Aktuelles, Experten - geschrieben von dp am Donnerstag, April 17, 2025 0:22 - noch keine Kommentare
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA
Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit
[datensicherheit.de, 17.04.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat am 16. April 2025 zu dem Auslaufen der Finanzierung für das „CVE-Programm“ genommen – mit dem Wegfall der finanziellen Unterstützung durch die US-Regierung stehe das international etablierte „CVE-Projekt“ nun vor einem kritischen Einschnitt. Die drohende Abschaltung der CVE-Datenbank berge erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit. eco-Vorstand Klaus Landefeld warnt vor den Folgen für die IT-Sicherheitslage und betont die Notwendigkeit einer raschen, koordinierten Übergangslösung. Vor diesem Hintergrund sieht der eco einen „dringenden Handlungsbedarf“ und unterstreicht die zentrale Rolle der CVE-Infrastruktur für die digitale Sicherheit von Wirtschaft und Gesellschaft.

Foto: eco e.V.
Klaus Landefeld: Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft!
eco unterstützt Rettungsinitiativen wie die CVE-Stiftung
Zur Ankündigung des MITRE, die CVE-Datenbank offline zu nehmen, da die finanzielle Unterstützung der US-Regierung beendet wurde, kommentiert Landefeld: „Aus unserer Sicht ist es sehr bedauerlich, dass die US-Regierung das Funding für das ,CVE-Projekt’ des MITRE abrupt einstellt.“ Dieses sei ein wichtiger Baustein für Sicherheit in Software und Produkten, auf welchen sich Unternehmen weltweit verließen.
- Der eco unterstützt daher Rettungsinitiativen wie die CVE-Stiftung, die ihre bereits seit Längerem geplante Gründung vorgezogen hat und künftig regierungsunabhängig arbeiten will. Eine unterbrechungsfreie Sicherstellung des CVE-Systems sei für die Informationssicherheit der Mitgliedsunternehmen des eco von unschätzbarer Bedeutung, unterstreicht Landefeld:
„Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft und dass US-Behörden sich bei der Ausgestaltung dieser Übergangsphase eng mit MITRE austauschen und beispielsweise eine Übergangsregelung finden.“
Wegfall der CVE-Datenbank lässt Unternehmen im Unklaren darüber, ob Sicherheitslücken bereits bekannt sind und bekämpft werden
Der eco befürchtet, dass die Einstellung der Datenbank für Unternehmen und die öffentliche Verwaltung zu einer Herausforderung werden könnte. „Es sind bereits entsprechende Maßnahmen in Vorbereitung. Diese aber beziehen sich teilweise auf das ,CVE-Projekt’ und gehen so ins Leere, oder benötigen deutlich mehr Zeit, um wirksam werden zu können“, so Landefeld.
- Cyber-Sicherheit sei für eco primär eine Aufgabe, welche Unternehmen, Staat und Nutzer nur gemeinschaftlich herstellen könnten, „wenn alle Beteiligten gemäß ihren Kapazitäten, Möglichkeiten und Befugnisse einbringen“. Die Identifizierung und Beseitigung von Sicherheitslücken in Software und IT-Produkten sei ein wichtiger Baustein für Vertrauen und Sicherheit im Netz.
Mit dem bisherigen „CVE-Projekt“ habe eine weltweit einzigartige Datenbank existiert, „die diese Sicherheitslücken katalogisiert und so Unternehmen die Möglichkeit gegeben hat, systematisch dagegen vorzugehen“. Der Wegfall dieser Datenbank lasse Unternehmen im Unklaren darüber, „ob ihre Sicherheitslücken bereits andernorts bekannt sind und bekämpft werden“. Entsprechende Projekte bei der EU-Sicherheitsbehörde ENISA seien bereits angestoßen, würden aber noch einige Monate bis zur Wirksamkeit benötigen.
Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern
Weitere Informationen zum Thema:
enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Vulnerability Disclosure / By setting rules for identifying, fixing, mitigating, and reporting new vulnerabilities before they are exploited, CVD is crucial for protecting users and strengthening cybersecurity in the EU.
connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.
golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.
datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024
Aktuelles, Experten - Mai 18, 2025 0:59 - noch keine Kommentare
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära
weitere Beiträge in Experten
- Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten
- Sichere und innovative Digitalisierung: TÜV-Verband fordert echten Digitalsprint, klare Zuständigkeiten und starke Partnerschaften
- Die eigene Mobilnummer ist einem Drittel unbekannt
- Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen
- Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam
Aktuelles, Branche, Studien - Mai 15, 2025 0:32 - noch keine Kommentare
Gütesiegel „Made in EU“ genießt laut ESET-Umfrage in Europa und Deutschland hohen Stellenwert
weitere Beiträge in Branche
- Digitale Souveränität: Europas Emanzipation voraus
- Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden
- LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm
- Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können
- Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren