Sicherheits-GAU Frage der Zeit:
USA drehen CVE-Programm ab (Update)
Ein zentrales System zur Katalogisierung von Softwareschwachstellen verliert seine Finanzierung. Das seit 1999 existierende CVE-Programm könnte schon bald Geschichte sein. Die Folgen für die globale IT-Sicherheitslandschaft werden wohl verheerend sein.
Das seit 1999 bestehende CVE-System dient als standardisierte Methode zur Identifikation und Katalogisierung von Sicherheitslücken in Software und Hardware. Alle großen Unternehmen wie Microsoft, Google, Apple, Intel und AMD nutzen dieses System, um Schwachstellen eindeutig zu kennzeichnen und deren Behebung zu koordinieren. Jede Sicherheitslücke erhält eine einzigartige Kennung nach dem Muster "CVE-XXXX-XXXXX", was die Kommunikation zwischen Sicherheitsexperten weltweit erheblich vereinfacht.
Die Konsequenzen eines Ausfalls könnten dramatisch sein. Der Sicherheitsexperte Lukasz Olejnik warnte auf Twitter/X, dass ein Mangel an Unterstützung für das CVE-Programm die Cybersicherheitssysteme weltweit "lähmen" könnte. "Die Folge wird ein Zusammenbruch der Koordination zwischen Anbietern, Analysten und Verteidigungssystemen sein - niemand wird sicher sein, dass sie sich auf dieselbe Sicherheitslücke beziehen", schrieb Olejnik. Seine Befürchtung: "Totales Chaos und eine plötzliche Schwächung der Cybersicherheit auf breiter Front."
Das CVE-Programm hat in seiner 25-jährigen Existenz eine zentrale Rolle in der Sicherheitsbranche eingenommen. Alleine im vergangenen Jahr wurden mehr als 40.000 neue CVE-Einträge veröffentlicht. Vor der Einführung des CVE-Systems bezeichnete jedes Unternehmen Sicherheitslücken mit eigener Terminologie, was zu erheblicher Verwirrung führte. Die historischen CVE-Aufzeichnungen werden zwar weiterhin über GitHub verfügbar sein, aber ohne fortlaufende Finanzierung wird der operative Teil des Programms - einschließlich der Zuweisung neuer CVEs - effektiv zum Erliegen kommen.
Einige Unternehmen versuchen bereits, Vorkehrungen zu treffen. VulnCheck, ein privates Unternehmen für Schwachstelleninformationen, hat laut The Register vorsorglich 1000 CVEs für 2025 reserviert. Dies würde jedoch nur für ein bis zwei Monate ausreichen, da MITRE monatlich zwischen 300 und 600 CVEs ausstellt.
Was meint ihr zu dieser kritischen Situation? Sollte die Sicherheitsbranche selbst die Finanzierung übernehmen oder ist dies eine klare Aufgabe für staatliche Stellen? Teilt eure Gedanken in den Kommentaren!
Siehe auch:
UPDATE 16. April 17:45 Uhr: Wie Forbes vermeldet, hat die Cybersecurity and Infrastructure Security Agency (CISA) einen neuen Vertrag mit MITRE abgeschlossen. Das CVE-Programm sei "von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA". Daher habe man gestern Abend eine Vertragsoption gezogen, um sicherzustellen, dass es keine Unterbrechung der wichtigen CVE-Dienste gibt.
System zur Erfassung von Sicherheitslücken vor Aus
Das Common Vulnerabilities and Exposures (CVE)-Programm, ein fundamentaler Bestandteil der globalen Cybersicherheitsinfrastruktur, steht vor einer ungewissen Zukunft. Die Finanzierung des Programms durch das US-Heimatschutzministerium läuft am 16. April 2025 aus, ohne dass bisher eine Vertragsverlängerung mit der zuständigen Organisation MITRE bestätigt wurde. Ohne diese Finanzierung könnte die Erfassung neuer Sicherheitslücken zum Erliegen kommen.Das seit 1999 bestehende CVE-System dient als standardisierte Methode zur Identifikation und Katalogisierung von Sicherheitslücken in Software und Hardware. Alle großen Unternehmen wie Microsoft, Google, Apple, Intel und AMD nutzen dieses System, um Schwachstellen eindeutig zu kennzeichnen und deren Behebung zu koordinieren. Jede Sicherheitslücke erhält eine einzigartige Kennung nach dem Muster "CVE-XXXX-XXXXX", was die Kommunikation zwischen Sicherheitsexperten weltweit erheblich vereinfacht.
