{"id":3805,"date":"2025-07-02T13:18:20","date_gmt":"2025-07-02T13:18:20","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3805"},"modified":"2025-07-02T13:18:20","modified_gmt":"2025-07-02T13:18:20","slug":"auf-der-suche-nach-alternativen-zum-cve-programm","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3805","title":{"rendered":"Auf der Suche nach Alternativen zum CVE-Programm"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Sollte das CVE-Programm eingestellt werden, w\u00e4re die Bewertung und Behebung von Sicherheitsl\u00fccken schwieriger.\n

Dave Hoeek \u2013 shutterstock.com<\/p>\n<\/div>\n

Der j\u00fcngste kurze Panikausbruch wegen der m\u00f6glichen Einstellung des Common Vulnerabilities and Exposures (CVE<\/a>)-Programms hat die starke Abh\u00e4ngigkeit der Sicherheitsbranche von diesem Programm deutlich gemacht. Er f\u00fchrte zu Diskussionen \u00fcber Notfallstrategien , falls das standardisierte System zur Identifizierung und Katalogisierung von Schwachstellen nicht mehr verf\u00fcgbar sein sollte.<\/p>\n

Obwohl das CVE-Programm<\/a> durch eine Verl\u00e4ngerung des Vertrags um elf Monate \u2013 und vermutlich auch langfristig \u2013 weiter unterst\u00fctzen wird, ist die Unsicherheit hinsichtlich der langfristigen Stabilit\u00e4t des CVE-Programms ist nicht der einzige Faktor, der einige Organisationen dazu veranlasst, nach Alternativen zu suchen. Viele erw\u00e4gen CVE-Daten zumindest durch Schwachstelleninformationen aus anderen Quellen zu erg\u00e4nzen. Das NIST, das CVEs mit CVSS-Bewertungen, CWE-Klassifizierungen und CPE-Produktkennungen anreichert, hat aufgrund von Ressourcenengp\u00e4ssen seit mehr als einem Jahr Schwierigkeiten, diese wichtige Aufgabe<\/a> zu erf\u00fcllen.<\/p>\n

Das Ergebnis ist ein anhaltender R\u00fcckstand<\/a> bei Schwachstellen, f\u00fcr die keine Informationen und Kontextdaten vorliegen. Diese sind erforderlich, um sie f\u00fcr automatisierte Sicherheitsaufgaben besser durchsuchbar, quantifizierbar und nutzbar zu machen.<\/p>\n

\u201eEinige zukunftsorientierte Unternehmen bereiten sich bereits jetzt auf eine Zeit nach CVE vor, indem sie ihre Abl\u00e4ufe davon abkoppeln\u201c, erkl\u00e4rt Josh Lefkowitz, Mitbegr\u00fcnder und CEO von Flashpoint, gegen\u00fcber CSO. \u201eSie haben begonnen, CVE-unabh\u00e4ngige Prozesse und Tools einzusetzen, um relevante Bedrohungen zu identifizieren.\u201c<\/p>\n

Allerdings hat sich das, was jetzt geschieht, laut Lefkowitz schon seit einiger Zeit abgezeichnet. \u201eDie Herausforderungen f\u00fcr das CVE-Programm sind gewachsen. Das CVE-System hat mit der Geschwindigkeit und Komplexit\u00e4t der heutigen Bedrohungslandschaft nicht Schritt gehalten\u201c, betont der Experte und erg\u00e4nzt: \u201eSchwachstellen werden schneller entdeckt, fr\u00fcher ausgenutzt und betreffen immer gr\u00f6\u00dfere Lieferketten, oft noch bevor eine CVE-ID vergeben wird.\u201c<\/p>\n

Die wachsende Kluft zwischen Entdeckung und Offenlegung wird durch aktuelle Daten deutlich: Die Threat Intelligence Group von Google (GTIG) \u00a0registrierte<\/a> im vergangenen Jahr 75 Schwachstellen, die Angreifer als Zero-Day-Exploits ausnutzten \u2013 oft, bevor ein Fix oder sogar eine CVE-Kennung verf\u00fcgbar war.<\/p>\n

