MITRE CVE Program: Abschaltung verhindert

Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

[datensicherheit.de, 18.04.2025] Laut verschiedener aktueller Medienberichte soll das „CVE Program“ von MITRE nun doch weiter finanziert werden, wodurch eine befürchtete Abschaltung verhindert werden kann. Im Vorfeld der drohenden Einstellung zum 16. April 2025 hatte die Meldung zu großer Sorge in der Informationssicherheitsbranche geführt – befürchtet wurde, dass Aufdeckung und Dokumentation von Software-Schwachstellen künftig komplizierter hätten werden können. Unklar sei indes, was genau zwischen der ursprünglichen MITRE-Warnung über den Wegfall der Finanzierung und der CISA-Entscheidung zur Fortführung geschehen ist.

CISA verlängert Finanzierung um elf Monate

Demnach wird die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) die Finanzierung doch verlängern – zumindest werde diese für einen weiteren Zeitraum von elf Monaten erfolgen.

MITRE hatte vor Kurzem gewarnt, dass die Finanzierung des Programms „Common Vulnerabilities and Exposures“ am 16. April 2025 auslaufen würde. Dieses von der US-Regierung finanzierte Programm gilt als ein entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern, welche von Cyber-Kriminellen missbraucht werden könnten.

Drohende Lücke in den kritischen CVE-Diensten soll vermieden werden

„Das CVE-Programm ist von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA“, soll ein Sprecher der CISA gegenüber dem Webmagazin „CYBERSECURITY DIVE“ bekundet haben. Deshalb werde die CISA nun sicherstellen, eine drohende Lücke in den kritischen CVE-Diensten zu vermeiden.

Informationssicherheitsexperten hatten gewarnt, dass eine Unterbrechung der Finanzierung sonst zu massiven Verzögerungen bei der Offenlegung von Schwachstellen führen und ein weites Fenster für die Ausnutzung von Softwarefehlern offen lassen könnte.

Weitere Informationen zum Thema:

heise online, Dr. Christopher Kunz, 17.04.2025
CVE-Aus abgewendet / Schwachstellendatenbank der EU geht an den Start / Entscheidung in letzter Minute – offenbar geht der Vertrag zwischen CISA und MITRE in die Verlängerung. Mehrere Initiativen präsentieren derweil Alternativen.

CYBERSECURITY DIVE, David Jones, 16.04.2025
Mitre CVE program regains funding as renewal deal reached / The information security industry feared a lapse would lead to industrywide exposures of software vulnerabilities

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit