Die US-Regierung hat äusserst abrupt die Finanzierung für die von der Non-Profit-Organisation Mitre geführte CVE-Datenbank gestrichen. Dies wurde bekannt, nachdem ein Brief an Mitglieder des Mitre-Verwaltungsrats auf Bluesky geleakt wurde.

In diesem recht zwiespältig formulierten Brief heisst es, dass die "aktuellen Verträge mit Mitre zur Entwicklung, zum Betrieb und zur Modernisierung von CVE" am 16. April, also heute, auslaufen werden. Sollte man den Service unterbrechen müssen, schreibt Yosry Barsoum, hätte dies vielfältige Auswirkungen auf die Datenbank und für ihre Nutzer. Die Regierung mache aber weiterhin "grosse Anstrengungen", um die Rolle von Mitre im Programm aufrecht zu erhalten.

Auf Anfrage von 'The Register' äusserte sich Barsoum wesentlich deutlicher. Am 16. April ende die Finanzierung für das CVE- und verwandte Programme, erklärte er klipp und klar.

Das CVE-System sei ein Grundpfeiler der Cybersecurity, kommentierte Katie Moussouris. Sie hat bei Microsoft das Programm des Softwareriesen zur Offenlegung von Schwachstellen initiiert und ist heute CEO von Luta Security. "Jegliche Unterbrechung des Betriebs würde eine unakzeptable Gefahr für unsere kritischen Infrastrukturen und unsere nationale Sicherheit bedeuten." Weltweit würden sich Organisationen auf die CVE-Nummern verlassen, um mit Security-Bedrohungen umzugehen. Ein abrupter Stopp wäre, als ob man alle Security-Unternehmen ins Wasser wirft und erwartet, dass ihnen spontan Kiemen wachsen, so Moussouris.

In der Schweiz wurde das Nationale Zentrum für Cybersicherheit (NCSC) 2021 von Mitre dazu ermächtigt, CVE-Nummern zu vergeben. Auf unsere Anfrage nach einem Kommentar hat uns das Bundesamt für Cybersicherheit (Bacs), die Nachfolgeorganisation des NCSC, ein kurzes Statement geschickt. Es habe Kenntnis von den Vorgängen im Zusammenhang mit der Schwachstellendatenbank, so das Bacs, und beobachte die Entwicklung aufmerksam. Das Bacs habe Mitre für weitergehende Informationen kontaktiert und auch Unterstützung angeboten.

CVE steht für "Common Weakness Enumeration". Die grundlegende Funktion der mittlerweile 25 Jahre alten CVE-Datenbank ist es, weltweit für eine einheitliche Sprachregelung bezüglich Sicherheitslücken zu sorgen. Lücken in Soft- oder Hardware werden von einigen hundert CVE-Programm-Partnern weltweit geprüft. Sind sie neu, erhalten sie von ihnen eine eindeutige CVE-Nummer und kommen in die Datenbank. So wissen Security-Forscher sowie Security-Leute von grossen und kleinen Unternehmen immer genau, über welche Schwachstelle sie diskutieren, und können sich einfach darüber informieren, ob sie betroffen sein könnten.

Vor 25 Jahren war das noch ganz anders, wie sich Dustin Childs, Security-Experte bei Trend Micro erinnert. "Ich arbeite schon länger in der Branche, als es CVEs gibt, und kann mit Sicherheit sagen: Das wird nicht gut sein", erklärte er dem 'Register'. "Vorher hatte jedes Unternehmen seine eigenen Bezeichnungen für Schwachstellen. Kunden waren verwirrt darüber, ob sie von einer bestimmten Schwachstelle betroffen oder dagegen geschützt waren. Und damals gab es ja noch viel weniger Security-Unternehmen und unendlich viel weniger Sicherheitslücken." Wenn das CVE-Programm nicht weitergehe, werde die Verwirrung zurückkehren, bis es jemand anders übernimmt. Aber wer könnte das sein?

Das Programm wurde bisher von der US-Sicherheitsbehörde CISA finanziert, die Teil des Departments of Homeland Security ist. Wer könnte einspringen, wenn die US-Regierung den Entschluss nicht überdenkt und ihre Gelder tatsächlich längerfristig wegfallen?

Die einzig denkbare Alternative wäre wohl eine Industrieallianz von Unternehmen der Security-Branche. Allerdings: Wie lange würde es dauern, bis sich die Konkurrenten zusammenraufen, Differenzen beilegen und regeln, wer wie viel bezahlen muss (oder darf)? Laut einem Bericht von 'Cyber Security News' ist auch bereits vor wenigen Stunden eine CVE Stiftung gegründet worden, die das Weiterbestehen sichern soll. Dies aufgrund einer Initiative von "Veteranen aus dem CVE-Beirat". Allerdings werden noch keine Mitglieder erwähnt.

Eine Finanzierung durch Spenden à la Wikipedia scheint kaum denkbar. Vielleicht käme Anfangs einiges Geld zusammen, aber eine langfristige Stabilität wäre so kaum gegeben.