Weitreichende Konsequenzen für die IT-Sicherheit
Wie The Verge berichtet, hat MITRE bestätigt, dass der Vertrag zur Entwicklung, Betrieb und Modernisierung des CVE-Programms am heutigen 16. April ausläuft. Yosry Barsoum, Vizepräsident von MITRE, erklärte, dass die US-Regierung zwar "erhebliche Anstrengungen unternimmt, um MITREs Rolle im Programm zu unterstützen", aber eine Lösung bisher nicht in Sicht sei.Die Konsequenzen eines Ausfalls könnten dramatisch sein. Der Sicherheitsexperte Lukasz Olejnik warnte auf Twitter/X, dass ein Mangel an Unterstützung für das CVE-Programm die Cybersicherheitssysteme weltweit "lähmen" könnte. "Die Folge wird ein Zusammenbruch der Koordination zwischen Anbietern, Analysten und Verteidigungssystemen sein - niemand wird sicher sein, dass sie sich auf dieselbe Sicherheitslücke beziehen", schrieb Olejnik. Seine Befürchtung: "Totales Chaos und eine plötzliche Schwächung der Cybersicherheit auf breiter Front."
Das CVE-Programm hat in seiner 25-jährigen Existenz eine zentrale Rolle in der Sicherheitsbranche eingenommen. Alleine im vergangenen Jahr wurden mehr als 40.000 neue CVE-Einträge veröffentlicht. Vor der Einführung des CVE-Systems bezeichnete jedes Unternehmen Sicherheitslücken mit eigener Terminologie, was zu erheblicher Verwirrung führte. Die historischen CVE-Aufzeichnungen werden zwar weiterhin über GitHub verfügbar sein, aber ohne fortlaufende Finanzierung wird der operative Teil des Programms - einschließlich der Zuweisung neuer CVEs - effektiv zum Erliegen kommen.
Einige Unternehmen versuchen bereits, Vorkehrungen zu treffen. VulnCheck, ein privates Unternehmen für Schwachstelleninformationen, hat laut The Register vorsorglich 1000 CVEs für 2025 reserviert. Dies würde jedoch nur für ein bis zwei Monate ausreichen, da MITRE monatlich zwischen 300 und 600 CVEs ausstellt.
Was meint ihr zu dieser kritischen Situation? Sollte die Sicherheitsbranche selbst die Finanzierung übernehmen oder ist dies eine klare Aufgabe für staatliche Stellen? Teilt eure Gedanken in den Kommentaren!
Zusammenfassung
- Finanzierung des CVE-Programms durch US-Heimatschutzministerium läuft aus
- CVE-System katalogisiert seit 1999 Sicherheitslücken in Hard- und Software
- Große Tech-Unternehmen nutzen CVEs zur eindeutigen Kennzeichnung von Bugs
- Experten warnen vor dramatischen Folgen für die globale Cybersicherheit
- Allein 2024 wurden über 40.000 neue CVE-Einträge veröffentlicht
- Ohne Finanzierung könnte Zuweisung neuer CVEs zum Erliegen kommen
- Privatunternehmen treffen bereits Vorkehrungen für möglichen CVE-Ausfall
Siehe auch:
- Android erhält ein wichtiges Sicherheitsfeature: Neustart nach drei Tagen
- Neue 2FA-Sicherheitsprobleme betreffen auch Gmail und Microsoft
- Experten zweifeln stark an Sicherheit der elektronischen Patientenakte
- BSI warnt: Windows 10 wird nach Oktober 2025 zum Sicherheitsrisiko!
- AMD: Sicherheitslücke in Zen-5-CPUs - Nutzer sollten BIOS updaten
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - vor 45 Minuten -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Heute 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - Gestern 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Vorgestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Vorgestern 12:33 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen