CVE: USA stoppen Finanzierung der Schwachstellendatenbank

Das CVE Programm steht vor dem Aus – die USA stellen die Finanzierung ein. Experten warnen vor gravierenden Folgen für die globale IT-Sicherheit.

cve — CVE ist eine standardisierte Liste von IT-Sicherheitslücken. - Depositphotos

Das CVE-Programm (Common Vulnerabilities and Exposures) ist das weltweit wichtigste System zur Identifizierung und Katalogisierung von IT-Schwachstellen. Die von der US-Organisation Mitre betriebene CVE-Liste vergibt eindeutige Nummern für Sicherheitslücken und ist Grundlage für koordinierte Abwehrmassnahmen gegen Cyberangriffe.

Wie «Netzwoche» berichtet, könnte das CVE-Programm bereits am heutigen Mittwoch eingestellt werden. Die US-Regierung hat die Finanzierung per sofort gestoppt.

cve — CVE steht für «Common Vulnerabilities and Exposures» und bezeichnet ein öffentlich zugängliches Verzeichnis bekannter Sicherheitslücken und Schwachstellen in Computersystemen und Software. - Depositphotos

Das Ministerium für Innere Sicherheit hatte den Vertrag mit der Mitre nicht verlängern wollen. Dies könnte mittel- und langfristig zu deutlichen Auswirkungen führen.

Mitre rechnet mit massiven Folgen

Die Entscheidung der US-Regierung, die Mittel zu streichen, sorgt in der Branche für grosse Verunsicherung. Laut einem internen Schreiben der Mitre Corporation, das «Golem» vorliegt, habe eine Unterbrechung massive Auswirkungen auf CVE.

Nationale Schwachstellendatenbanken würden darunter leiden und auch Empfehlungen zur IT-Sicherheit wären schlechter. Hersteller von Sicherheitstools wären betroffen und die Reaktion auf IT-Vorfälle erschwert.

CVE als Rückgrat der Cybersicherheit

Die Bedeutung des CVE-Systems ist kaum zu überschätzen. «ComputerBase» betont, dass Unternehmen wie Microsoft, Google oder Apple auf die CVE-Nummern angewiesen sind.

Ohne die standardisierte Benennung könnten Sicherheitsforscher, Softwareanbieter und Verteidigungssysteme nicht mehr zuverlässig dieselbe Schwachstelle identifizieren und adressieren.

cve — Tech-Giganten wie Google und Microsoft nutzen die CVE-Liste. - Depositphotos

Die Koordination zwischen Anbietern, Analysten und Sicherheitsbehörden wäre massiv gestört. Sicherheitsexperte Lukasz Olejnik warnt laut «Connect», dass das Fehlen des CVE-Programms die globalen Cybersicherheitssysteme lahmlegen könnte.

Er sieht die Gefahr eines Zusammenbruchs der Zusammenarbeit und einer plötzlichen Schwächung der weltweiten IT-Sicherheit. Auch die National Vulnerability Database (NVD) des US-Instituts NIST, die auf CVE aufbaut, wäre direkt betroffen.

Alternativen und internationale Reaktionen

Die Europäische Union betreibt mit CVD (Coordinated Vulnerability Disclosure) ein ähnliches Programm. Dieses könnte die entstehende Lücke teilweise füllen, wie «Golem.de» berichtet. Allerdings ist das CVE-System international etabliert und wird von Unternehmen weltweit genutzt.

Glaubst du, dass das CVE-Programm noch eine Zukunft haben wird?

Das private Unternehmen Vulncheck, das als CVE Numbering Authority agiert, kündigte an, weiterhin CVE-Zuweisungen bereitzustellen. Es habe bereits vorab 1'000 CVE-Nummern vergeben.

Der plötzliche Stopp der Finanzierung trifft die globale IT-Sicherheitsbranche unvorbereitet. «Netzwoche» unterstreicht, dass die Zukunft der Schwachstellendatenbank völlig offen ist.