Entkopplung von CVE<\/strong><\/h2>\n

\u201eDiese Trends verst\u00e4rken die Notwendigkeit f\u00fcr Unternehmen, ihre Schwachstellenbek\u00e4mpfung von der alleinigen Abh\u00e4ngigkeit von CVE zu entkoppeln. Sie sollten sicherstellen, dass ihre Sicherheitstools Schwachstellen mit oder ohne CVE-Identit\u00e4ten verarbeiten k\u00f6nnen, mahnt Lefkowitz. \u201eDa Unternehmen weiterhin nach Resilienz und Zuverl\u00e4ssigkeit in ihren Programmen zum Sicherheits- und Schwachstellenmanagementstreben, ist es von entscheidender Bedeutung, dass sie damit beginnen, alternative und erg\u00e4nzende Quellen f\u00fcr Schwachstelleninformationen zu integrieren.\u201c<\/p>\n

Die gro\u00dfe Frage ist jedoch, wie dies einfach und effektiv umgesetzt werden kann. \u201eDas CVE-System bildet die Grundlage, um Schwachstellen im gesamten Software-\u00d6kosystem zu erkennen und zu beheben, einschlie\u00dflich der von Beh\u00f6rden verwendeten Tools und Plattformen\u201c, r\u00e4umt Joe Nicastro, Field CTO bei Legit Security, ein. \u201eOhne dieses System w\u00fcrde die gemeinsame Sprache, auf die wir uns bei der Identifizierung, Einstufung und Behebung von Schwachstellen verlassen, verschwinden.\u201c<\/p>\n

Der Security-Spezialist warnt: \u201eWir h\u00e4tten mit Fragmentierung, Verwirrung und l\u00e4ngeren Reaktionszeiten zu k\u00e4mpfen \u2013 und das in einer Zeit, in der Softwareangriffe und Bedrohungsakteure mehr denn je zunehmen.\u201c<\/p>\n

Derzeit stellt die k\u00fcrzlich von der Europ\u00e4ischen Agentur f\u00fcr Cybersicherheit (ENISA) eingerichtete Europ\u00e4ische Schwachstellendatenbank<\/a> (EUVD) eine der formellsten Bem\u00fchungen dar, die Abh\u00e4ngigkeit von CVE zu verringern. Die erkl\u00e4rte Aufgabe der EUVD besteht darin, zeitnahe und zuverl\u00e4ssige Informationen \u00fcber Schwachstellen in Software- und Hardwareprodukten, die innerhalb der EU verwendet werden, bereitzustellen. Die Datenbank sammelt Informationen zu Schwachstellen aus einer Vielzahl von Quellen. Darunter befinden sich Open-Source-Datenbanken, Hinweise und Warnmeldungen von nationalen Cybersicherheits-Notfallteams und Warnmeldungen von Anbietern.<\/p>\n

Die Daten werden in drei separaten Kategorien oder Dashboard-Ansichten dargestellt: kritische, ausgenutzte und von der EU koordinierte Schwachstellen.<\/p>\n

Die EUVD ist eine strategische Initiative der EU-Mitgliedstaaten, um regionaler Autonomie im Bereich Schwachstellenmanagement zu schaffen. Im Mai 2025 ins Leben gerufen, positionieren die EU-Beh\u00f6rden die EUVD<\/a>, als Erg\u00e4nzung zu CVE und nicht als deren Ersatz. Die Datenbank genie\u00dft institutionelle Glaubw\u00fcrdigkeit und Unterst\u00fctzung, und ihre Aufgabe steht im Einklang mit den wachsenden Forderungen nach einem diversifizierteren und widerstandsf\u00e4higeren \u00d6kosystem f\u00fcr die Offenlegung von Schwachstellen.<\/p>\n

Dennoch fehlt es dem EUVD bislang an der globalen Akzeptanz und Infrastruktur der CVE-Datenbank, und es bedarf einer st\u00e4rkeren Beteiligung der Anbieter und einer besseren Integration von Tools, bevor es mit CVE in Bezug auf Umfang und Unterst\u00fctzung des \u00d6kosystems mithalten kann.<\/p>\n

\u201eDa das Ziel jeder Schwachstellendatenbank darin besteht, verwertbare Informationen bereitzustellen, ben\u00f6tigt eine neue Datenbank wie das EUVD Tools, die zur L\u00f6sung von Produktionsproblemen dienen\u201c, erl\u00e4utert Tim Mackey, Leiter des Bereichs Software Supply Chain Risk bei Black Duck. Um umsetzbare Erkenntnisse zu liefern, die mit denen der CVE-Datenbank vergleichbar sind, m\u00fcsse die EUVD vollst\u00e4ndig in Tools und Workflows integriert werden, beispielsweise in Scanner, Patch-Management-Systeme und SIEM-Plattformen.\u201c<\/p>\n

Dar\u00fcber hinaus \u201eerfordern praktikable Alternativen eine Zusammenarbeit zwischen Datenbankanbietern und Tool-Anbietern, wobei die Implementierung und die Workflows dann von Regulierungsbeh\u00f6rden und Unternehmenspr\u00fcfern akzeptiert werden m\u00fcssen\u201c, f\u00fcgt Mackey hinzu.<\/p>\n

Aktuelle Alternativen umfassen verschiedene Anbieterquellen<\/strong><\/h2>\n

Unabh\u00e4ngige Anbieter von aggregierten Schwachstelleninformationen wie Flashpoint, VulnCheck, Tenable, BitSight und andere sind eine weitere Option. \u201eViele dieser Anbieter bieten kuratierte Datens\u00e4tze, die Schwachstellen erfassen, die von CVE oft \u00fcbersehen oder verz\u00f6gert gemeldet werden\u201c, so Lefkowitz. \u201eSie bieten auch wichtige Kontextinformationen wie Ausnutzbarkeit, Ransomware-Risiko und soziales Risiko.\u201c<\/p>\n

Um diese Informationen operationalisieren zu k\u00f6nnen, m\u00fcssten Unternehmen \u00fcberdenken, wie sie Schwachstellen verarbeiten und darauf reagieren, merkt der Flashpoint-CEO an. \u201eDas beginnt damit, dass Workflows von starren Abh\u00e4ngigkeiten von CVE\/NVD entkoppelt werden. Zudem wird sichergestellt, dass die Sicherheitstools bei Bedarf auch herstellerspezifische Schwachstellenkennungen verarbeiten k\u00f6nnen.\u201c<\/p>\n

Nach Meinung von Lefkowitz sollte die Priorisierung von Risiken auf der Grundlage von Bedrohungsinformationen erfolgen und dabei die Verf\u00fcgbarkeit von Exploit-Code, die Gef\u00e4hrdung von Assets und sogar die Wahrscheinlichkeit von Ransomware-Angriffen ber\u00fccksichtigen. \u201eSicherheitsverantwortliche sollten Schwachstellenplattformen in Betracht ziehen, die sich direkt in ihre SIEMs, SOARs, Patching-Tools und Ticketing-Systeme integrieren lassen\u201c, r\u00e4t er.<\/p>\n

Unternehmen haben weitere M\u00f6glichkeiten, ihre Quellen f\u00fcr Schwachstelleninformationen zu diversifizieren. Darunter Herstellerhinweise, GitHub-Ver\u00f6ffentlichungen und Plattformen wie HackerOne oder Bugcrowd, die Schwachstellen h\u00e4ufig ver\u00f6ffentlichen, bevor die Details in eine formelle Datenbank wie CVE gelangen.<\/p>\n

Mackey von BlackDuck verweist darauf: \u201eSoftwareanbieter wie Oracle, Microsoft und Red Hat ver\u00f6ffentlichen regelm\u00e4\u00dfig Cybersicherheitsbulletins f\u00fcr ihre Software. In \u00e4hnlicher Weise unterh\u00e4lt GitHub ein Repository mit Informationen zu Schwachstellen, das als \u201eGitHub Advisory Database\u201c bekannt ist. Zus\u00e4tzlich gibt es mehrere regionale Datenbanken f\u00fcr Schwachstellen in Australien, der EU, Japan und China.<\/p>\n

Beispiele hierf\u00fcr sind AusCERT<\/a>, VulDB<\/a>, JPCERT CC<\/a> und CNNVD<\/a>. \u201eZu ber\u00fccksichtigen sind auch Anbieter von Software Composition Analysis (SCA)-Tools, die h\u00e4ufig NVD-Daten erg\u00e4nzen, um eigene Sicherheitshinweise zu erstellen\u201c, f\u00fcgt Mackey hinzu. \u201eNat\u00fcrlich gibt es viele verschiedene Techniken zum Testen der Anwendungssicherheit, wie statische Tests, interaktive Tests und Fuzzing, mit denen Schwachstellen identifiziert werden k\u00f6nnen, die nie offengelegt wurden.\u201c<\/p>\n

