CVE-Finanzierung weiterhin gesichert

Am 16. April 2025 hatte die Trump-Regierung kurzfristig ein Ende der Finanzierung des weltweit bedeutenden CVE-Programms (Common Vulnerabilities and Exposures), das seit 25 Jahren eine zentrale Rolle in der Cybersicherheitslandschaft spielt, verkündet. Die gemeinnützige Organisation MITRE, die das Programm betreibt, hatte bekannt gegeben, dass der Vertrag mit dem US-amerikanischen Department of Homeland Security (DHS) um Mitternacht beendet würde.

Die Regierung begründete dies mit Sparmaßnahmen, von denen es in letzter Zeit viele gegeben habe, auch bei der Cybersecurity and Infrastructure Security Agency (CISA).

CISA als Retter in der Not

​Noch am selben Tag kam es zu einer überraschenden Wende, an der die CISA maßgeblich beteiligt war: Die US-Bundesbehörde verlängerte den Vertrag für das CVE-Programm – allerdings nur um elf Monate, wie aus dem Portal für Regierungsverträge hervorgeht.

Ein Sprecher der CISA erklärte gegenüber CSO die Gründe: „Das CVE-Programm ist von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA. Gestern Abend hat die CISA die Optionsfrist für den Vertrag ausgeübt, um sicherzustellen, dass es keine Unterbrechung der wichtigen CVE-Dienste gibt. Wir danken unseren Partnern und Stakeholdern für ihre Geduld.”

Experten warnten vor Koordinationsverlust

Die Behörde verhindert damit vorerst, was eine Vielzahl von Expertinnen und Experten befürchtet hatten: Dass sich die nationalen Schwachstellendatenbanken, Sicherheits-Tools und die Reaktionsgeschwindigkeit auf Vorfälle verschlechtern.

Sicherheitsexperten wie Jean Easterley warnten zum Beispiel vor einem möglichen Zusammenbruch der globalen Koordinierungsbemühungen.

​​Die ehemalige Leiterin der Cybersecurity and Infrastructure Security Agency (CISA) verglich den Verlust des CVE-Systems mit dem Herausreißen des Zettelkatalogs aus allen Bibliotheken. Verteidiger würden hierdurch ins Chaos gestürzt und Angreifern Vorteile verschafft werden.

Finanzierungsstopp mit Kaskadeneffekt

Brian Martin, ehemaliges Mitglied des CVE-Vorstands, betonte zudem, dass der Wegfall der Finanzierung einen Kaskadeneffekt auslösen könnte:

​Die CVE Numbering Authorities (CNAs) könnten keine neuen IDs mehr zuweisen und

die National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) würde weiter überfordert.

Bereits jetzt kämpfe die Datenbank mit einem Rückstand von über 30.000 Schwachstellen. ​

Cybersicherheitsbranche zeigt sich alarmiert

Die Entscheidung des DHS, den Vertrag zuerst nicht zu verlängern, hatte auch in der Cybersicherheitsbranche Bestürzung ausgelöst. Patrick Garrity von VulnCheck wies darauf hin, dass das Schwachstellen-Ökosystem ohnehin bereits fragil sei und jede Auswirkung auf das CVE-Programm nachteilige Folgen für Verteidiger und die Sicherheitsgemeinschaft haben könnte. VulnCheck habe deshalb proaktiv 1.000 CVEs für das Jahr 2025 reserviert, um der Community weiterhin Zuweisungen zur Verfügung stellen zu können. ​

Ungewissheit über die Zukunft ​

Die Gründe für die Entscheidung des DHS, den Vertrag nicht zu verlängern, sind weiterhin unklar. ​Es wird vermutet, dass Haushaltskürzungen unter der Trump-Administration, insbesondere bei der CISA, eine Rolle gespielt haben könnten. ​Trotz der geringen Kosten des CVE-Programms im Vergleich zu anderen Regierungsprojekten sollte die Finanzierung eingestellt werden. ​

Zweifel an US-Verlässlichkeit

Nachdem das Ende des CVE-Programms vorerst abgewendet werden konnte, werden Zweifel an der Zuverlässigkeit der USA bei der weiteren Finanzierung der MITRE-Datenbank laut.

Bruce Schneier, Harvard-Dozent und Vorstandsmitglied der Electronic Frontier Foundation, kritisiert das zögerliche Vorgehen der US-Regierung bei der Vertragsverlängerung des MITRE-Programms. Die Finanzierung wurde zunächst willkürlich gekürzt, dann zwar vorübergehend wiederhergestellt, bleibt aber unsicher.

Schneier betont die globale Bedeutung des Programms, insbesondere wegen seiner Rolle bei der Verwaltung der CVE-Datenbank zur Koordination von Sicherheitslücken, und sieht die Notwendigkeit, alternative Finanzierungsmöglichkeiten unabhängig von der US-Regierung zu prüfen.

Programm in Eigenregie

Schneiers Bedenken aufgreifend, kündigte der CVE-Vorstand am 16. April 2025 an, eine CVE-Stiftung zu gründen. Diese werde sich ausschließlich darauf konzentrieren

qualitativ hochwertige Schwachstellenerkennung zu liefern und

die Integrität und Verfügbarkeit von CVE-Daten für Verteidiger weltweit aufrechtzuerhalten.

In der Ankündigung wurde nicht näher erläutert, wie sie finanziert werden soll.

Alternativen zu CVE

Sollte dieses Projekt scheitern, müssen sich Unternehmen und nationale CERTs (Computer Emergency Response Teams) weltweit nach alternativen Quellen für Schwachstelleninformationen umsehen. Hier eine Auswahl von Alternativen:

OpenCVE ist eine Plattform zur lokalen Verwaltung und Durchsuchung von CVEs. Nutzer können Anbieter oder Produkte abonnieren und werden bei neuen oder aktualisierten CVEs benachrichtigt. Die Nutzung ist über manuelle Installation, Docker oder eine gehostete Online-Version möglich.

OSV (Open Source Vulnerabilities), bereitgestellt von Google, wurde für eine bessere Integration in moderne Entwicklungsabläufe entwickelt und konzentriert sich auf Sicherheitslücken in Open-Source-Software.

EUVD (European Vulnerability Database) der Enisa – bereits im Juni 2024 angekündigt, ist die Datenbank nun als Beta-Version live gegangen. Die EUVD nutzt dabei eigenen IDs für gemeldete Schwachstellen, verweist aber auch auf die entsprechende CVE-Nummer.