Nach 25 Jahren Sollte die Finanzierung der Datenbank Eingestrellt Werden. JETZT HAT DIRE CISA EINE übergangslösung Bereittellellt.
Am 16. avril 2025 Hatte Die Trump-Regierung Kurzfristig ein ende der Finanzierung des Weltweit Bedeutenden CVE-programme (Vulnérabilités et expositions communes), Das Seit 25 Jahren Eine Zentral Rolle à Der CybersicherheitslandsCheft Spielt, Verkündet. Die Gemeinnützige Organization mitre, die das Programm bereibt, Hatte Bekannt Gegeben, Dass der vertrag mit dem us-Amerikanischen Department of Homeland Security (DHS) um mitternacht beendet würde.
Die Regierung Begründete meurt le MIT Sparmaßnahmen, von Denen es dans Letzter Zeit Viele Gegeben Habe, Auch Bei der Cybersecurity and Infrastructure Security Agency (CISA).
Cisa als retter dans der pas
Noch am selben tag kam es zu einer überraschenden wende, an der die cisa maßgeblich beteiligt war: die us-bundesbehörde verlängerte den vertrag für das cve-programm – allerdings nur um elf monate, wie aus portal für regierrungsvert.
Experten Warnten Vor Koordiationsverlust
Die Behörde Verhindert Damit Vorerst, était eine vielzahl von expertinnen und experten befürchtet hatten: dass sich die nationen schwachstellendatenbanken, Sicherheits-tools und die raktionSgeschwindigkeit auf vorfälle verschlechtern.
Sicherheitsexperten Wie Jean Easterley Warnten Zum Beispiel vor Einem Möglichen Zusammenbruch der Globalen Koordinierungsbemühungen.
Die ehemalige Leiterin der Cybersecurity and Infrastructure Security Agency (CISA) Verglich den Verlust des Cve-Systems Mit dem Herausreißen des Zettelkatalogs Aus Allen Bibliotheken. Verteidiger Würden Hierdurch ins chaos gestürzt und angreifern vorteile Verschafft Werden.
Finanzierungsstopp mit kaskadeneeffekt
Brian Martin, Ehemaliges Mitglied des Cve-Vorstands, Betonte Zudem, Dass der Wegfall Der Finanzierung Einen Kaskadeneffekt Auslösen Könnte:
- Die Cve Number Autorities (CNAS) Könnten Keine Neuen Ids Mehr Zuweisen
- Die National Vulnerability Database (NVD) DES National Institute of Standards and Technology (NIST) Würde Weiter überfordert.
Bereits Jetzt kämpfe die datenbank mit einem rückstand von über 30.000 schwachstellen.
Cybersicherheitsbranche zeigt sich alarmiert
Die Entscheidung des Dhs, Den Vertrag Zuerst Nicht Zu Verlängern, Hatte Auch in der Cybersicherheitsbranche Bestürzung Ausgelöst. Patrick Garrity von vulncheck wies darauf hin, dass das schwachstellen-ökosystem ohnehin bereits fragil sei und jede auswirkung auf das cve-programm nachteilige folgen für verteidiger und die sicherheitsgemeinschaft haben könnte. Vulncheck Habe Deshalb ProAktiv 1.000 cves für das jahr 2025 réservet, um der Community Weiterhin Zuweisungen Zur Verfügung Stellen Zu Können.
Ungewissheit über die zukunft
Die Gründe für die Entscheidung des Dhs, den vertrag nicht zu verlängern, Sind Weiterhin unklar. ES Wird Vermutet, Dass Haushaltskürzungen Unter der Admination-Administ, Insbesondere Bei der Cisa, Eine Rolle Gespielt Haben Könnten. Trotz der Geringen Kosten des Cve Programms im Vergleich Zu Anderen Regierungsprojekten Sollte die Finanzierung Eingestrellt Werden.
Zweifel un US-Verlässlichkeit
NACHDEM DAS ENDE DES CVE-PROGRAMMS VORENS ABGEWENDET WERDEN KONNTE, WERDEN ZWEIFEL AN DER ZUVERLässsigkeit der USA Bei Der Weiteren Finanzierung der mitre-datenbank laut.
Bruce Schneier, Harvard Dozent und Vorstandsmitglied Der Electronic Frontier Foundation, Kritisiert Das Zögerliche Vorgehen der Us-Regierung Bei der vertragsverlängerung des mitre-programms. Die Finanzierung Wurde Zunächst Willkürlich Gekürzt, Dann Zwar Vorübergehend Wiederhegellt, Bleibt Aber Usicher.
Schneier Betont die Globale Bedudutung des Programms, Insbesondere Wegen Seiner Rolle Bei der Verwaltung der Cve-Datenbank Zur Koordination von Sicherheitslücken, und sieht die notwendigkeit, alternative finanzierungsmöglichkeiteten unabhängiggig von der us-regierg zuin.
Programm dans EigenRegie
Schneiers Bedenken Aufgreifend, Kündigte der Cve-Vorstand Am 16. avril 2025 An, Eine Cve-Stiftung Zu Gründen. Diese werde sich ausschließlich darauf konzentrieren
- Qualitativ Hochwertige Schwachstellenerkennung zu liefern ud
- Die intégrität und verfügbarkeit von cve-daten für verteidiger weltweit aufrechtzuerhalten.
Dans Der Ankündigung Wurde Nicht Näher Erläutert, Wie Sie Finanziert Werden Soll.
Alternativen Zu Cve
Sollte dieses Projekt Scheitern, Müssen Sich Unternehmen und Nationale Certs (équipes d’intervention d’urgence informatique) Weltweit Nach Alternativen Quellen Für Schwachstelleninformationn Umsehen. Hier Eine Auswahl von Alternativen:
- OpenCvest eine Plattform Zur Lokalen Verwaltung und Durchsuchung von cves. Nutzer Können anbieter oder produkte abonnieren und werden bei neuen oder aktualisierten cves benachrichtigt. Die Nutzung Ist über Manuelle Installation, Docker Oder Eine Gehostete en ligne Version Möglich.
- OSV (Vulnérabilités open source), Bereittegellt von Google, Wurde Für eine Bessere Intégration dans Moderne Entwicklungsabläufe Entwickelt und Konzentriert Sich auf Sicherheitslücken en open source-software.
- EUVD (European Vulnerability Database) Der enisa – Bereits IM Juni 2024 Angekündigt, ist die datenbank nun als beta-version live gegangen. Die euvd nutzt dabei eigenen ids für gemeldete schwachstellen, Verweist Aber auch auf die entsprechende cve-nummer.