\u201eJede dieser Optionen ist wertvoll, aber in Kombination miteinander l\u00e4sst sich ein vollst\u00e4ndiges Bild der Anwendungsrisiken aufgrund von Cybersicherheit erstellen\u201c, so der BlackDuck-Experte.<\/p>\n

Der Katalog \u201eKnown Exploited Vulnerabilities<\/a>\u201c (KEV) der CISA ist eine weitere n\u00fctzliche \u2013 und im Falle von US-Bundesbeh\u00f6rden sogar vorgeschriebene \u2013 Quelle f\u00fcr Schwachstellendaten. Der Katalog besteht aus einer Liste von ausgenutzten Cybersicherheitsschwachstellen, die ein Risiko f\u00fcr Regierungsbeh\u00f6rden und kritische Infrastrukturen darstellen. Er dient in erster Linie dazu, sie bei der Identifizierung und Behebung von hochriskanten Schwachstellen zu unterst\u00fctzen, die eine unmittelbare Bedrohung darstellen.<\/p>\n

Sobald die CISA eine Schwachstelle in KEV eintr\u00e4gt, haben US-Bundesbeh\u00f6rden eine strenge Frist, innerhalb derer sie die Schwachstelle beheben oder die Verwendung des betroffenen Produkts einstellen m\u00fcssen, bis sie behoben ist. Obwohl der Zielkreis relativ eng ist, kann jede Organisation KEV nutzen, um Priorit\u00e4ten f\u00fcr Patch-Ma\u00dfnahmen zu setzen.<\/p>\n

Entscheidend ist jedoch, die Erwartungen im Zaum zu halten. Zu den Kernfunktionen des CVE-Programms geh\u00f6rt die Bereitstellung einer gemeinsamen Taxonomie und Nomenklatur, um Schwachstellen hinsichtlich ihres Risikos zu bewerten und einzustufen. \u201eWenn die Sicherheitsgemeinschaft dieses Programm verlieren w\u00fcrde, w\u00fcrden Forscher und Bug-J\u00e4ger bei der Kategorisierung und Bewertung von Sicherheitsl\u00fccken keine gemeinsame Sprache mehr sprechen\u201c, warnt Ben Radcliff, Senior Director, Cyber Operations bei Optiv.<\/p>\n

\u201eJede mangelnde Koh\u00e4sion und Transparenz bei der Ver\u00f6ffentlichung bekannter Sicherheitsl\u00fccken w\u00fcrde wahrscheinlich zu langsameren und inkonsistenten Reaktionen der Sicherheitsteams auf Bedrohungen f\u00fchren, insbesondere bei Zero-Day-Schwachstellen\u201c, erg\u00e4nzt Radcliff.<\/p>\n

\u201eDie gr\u00f6\u00dfte H\u00fcrde f\u00fcr die Einf\u00fchrung einer CVE-Alternative w\u00e4re die Wiederherstellung des Konsenses innerhalb der gesamten globalen Sicherheitsgemeinschaft\u201c, prognostiziert er. \u201eCVE ist seit langem etabliert und hoch angesehen und hat daher eine lange Tradition darin, Vertrauen in die Zuverl\u00e4ssigkeit seiner gesammelten Erkenntnisse aufzubauen. Jeder Ansatz nach CVE w\u00fcrde wahrscheinlich auf absehbare Zeit dezentralisiert und inkonsistent bleiben.\u201c (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Sollte das CVE-Programm eingestellt werden, w\u00e4re die Bewertung und Behebung von Sicherheitsl\u00fccken schwieriger. Dave Hoeek \u2013 shutterstock.com Der j\u00fcngste kurze Panikausbruch wegen der m\u00f6glichen Einstellung des Common Vulnerabilities and Exposures (CVE)-Programms hat die starke Abh\u00e4ngigkeit der Sicherheitsbranche von diesem Programm deutlich gemacht. Er f\u00fchrte zu Diskussionen \u00fcber Notfallstrategien , falls das standardisierte System zur Identifizierung […]<\/p>\n","protected":false},"author":0,"featured_media":3806,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3805","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3805"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3805"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3805\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3806"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}