Aktuelles, Branche - geschrieben von dp am Donnerstag, April 17, 2025 0:21 - noch keine Kommentare
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
„CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024
[datensicherheit.de, 17.04.2025] Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, widmet sich in seiner aktuellen Stellungnahme der Finanzierung des „CVE-Programms“ (Common Vulnerabilities and Exposures) sowie verwandter Initiativen wie des „CWE-Programms“ (Common Weakness Enumeration) – diese soll demnach nicht verlängert werden. Diese unklare Zukunft des „CVE-Programms“ sorgt für große Unsicherheit in der IT-Sicherheitsgemeinschaft – insbesondere in Bezug darauf, wie neu entdeckte Schwachstellen künftig erfasst und katalogisiert werden sollen.

Foto: Tenable
Satnam Narang: Tenable behält weitere Entwicklungen im CVE-Umfeld im Auge
Seit 1999 war das „CVE-Programm“ eine tragende Säule der Cyber-Sicherheitslandschaft
Narang kommentiert: „Die angekündigte Einstellung der Finanzierung des ,MITRE CVE-Programms’ hat verständlicherweise Besorgnis unter IT-Sicherheitsexperten und Unternehmen ausgelöst.“
- Er führt aus: „Seit seiner Einführung im Jahr 1999 ist das ,CVE-Programm’ eine tragende Säule der Cyber-Sicherheitslandschaft und hat mit seiner einheitlichen Taxonomie die Nachverfolgung von über 250.000 CVEs bis Ende 2024 ermöglicht.“ Ob die Finanzierung tatsächlich eingestellt wird, sei zwar noch offen – sollte es jedoch dazu kommen, wären die Auswirkungen weitreichend.
Sogenannte CVE Numbering Authorities (CNAs) sind für die Reservierung und Vergabe von CVE-Kennungen zuständig. „Zwar können CNAs CVEs vorab reservieren, doch angesichts der schieren Menge an Schwachstellen ist der Vorrat an verfügbaren Kennungen schnell erschöpft.“
CVE quasi gemeinsame Sprache zur Beschreibung von Schwachstellen und Sicherheitslücken
CVE sei die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. „Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte.“
- Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard drohe ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.
Darüber hinaus biete das „CVE-Programm“ einen zentralen Rahmen zur Nachverfolgung der Vergabe von CVEs, an dem sich viele Unternehmen orientierten. „Wir behalten die weiteren Entwicklungen rund um die mögliche Einstellung der Finanzierung im Auge“, so Narang.
Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern
Weitere Informationen zum Thema:
connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.
golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.
datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren