Die Vorgänge rund um die Schwachstellen-Datenbank und das CVE-Programm erinnern an das Hin- und Her der US-Regierung bei den Zöllen. Deutlich weniger aufsehenerregend für die allgemeine Öffentlichkeit natürlich, aber für die Security-Szene ist das Fortbestehen des Programms eine grosse Sache.

Gestern wurde bekannt, dass die US-Security-Behörde CISA vor wenigen Tagen die Verträge mit der Non-Profit-Organisation Mitre, die das CVE-System betreibt, aufgelöst hat. Damit wäre die Finanzierung des CVE-Programms beendet worden. Nun hat sie einen Rückzieher gemacht. Laut einem Vertrag, der in der Nacht auf heute auf der Regierungswebsite Usaspending aufgetaucht ist, wurde die Finanzierung bis zum 16. April 2026 verlängert. Das Department of Homeland Security, zu dem die CISA gehört, sichert Mitre mindestens 20 Millionen Dollar zur Weiterführung des Programms zu.

Das ist schön und gut. Aber wie bei den Zöllen, wo man nicht weiss, was nach dem Ablaufen der 90-Tage-Gnadenfrist passiert, weiss man auch nicht, wie es in einem Jahr für das CVE-Programm weitergeht. Internationale Alternativen, die nicht von den Launen der Trump-Administration abhängig sind, tun daher Not. Unter anderem versucht die vorgestern in aller Eile gegründete CVE Foundation, eine Industrieallianz oder eine finanzkräftige Stiftung auf die Beine zu stellen, die die längerfristige Finanzierung sichert.

Eine europäische Alternative soll die European Union Vulnerability Database darstellen. Wie 'Heise' berichtet, wurde sie von der EU-Cybersicherheitsbehörde Enisa schon im vergangenen Juni angekündigt. Anfang April sei die Datenbank kurz testweise online gegangen, aber nur für wenige Stunden. Nach der Nachricht von gestern aber habe sich die Enisa wohl dazu entschieden, schnell "Nägel mit Köpfen" zu machen und die Datenbank sofort online zu stellen.

An einer weiteren Alternative arbeitet laut 'Heise' das Security Response Team von Luxemburg (CIRCL). Dessen "Global CVE Allocation System" (GCVE) solle eine dezentrale Vergabe von Schwachstellen-Nummern erlauben und gleichzeitig CVE-kompatibel bleiben.

Auch die Luxemburger haben gestern schnell reagiert und flugs die Website für das GCVE online gestellt. Diese ist zwar noch ziemlich inhaltsleer, aber immerhin wird erklärt, wie die GCVE-Nummern vergeben werden und wie sie aussehen sollen. Wie beim CVE-System soll es demnach anerkannte Partner, sogenannte GCVE Numbering Authorities (GNAs) geben, welche Nummern vergeben dürfen. Diese sollen aber unabhängiger sein als bisher und in ihrem eigenen Tempo und nach eigenen Regeln arbeiten dürfen. Die GCVE-Nummern sollen einerseits die nach den traditionellen Regeln gebildete CVE-Nummer beinhalten sowie zusätzlich die Nummer der GNAs, die diese vergeben haben.