Finanzierung der Schwachstellen-Datenbank CVE läuft am 16.4. aus

Der Sparkurs der US-Regierung bedroht offenbar auch den Fortbestand der weltweit genutzten Schwachstellen-Datenbank CVE (Common Vulnerabilities and Exposures). Das geht aus einem durchgesickerten Brief des Direktors der Forschungsorganisation Mitre hervor, die die Datenbank betreibt. Die von der US-Regierung bisher gewährte Finanzierung läuft am 16. April aus.

Davon betroffen ist auch das Programm Common Weakness Enumeration (CWE), dass einer einheitlichen Einstufung von Schwachstellen dient. Ohne weitere Finanzmittel würden beide Programme ab dem 17. April nicht mehr weitergeführt – neu entdeckte Schwachstellen würden beispielsweise keine einheitlichen CVE-Nummern mehr erhalten und nicht mehr in die öffentlich zugängliche CVE-Datenbank eingetragen.

„Am Mittwoch, den 16. April 2025, läuft der derzeitige Vertragsweg für Mitre zur Entwicklung, zum Betrieb und zur Modernisierung von CVE und mehreren anderen verwandten Programmen, wie CWE, aus. Die Regierung unternimmt weiterhin erhebliche Anstrengungen, um die Rolle von MITRE bei der Unterstützung des Programms fortzusetzen“, heißt es in dem an die Mitglieder des CVE-Vorstands gerichteten Brief. „Sollte es zu einer Unterbrechung des Dienstes kommen, erwarten wir vielfältige Auswirkungen auf CVE, einschließlich einer Verschlechterung der nationalen Schwachstellendatenbanken und -empfehlungen, der Anbieter von Tools, der Reaktion auf Vorfälle und aller Arten von kritischer Infrastruktur.“

Der frühere Chef der US-Cybersicherheitsbehörde CISA, John Easterly, befürchtet ebenfalls erhebliche Auswirkungen auf die weltweiten Bemühungen zur Koordinierung von Maßnahmen zur IT-Sicherheit. „Das CVE-System macht vielleicht keine Schlagzeilen, aber es ist eine der wichtigsten Säulen der modernen Cybersicherheit. Es zu verlieren, wäre so, als würde man den Bücherkatalog aus jeder Bibliothek auf einmal herausreißen und die Verteidiger im Chaos versinken lassen, während die Angreifer alle Vorteile nutzen“, schreibt Easterly auf LinkedIn. „Cyber-Bedrohungen machen nicht an Grenzen halt – und die Verteidigung auch nicht. CVEs sind die gemeinsame Sprache, die weltweit verwendet wird, um Informationen auszutauschen und Maßnahmen zu koordinieren. Wenn wir das verlieren, fliegen wir alle im Blindflug.“

Im Gespräch mit dem Blog Krebs On Security betonte ein Mitre-Sprecher, dass die CVE-Datenbank auch ohne Finanzierung weiterhin verfügbar sei. Es würden aber keine neuen Einträge hinzugefügt. Nicht näher genannten Quellen zufolge ist es nicht das erste Mal, dass die Finanzierung des CVE-Programms erst in letzter Minute sichergestellt wurde.