Seit 2005 betreibt das National Institute of Standards and Technology (NIST) in den USA eine Datenbank für Schwachstellen. Die
National Vulnerability Database (NVD) umfasst über 250'000 Sicherheitslücken mit CVE-Nummern und Bewertungen. Sie ist eine wichtige Quelle für Security-Expertinnen und -Experten weltweit.
Doch in der Datenbank sammeln sich immer mehr Lücken an, die auf eine Analyse warten. Es handle sich um einen "grossen Bearbeitungsrückstand", berichtete 'Nextgov'. Nach derzeitigem Stand würden bis Ende 2024 noch fast 30'000 gemeldete Schwachstellen auf ihre Verarbeitung in der NVD warten. Ende Mai habe NIST deshalb einer US-Security-Firma einen Auftrag erteilt, um die Überlastung zu beseitigen.
"Wir sind wieder dabei, eingehende CVEs zu verarbeiten", sagte ein NIST-Sprecher gegenüber
'Nextgov'. Die Behörde plane, den Rückstand in Abstimmung mit der Cybersecurity and Infrastructure Security Agency (CISA) aufzuarbeiten. Diese Massnahme sei aber aktuell noch nicht vollständig umgesetzt, so der Sprecher.
Rückstand kann Auswirkungen auf Produkte-Hersteller haben
Auch Schweizer Security-Experten wissen vom Stau in der Datenbank. Vom Bundesamt für Cybersicherheit (Bacs) heisst es auf unsere Anfrage: "Ja, dieser Umstand ist dem Bacs bekannt." NIST mache eine eigene, unabhängige Prüfung und Beurteilung jeder publizierten CVE. "Aufgrund der Menge der CVEs gab es Verzögerungen bei der Bearbeitung der Schwachstellen über die letzten Monate hinweg. Das NIST hat angekündigt, bei der Bearbeitung der Schwachstellen vorläufig eine Priorisierung vorzunehmen."
Der Rückstand in der NVD könne durchaus Auswirkungen auf bestimmte Organisationen oder Produkte-Hersteller haben, schreibt das Bacs. "Insbesondere auf diejenigen, die die NIST-Datenbank als Quelle nutzen." Der Schweregrad-Score (CVS) existiere weiterhin, werde jedoch nicht mehr so schnell von NIST geprüft wie früher. "Dies könnte dann grössere Auswirkungen haben, wenn jemand auf diese Daten angewiesen ist, um Warnungen und Advisories herauszugeben."
Nicht nur die NVD-Datenbank nutzen
Security-Experten in der Schweiz weisen darauf hin, dass die NVD zwar wichtig, aber nicht die einzige Datenbank für Lücken sei. "Das Problem ist uns zwar bekannt, wir referenzieren uns bei unserer täglichen Arbeit aber nicht auschliesslich auf diese Quelle", heisst es von Infoguard. Andere erwähnen unter anderem die
Common Vulnerabilities and Exposures (CVE) von Mitre, die
Open Source Vulnerability Database (OSVDB), die
Exploit Database (ExploitDB) und die Vulnerability Database von Produkt-CERTs, die sie nutzen.
"Unsere Empfehlung ist grundsätzlich, dass man den Fokus auf die Erkennung von Angriffsanzeichen legen soll", erklärt Infoguard. Schwachstellen werde es immer geben und sich deshalb "nur" auf die Behebung dieser zu fokussieren, sei nicht ausreichend.
Keinen Einfluss auf operative Arbeit des Bacs
Das Problem bei NIST habe keinen direkten operativen Einfluss auf die Arbeit des Bacs, betont auch das Bundesamt. "Das CVE-Programm wird von der Organisation Mitre geführt und nicht von NIST." Die US-Behörde überprüfe "CVEs unabhängig von CVE Numbering Authorities, wie das Bacs eine ist, um zu beurteilen, ob die Schwere korrekt festgelegt wurde, basierend auf einer externen Perspektive".
Seit September 2021 kann auch die Schweizer Behörde
CVE-Nummern vergeben. "Im Falle des Bacs hat NIST die von uns veröffentlichten CVEs überprüft, dies hatte jedoch keinen direkten Einfluss auf unsere Bewertung oder den Veröffentlichungsprozess", schreibt das Bundesamt. NIST führe "sozusagen eine externe Qualitätsprüfung" durch, welche durch die hohe Anzahl pendenter Schwachstellen aktuell verzögert sei.
Zwar würde oft darauf hingewiesen, dass der Rückstand der US-Datenbank ein grosses Problem für das CVE-Ökosystem darstellt. Dies treffe aber vor allem auf Schwachstellen zu, die ausserhalb der Bekanntgaben durch CVE Numbering Authorities veröffentlicht werden. "Auf CVE-Veröffentlichungen etablierter CNAs haben die Verzögerungen bei NIST keine Auswirkungen", so das Bacs.
Das Bacs zu Schwachstellen
Die Anzahl von gefundenen Schwachstellen und deren Ausnutzung nimmt stetig zu. Dies zeigt laut Bacs auch die zunehmende Anzahl der gemeldeten Cybervorfälle. "Mit der Einführung der Meldepflicht von Cybervorfällen für kritische Infrastrukturen in der Schweiz ab dem nächsten Jahr wird das Bacs ein noch besseres Lagebild erstellen können." Grundsätzlich gebe es eine Vielzahl von Massnahmen, und es brauche zwingend die Zusammenarbeit und Unterstützung verschiedener Stellen und Akteure, erklärt das Bundesamt.
"Dazu gehören unter anderem die Verantwortung der Produkte-Hersteller, die Sensibilisierung und das Know-how bei Unternehmen und deren verantwortlichen Organe, unabhängige Sicherheitsforschende und Institute, Regierungsstellen und Regulatoren." Das Bacs habe bereits Erfahrung als koordinative Stelle innerhalb des Coordinated Vulnerability Disclosure Prozesses, in dem Meldungen zu Schwachstellen zwischen Meldenden und Herstellern koordiniert werden. "Im Rahmen der Aktualisierung des Informationssicherheitsgesetzes (ISG) wird das Bacs diese Rolle ab dem nächsten Jahr noch stärker wahrnehmen können, indem wir vermehrt öffentlich informieren und Warnungen aussprechen."