden renormalisiert – fehlende Daten gehen niemals als „neutral" in den Score ein.

Ressort Easy-KPI Formel
KI-Strategie KI-Readiness (40/100) KI-Readiness = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % USD-Kostendruck, 25 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Cybersecurity Cyber-Resilienz (42/100) Cyber-Resilienz = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Trend, 30 % EPSS-Hochrisiko-Trend, 20 % CVSS-Critical-Trend, 20 % KEV-Ransomware-Anteil); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Cloud & FinOps Cloud-Stabilität (60/100) Cloud-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (65 % USD-Kostendruck, 35 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
IT-Governance Governance-Wirksamkeit (41/100) Governance-Wirksamkeit = gewichteter Mittelwert der normalisierten Komponenten (30 % KEV-Ransomware-Anteil, 30 % KEV-Trend, 20 % AI-Act-Runway, 20 % OSS-Advisory-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Daten & Analytics Daten-Governance-Readiness (53/100) Daten-Governance-Readiness = gewichteter Mittelwert der normalisierten Komponenten (40 % OSS-Advisory-Trend, 35 % AI-Act-Runway, 25 % USD-Kostendruck); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
Compliance Regulatorik-Runway (21/100) Regulatorik-Runway = gewichteter Mittelwert der normalisierten Komponenten (50 % AI-Act-Runway, 25 % KEV-Ransomware-Anteil, 25 % KEV-Trend); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
IT-Leadership Führungskapazität (40/100) Führungskapazität = gewichteter Mittelwert der normalisierten Komponenten (55 % Arbeitsmarkt-Entlastung, 35 % Security-Führungsdruck, 10 % AI-Act-Runway); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.
IT-Beschaffung Beschaffungs-Stabilität (58/100) Beschaffungs-Stabilität = gewichteter Mittelwert der normalisierten Komponenten (45 % USD-Kostendruck, 30 % OSS-Advisory-Trend, 25 % Arbeitsmarkt-Entlastung); fehlende Komponenten werden mit renormalisierten Gewichten ausgeschlossen.

3.3 Gesamtaggregation und effektive Gewichte

Der CIO Score ist der gleichgewichtete Mittelwert der acht Ressort-KPIs. Da einzelne Basiskomponenten in mehreren Ressorts verwendet werden, sind ihre effektiven Gewichte im Gesamtindikator ungleich. Diese Mehrfachverwendung ist bei nur acht unabhängigen Basisindikatoren unvermeidlich; methodisch korrekt ist nicht ihre Verschleierung, sondern ihre Offenlegung. Die Gewichtsmatrix ist so balanciert, dass keine Einzelkomponente mehr als rund ein Fünftel des Gesamtindikators bestimmt:

Basiskomponente Effektives Gewicht im CIO Score
AI-Act-Runway 20,6 %
USD-Kostendruck 20,0 %
OSS-Advisory-Trend 18,8 %
KEV-Trend 12,1 %
Arbeitsmarkt-Entlastung 10,0 %
KEV-Ransomware-Anteil 9,4 %
EPSS-Hochrisiko-Trend 5,2 %
CVSS-Critical-Trend 4,0 %

3.4 Fehlende Daten und Validierung

Der wöchentliche Lauf schreibt nur dann neue Daten, wenn das Ergebnis valide ist: Bei drei oder mehr ausgefallenen Quellen – oder beim Ausfall aller Security-Kernquellen (CISA, NVD, EPSS) – bricht der Lauf ohne Schreiben ab und der letzte valide Stand bleibt erhalten; ein erneuter Versuch erfolgt automatisch nach sechs Stunden. Teilausfälle werden als Datenqualitätsvermerk im Datensatz ausgewiesen.

Datenqualität dieses Laufs: Alle Quellen abgerufen, alle Komponenten berechnet.

4. Ergebnisse

Zum Stichtag 2026-06-25 liegt der CIO Score bei 44/100. Die Einordnung lautet angespannt. Gegenüber dem letzten Lauf (2026-06-18: 43/100) beträgt die Veränderung +1 Punkte. Berechnet wurde dieser Score am 25.06.2026, 21:51 MESZ.

Ressort Score Interpretation
KI-Strategie 40/100 Ein niedriger Wert bedeutet: KI-Initiativen brauchen mehr Governance-Fokus, bevor neue Use Cases skaliert werden.
Cybersecurity 42/100 Ein niedriger Wert spricht für erhöhte Triage-Last und stärkeren Fokus auf aktiv ausgenutzte Schwachstellen.
Cloud & FinOps 60/100 Ein niedriger Wert bedeutet, dass Kosten- oder Lieferkettenvolatilität stärker in Architekturentscheidungen einfließen sollte.
IT-Governance 41/100 Ein niedriger Wert zeigt, dass Entscheidungsrechte, Eskalationen oder Asset-Transparenz überprüft werden sollten.
Daten & Analytics 53/100 Ein niedriger Wert bedeutet, dass Datenkataloge, Verantwortlichkeiten und Nachweise zeitnah belastbar werden müssen.
Compliance 21/100 Ein niedriger Wert erhöht das Risiko später Nachdokumentation und unklarer Kontrolleigner.
IT-Leadership 40/100 Ein niedriger Wert spricht für hohe Führungsbelastung und die Notwendigkeit, Prioritäten explizit zu schneiden.
IT-Beschaffung 58/100 Ein niedriger Wert bedeutet, dass Währungs-, OSS- und Lieferantenrisiken stärker in TCO-Entscheidungen gehören.
Der Score ist ein Lageindikator für das externe Umfeld, kein Reifegradzertifikat und kein Unternehmensvergleich. CIO-Wissen Methodenhinweis

5. Limitationen

Die folgenden Grenzen sind Teil der Methodik und sollten bei jeder Interpretation mitgelesen werden:

  • Umfeld, nicht Umsetzung: Der Score misst externe Signale, nicht interne Umsetzungsqualität. Ein Unternehmen mit starker Asset-Inventur und schnellen Patch-Prozessen kann trotz angespannter externer Lage gut positioniert sein – und umgekehrt.
  • Publikationsartefakte: KEV-, NVD- und GHSA-Zählungen messen Publikationsaktivität. Batch-Veröffentlichungen, Analysekapazität der Herausgeber und NVD-Anreicherungsrückstände können Fenster verzerren und Werte rückwirkend verändern.
  • CVSS-Filter: Die Critical-CVE-Zählung erfasst nur CVEs mit vorhandener CVSS-v3-Bewertung; ausschließlich nach CVSS v4 bewertete CVEs werden nicht gezählt.
  • EPSS-Modellabhängigkeit: EPSS-Scores entstammen einem ML-Modell; Modellwechsel verschieben alle Werte gleichzeitig. Der Guard (Abschnitt 3.1) reduziert dieses Risiko, eliminiert es aber nicht.
  • Deterministische Komponente: Der AI-Act-Runway ist zwischen Rechtsänderungen ein Kalender-Countdown. Er bildet realen Fristendruck ab, reagiert aber nicht auf die Ereignislage; sein effektives Gewicht ist deshalb auf rund ein Fünftel begrenzt.
  • Korrelation und Mehrfachverwendung: Mit acht Basisindikatoren für acht Ressorts sind die Ressort-KPIs nicht statistisch unabhängig. Die effektiven Gewichte (3.3) machen die Abhängigkeitsstruktur transparent.
  • Deklarierte statt geschätzte Schwellen: Alle Bänder sind redaktionelle Setzungen. Eine formale Sensitivitätsanalyse im Sinne des OECD/JRC-Handbuchs (Variation von Bändern und Gewichten) steht aus und ist als Weiterentwicklung vorgesehen.
  • Arbeitsmarktsignal nicht IT-spezifisch: Der Stellenmarkt-Indikator misst die Gesamtwirtschaft und ist ausdrücklich als Kontextsignal deklariert.
  • Kurze Zeitreihe: Die persistierte Historie beginnt mit Methodik-Version 2.0; Aussagen über langfristige Niveaus sind erst mit wachsender Reihe belastbar. Scores aus Version 1.x sind wegen der Normalisierungsänderungen nicht direkt vergleichbar.

6. Reproduzierbarkeit und Versionierung

Die Berechnung ist vollständig reproduzierbar: Alle Quellen, Normalisierungen, Bänder, Gewichte und Rohdaten werden veröffentlicht. Die Aktualisierung erfolgt wöchentlich automatisch über das Skript npm run update:kpis; jeder Lauf schreibt zusätzlich einen Zeitreiheneintrag (Score, Ressort- und Komponentenwerte) fort.

Dieses Papier dokumentiert Methodik-Version 2.0.0 (Stand 2026-06-11). Wesentliche Änderungen gegenüber Version 1.x:

  • KEV-Fristdisziplin entfernt: Der Anteil "überfälliger" Katalogeinträge war eine deterministische Funktion des Eintragsalters (Kalenderartefakt), keine Disziplin-Messung. Ersetzt durch den Ransomware-Anteil neuer KEV-Einträge (Feld knownRansomwareCampaignUse), kalibriert gegen den langfristigen Kataloganteil.
  • Trendnormalisierung symmetrisch gemacht: vorher ergab "keine Veränderung" 70 Punkte (Optimismus-Bias), jetzt 50.
  • Cloud-USD-Faktor: vorher Tageswert vs. 30-Tage-Schnitt mit 0-10%-Band (faktisch immer nahe 100), jetzt 30-Tage-Schnitt vs. Vor-Periode mit symmetrischem ±5%-Band.
  • EPSS-Trend: Band auf ±5 % je 7 Tage kalibriert und Modellwechsel-Guard ergänzt (Sprünge > 25 % werden als mutmaßlicher EPSS-Modellwechsel ausgeschlossen).
  • AI-Act-Fenster: hartkodierte Einzelfrist ersetzt durch redaktionell gepflegten Meilensteinplan aus Verordnung (EU) 2024/1689 Art. 113 inkl. vorläufiger Omnibus-Einigung vom 07.05.2026; der Indikator bricht nach dem 02.08.2026 nicht mehr ab.
  • Ressort-Gewichte rebalanciert und effektive Gewichte offengelegt: vorher entfielen ~29 % des Gesamtscores auf den AI-Act-Countdown und ~21 % auf den USD-Kurs; jetzt liegt keine Komponente über ~21 %.
  • Ausfallverhalten korrigiert: vorher ergab ein CISA-Ausfall 100/100 Fristdisziplin und neutrale 50er-Scores; jetzt Ausschluss mit Renormalisierung und Schreibschutz bei zu vielen Ausfällen.
  • Zeitreihe ergänzt (kpi-history.json) inkl. Score-Delta zur Vorwoche.

7. Quellen und methodische Referenzen

  1. OECD / EC-JRC (2008): Handbook on Constructing Composite Indicators - Methodology and User Guide. Verwendung im Modell: Rahmen für Normalisierung auf eine gemeinsame Skala, transparente Gewichtung und additive Aggregation.
  2. Greco, Ishizaka, Tasiou, Torrisi (2019): On the Methodological Framework of Composite Indices. Social Indicators Research 141, 61-94. Verwendung im Modell: Begründet die Offenlegung effektiver Gewichte und die Einordnung der Gleichgewichtung als normative, nicht empirische Setzung.
  3. CISA Binding Operational Directive 22-01 / KEV Catalog. Verwendung im Modell: KEV-Einträge belegen aktive Ausnutzung. Die Due Dates binden US-Bundesbehörden (FCEB) und dienen hier nur als externes Referenzsignal, nicht als Disziplin-Messung.
  4. FIRST CVSS v3.1 Specification: Qualitative Severity Rating Scale (Critical = 9.0-10.0). Verwendung im Modell: Critical-CVE-Volumen basiert auf der CVSS-v3-Schweregradskala, wie sie die NVD anwendet.
  5. FIRST EPSS: Wahrscheinlichkeit von Ausnutzungsaktivität in den nächsten 30 Tagen, täglich aktualisiert. Verwendung im Modell: EPSS wird als 30-Tage-Ausnutzungswahrscheinlichkeit interpretiert; die 70-Prozent-Schwelle ist ein deklarierter redaktioneller Hochrisiko-Schnitt; Modellwechsel werden per Guard abgefangen.
  6. Verordnung (EU) 2024/1689, Art. 113 (Geltungsbeginn) inkl. Digital-Omnibus-Änderungen (vorläufige Einigung 07.05.2026). Verwendung im Modell: Kalendertage bis zum nächsten Anwendungsmeilenstein werden als regulatorischer Runway verwendet; der Meilensteinplan wird redaktionell gepflegt.
  7. EZB Euro Foreign Exchange Reference Rates (Referenzkurse, ca. 16:00 MEZ). Verwendung im Modell: Referenzkurse zu Informationszwecken als Basis des USD-Kostendrucks; keine Transaktionskurse.
  8. CISA Known Exploited Vulnerabilities Catalog, Cybersecurity and Infrastructure Security Agency. Abruf: 25.6.2026, 19:50:56 UTC.
  9. NVD CVE API 2.0, National Institute of Standards and Technology. Abruf: 25.6.2026, 19:50:58 UTC.
  10. FIRST EPSS API, Forum of Incident Response and Security Teams. Abruf: 25.6.2026, 19:50:59 UTC.
  11. GitHub Global Security Advisories API, GitHub. Abruf: 25.6.2026, 19:51:03 UTC.
  12. EZB Euro Foreign Exchange Reference Rates, European Central Bank. Abruf: 25.6.2026, 19:51:03 UTC.
  13. Eckwerte gemeldete Arbeitsstellen, Statistik der Bundesagentur für Arbeit. Abruf: 25.6.2026, 19:51:04 UTC.
  14. Verordnung (EU) 2024/1689 (AI Act), Anwendungsfristen Art. 113, Europäische Union / EUR-Lex. Redaktionell gepflegter Rechtsstand: 25.6.2026, 19:51:04 UTC.