{"id":2799,"date":"2025-04-17T11:59:00","date_gmt":"2025-04-17T11:59:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2799"},"modified":"2025-04-17T11:59:00","modified_gmt":"2025-04-17T11:59:00","slug":"cve-finanzierung-weiterhin-gesichert","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2799","title":{"rendered":"CVE-Finanzierung weiterhin gesichert"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Experten warnten, dass ohne CVE ein Koordinationschaos in der IT-Sicherheit droht. Die CISA scheint sie erh\u00f6rt zu haben.<\/p>\n

Jerome460 \/ Shutterstock<\/p>\n<\/div>\n

Am 16. April 2025 hatte die Trump-Regierung kurzfristig ein Ende der Finanzierung des weltweit bedeutenden CVE<\/a>-Programms (Common Vulnerabilities and Exposures), das seit 25 Jahren eine zentrale Rolle in der Cybersicherheitslandschaft spielt, verk\u00fcndet. Die gemeinn\u00fctzige Organisation MITRE<\/a>, die das Programm betreibt, hatte bekannt gegeben, dass der Vertrag mit dem US-amerikanischen Department of Homeland Security (DHS) um Mitternacht beendet w\u00fcrde.<\/p>\n

Die Regierung begr\u00fcndete dies mit Sparma\u00dfnahmen, von denen es in letzter Zeit viele gegeben habe, auch bei der Cybersecurity and Infrastructure Security Agency (CISA).<\/p>\n

CISA als Retter in der Not<\/strong><\/h2>\n

\u200bNoch am selben Tag kam es zu einer \u00fcberraschenden Wende, an der die CISA ma\u00dfgeblich beteiligt war: Die US-Bundesbeh\u00f6rde verl\u00e4ngerte den Vertrag f\u00fcr das CVE-Programm \u2013 allerdings nur um elf Monate, wie aus dem Portal f\u00fcr Regierungsvertr\u00e4ge<\/a> hervorgeht.<\/p>\n

Ein Sprecher der CISA erkl\u00e4rte gegen\u00fcber CSO die Gr\u00fcnde: \u201eDas CVE-Programm ist von unsch\u00e4tzbarem Wert f\u00fcr die Cyber-Community und eine Priorit\u00e4t der CISA. Gestern Abend hat die CISA die Optionsfrist f\u00fcr den Vertrag ausge\u00fcbt, um sicherzustellen, dass es keine Unterbrechung der wichtigen CVE-Dienste gibt. Wir danken unseren Partnern und Stakeholdern f\u00fcr ihre Geduld.\u201d<\/p>\n

Experten warnten vor Koordinationsverlust<\/strong><\/h2>\n

Die Beh\u00f6rde verhindert damit vorerst, was eine Vielzahl von Expertinnen und Experten bef\u00fcrchtet hatten: Dass sich die nationalen Schwachstellendatenbanken, Sicherheits-Tools und die Reaktionsgeschwindigkeit auf Vorf\u00e4lle verschlechtern.<\/p>\n

Sicherheitsexperten wie Jean Easterley<\/a> warnten zum Beispiel vor einem m\u00f6glichen Zusammenbruch der globalen Koordinierungsbem\u00fchungen.<\/p>\n

\u200b\u200bDie ehemalige Leiterin der Cybersecurity and Infrastructure Security Agency (CISA) verglich den Verlust des CVE-Systems mit dem Herausrei\u00dfen des Zettelkatalogs aus allen Bibliotheken. Verteidiger w\u00fcrden hierdurch ins Chaos gest\u00fcrzt und Angreifern Vorteile verschafft werden.<\/p>\n

Finanzierungsstopp mit Kaskadeneffekt<\/strong><\/h2>\n

Brian Martin<\/a>, ehemaliges Mitglied des CVE-Vorstands, betonte zudem, dass der Wegfall der Finanzierung einen Kaskadeneffekt ausl\u00f6sen k\u00f6nnte:<\/p>\n

\u200bDie CVE Numbering Authorities (CNAs) k\u00f6nnten keine neuen IDs mehr zuweisen und<\/p>\n

die National Vulnerability Database (NVD<\/a>) des National Institute of Standards and Technology (NIST) w\u00fcrde weiter \u00fcberfordert.<\/p>\n

Bereits jetzt k\u00e4mpfe die Datenbank mit einem R\u00fcckstand von \u00fcber 30.000 Schwachstellen. \u200b<\/p>\n

Cybersicherheitsbranche zeigt sich alarmiert<\/strong><\/h2>\n

Die Entscheidung des DHS, den Vertrag zuerst nicht zu verl\u00e4ngern, hatte auch in der Cybersicherheitsbranche Best\u00fcrzung ausgel\u00f6st. Patrick Garrity<\/a> von VulnCheck wies darauf hin, dass das Schwachstellen-\u00d6kosystem ohnehin bereits fragil sei und jede Auswirkung auf das CVE-Programm nachteilige Folgen f\u00fcr Verteidiger und die Sicherheitsgemeinschaft haben k\u00f6nnte. VulnCheck habe deshalb proaktiv 1.000 CVEs f\u00fcr das Jahr 2025 reserviert, um der Community weiterhin Zuweisungen zur Verf\u00fcgung stellen zu k\u00f6nnen. \u200b<\/p>\n

Ungewissheit \u00fcber die Zukunft \u200b<\/strong><\/h2>\n

Die Gr\u00fcnde f\u00fcr die Entscheidung des DHS, den Vertrag nicht zu verl\u00e4ngern, sind weiterhin unklar. \u200bEs wird vermutet, dass Haushaltsk\u00fcrzungen unter der Trump-Administration, insbesondere bei der CISA, eine Rolle gespielt haben k\u00f6nnten. \u200bTrotz der geringen Kosten des CVE-Programms im Vergleich zu anderen Regierungsprojekten sollte die Finanzierung eingestellt werden. \u200b<\/p>\n

Zweifel an US-Verl\u00e4sslichkeit<\/strong><\/h2>\n

Nachdem das Ende des CVE-Programms vorerst abgewendet werden konnte, werden Zweifel an der Zuverl\u00e4ssigkeit der USA bei der weiteren Finanzierung der MITRE-Datenbank laut.<\/p>\n

Bruce Schneier, Harvard-Dozent und Vorstandsmitglied der Electronic Frontier Foundation, kritisiert das z\u00f6gerliche Vorgehen der US-Regierung bei der Vertragsverl\u00e4ngerung des MITRE-Programms. Die Finanzierung wurde zun\u00e4chst willk\u00fcrlich gek\u00fcrzt, dann zwar vor\u00fcbergehend wiederhergestellt, bleibt aber unsicher.<\/p>\n

Schneier betont die globale Bedeutung des Programms, insbesondere wegen seiner Rolle bei der Verwaltung der CVE-Datenbank zur Koordination von Sicherheitsl\u00fccken, und sieht die Notwendigkeit, alternative Finanzierungsm\u00f6glichkeiten unabh\u00e4ngig von der US-Regierung zu pr\u00fcfen.<\/p>\n

Programm in Eigenregie<\/strong><\/h2>\n

Schneiers Bedenken aufgreifend, k\u00fcndigte der CVE-Vorstand am 16. April 2025 an, eine CVE-Stiftung<\/a> zu gr\u00fcnden. Diese werde sich ausschlie\u00dflich darauf konzentrieren<\/p>\n

qualitativ hochwertige Schwachstellenerkennung zu liefern und<\/p>\n

die Integrit\u00e4t und Verf\u00fcgbarkeit von CVE-Daten f\u00fcr Verteidiger weltweit aufrechtzuerhalten.<\/p>\n

In der Ank\u00fcndigung wurde nicht n\u00e4her erl\u00e4utert, wie sie finanziert werden soll.<\/p>\n

Alternativen zu CVE<\/strong><\/h2>\n

Sollte dieses Projekt scheitern, m\u00fcssen sich Unternehmen und nationale CERTs (Computer Emergency Response Teams) weltweit nach alternativen Quellen f\u00fcr Schwachstelleninformationen umsehen. Hier eine Auswahl von Alternativen:<\/p>\n

OpenCVE<\/a> ist eine Plattform zur lokalen Verwaltung und Durchsuchung von CVEs. Nutzer k\u00f6nnen Anbieter oder Produkte abonnieren und werden bei neuen oder aktualisierten CVEs benachrichtigt. Die Nutzung ist \u00fcber manuelle Installation, Docker oder eine gehostete Online-Version m\u00f6glich.<\/p>\n

OSV<\/a> (Open Source Vulnerabilities), bereitgestellt von Google, wurde f\u00fcr eine bessere Integration in moderne Entwicklungsabl\u00e4ufe entwickelt und konzentriert sich auf Sicherheitsl\u00fccken in Open-Source-Software.<\/p>\n

EUVD<\/a> (European Vulnerability Database) der Enisa \u2013 bereits im Juni 2024 angek\u00fcndigt<\/a>, ist die Datenbank nun als Beta-Version live gegangen. Die EUVD nutzt dabei eigenen IDs f\u00fcr gemeldete Schwachstellen, verweist aber auch auf die entsprechende CVE-Nummer.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Experten warnten, dass ohne CVE ein Koordinationschaos in der IT-Sicherheit droht. Die CISA scheint sie erh\u00f6rt zu haben. Jerome460 \/ Shutterstock Am 16. April 2025 hatte die Trump-Regierung kurzfristig ein Ende der Finanzierung des weltweit bedeutenden CVE-Programms (Common Vulnerabilities and Exposures), das seit 25 Jahren eine zentrale Rolle in der Cybersicherheitslandschaft spielt, verk\u00fcndet. Die gemeinn\u00fctzige […]<\/p>\n","protected":false},"author":0,"featured_media":2800,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2799","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2799"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2799"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2799\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2800"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}