Update: CISA verlängert CVE-Finanzierung in letzter Minute
Die CISA hat die Finanzierung der CVE-Schwachstellen-Datenbank um ein Jahr verlängert. Um ein Ende des Programms abzuwenden, kamen gleich aus mehreren Ecken alternative Lösungen - auch aus Europa.
Update vom 17.04.2025: Ein jähes Ende der CVE-Datenbank hätte für die Security-Branche - aber auch die Cybersicherheit generell - weitreichende Folgen haben können. Entsprechend rief die Nachricht vom Ende der Finanzierung der Datenbank verschiedene Akteure auf den Plan.
Dazu zählt auch die Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten. "Das CVE-Programm ist von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA", teilte die US-amerikanische Behörde gegenüber "Bleepingcomputer" mit. Um einen Unterbruch der Services zu vermeiden, übte die CISA kurz vor knapp ein Optionsrecht aus, um den auslaufenden Vertrag doch noch zu verlängern.
Der neue Vertrag zwischen dem Department of Homeland Security (DHS) und der Mitre Corporation, welche die Datenbank betreibt, läuft nun bis zum 16. März 2026. Der Vertrag hat aktuell einen Gesamtwert von knapp 30 Millionen US-Dollar - mit einer Obergrenze von 57,8 Millionen Dollar.
Noch bevor dies bekannt wurde, hatte eine Gruppe von CVE-Board-Mitgliedern die Gründung der CVE Foundation angekündigt. Dabei handelt es sich um eine gemeinnützige Organisation, welche "die langfristige Lebensfähigkeit, Stabilität und Unabhängigkeit" sicherstellen soll, wie sie mitteilt.
Die bisherige Struktur habe zwar das Wachstum des CVE-Programms unterstützt. Dass die Datenbank von einem einzigen staatlichen Sponsor abhängig ist, habe aber auch "bei den Mitgliedern des CVE-Boards seit langem Bedenken hinsichtlich der Nachhaltigkeit und Neutralität einer weltweit genutzten Ressource geweckt". Das Board arbeite bereits seit einem Jahr daran, den Betrieb der Datenbank an eine dedizierte, Non-Profit-Stiftung zu übergeben. In naher Zukunft sollen weitere Informationen folgen.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) reagierte ebenfalls auf das drohende CVE-Aus. Sie stellte kurzerhand ihre Alternativlösung, die European Vulnerability Database, online, wie "Heise" berichtet. Die Enisa hatte ihre eigene Schwachstellendatenbank im Juni 2024 angekündigt. Sie wurde im Einklang mit der NIS-2-Richtlinie entwickelt.
Ferner meldete sich auch das Computer Incident Response Center Luxemburg. Dieses betreibt ein eigenes CVE-Projekt, das zwar mit CVE kompatibel sein soll, aber mit einer dezentralen Vergabe von Schwachstellen-Identifikatoren arbeitet. Um dies zu erreichen, wird die CVE-Kennnummer (die aus Jahreszahl und Laufnummer besteht) um eine Identifikationsnummer für die Vergabestelle erweitert, wie es im Bericht von "Heise" heisst.
Originalmeldung vom 16.04.2025:
CVE-Schwachstellendatenbank steht kurz vor dem Aus
Die Schwachstellendatenbank aller Common Vulnerabilities and Exposures (CVE) des US-amerikanischen Forschungsinstituts Mitre könnte ihren Dienst einstellen. Wie "Bleepingcomputer" berichtet, läuft die Finanzierung des Programms durch die US-Regierung am 16. April 2025 aus. Die CVE-Liste wird unter anderem von der National Cyber Security Division des Ministeriums für Innere Sicherheit der USA finanziert. Die Datenbank ermöglicht mit der Vergabe von CVE-IDs eine koordinierte Katalogisierung von Sicherheitslücken und erleichtert damit den Informationsaustausch über Sicherheitshinweise und andere Ressourcen mithilfe eines standardisierten Referenzsystems. Mitre fungiert dabei als primäre CVE-Nummerierungsstelle.
In einem Brief an den CVE-Vorstand, aus dem Bleepingcomputer zitiert, warnt Mitre-Vizepräsident Yosry Barsoum vor einer Einstellung des Betriebs der Datenbank. Dies könnte zu weitreichenden Störungen in der globalen Cybersicherheitsbranche führen sowie mit einer Verschlechterung nationaler Schwachstellendatenbanken und -hinweisen, Incident-Response-Operationen und anderer Arten kritischer Infrastrukturen einhergehen. Gleichzeitig ergänzt Barsoum, dass die Regierung der USA weiterhin erhebliche Anstrengungen unternehme, um die Rolle von Mitre bei der Unterstützung des Programms fortzusetzen.
Auf Anfrage von "Bleepingcomputer" erklärt ein Sprecher der Cybersecurity and Infrastructure Security Agency (CISA), dass trotz des auslaufenden Vertrags mit Mitre bereits Anstrengungen unternommen werden, um die CVE-Dienste aufrechtzuerhalten und allfällige negative Auswirkungen zu minimieren. Wie es weiter heisst, kommen Mitres Schwierigkeiten, die Datenbank weiterhin zu finanzieren, zu einem Zeitpunkt, an dem auch das National Institute of Standards and Technology (NIST) damit beschäftigt sei, einen grossen Rückstand an CVEs abzuarbeiten, die für die National Vulnerability Database (NVD) ergänzt werden müssen.
Übrigens: US-Präsident Donald Trump hat dem ehemaligen CISA-Vorsteher Chris Krebs die behördlichen Sicherheitsfreigaben entzogen. Davon betroffen ist insbesondere der Cybersecurity-Anbieter Sentinelone, den Krebs heute leitet. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Google hat 2024 über 5 Milliarden Anzeigen blockiert
Boromir ist nicht so einfach totzukriegen
OpenAI stellt neue KI-Modelle und Tools vor
Update: Chris Krebs tritt als Sentinelone-CEO zurück
Die Redaktion macht Osterferien
Datensouveränität und IT-Sicherheit in der Cloud unverzichtbar
Update: Referendumskomitee reicht 50'000 Unterschriften gegen neue E-ID ein
Grok kann sich jetzt an Gespräche erinnern
Was es für einen vertrauenswürdigen Datenraum braucht
