Aktuelles, Branche - geschrieben von dp am Donnerstag, April 17, 2025 0:21 - noch keine Kommentare
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
„CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024
[datensicherheit.de, 17.04.2025] Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, widmet sich in seiner aktuellen Stellungnahme der Finanzierung des „CVE-Programms“ (Common Vulnerabilities and Exposures) sowie verwandter Initiativen wie des „CWE-Programms“ (Common Weakness Enumeration) – diese soll demnach nicht verlängert werden. Diese unklare Zukunft des „CVE-Programms“ sorgt für große Unsicherheit in der IT-Sicherheitsgemeinschaft – insbesondere in Bezug darauf, wie neu entdeckte Schwachstellen künftig erfasst und katalogisiert werden sollen.

Foto: Tenable
Satnam Narang: Tenable behält weitere Entwicklungen im CVE-Umfeld im Auge
Seit 1999 war das „CVE-Programm“ eine tragende Säule der Cyber-Sicherheitslandschaft
Narang kommentiert: „Die angekündigte Einstellung der Finanzierung des ,MITRE CVE-Programms’ hat verständlicherweise Besorgnis unter IT-Sicherheitsexperten und Unternehmen ausgelöst.“
- Er führt aus: „Seit seiner Einführung im Jahr 1999 ist das ,CVE-Programm’ eine tragende Säule der Cyber-Sicherheitslandschaft und hat mit seiner einheitlichen Taxonomie die Nachverfolgung von über 250.000 CVEs bis Ende 2024 ermöglicht.“ Ob die Finanzierung tatsächlich eingestellt wird, sei zwar noch offen – sollte es jedoch dazu kommen, wären die Auswirkungen weitreichend.
Sogenannte CVE Numbering Authorities (CNAs) sind für die Reservierung und Vergabe von CVE-Kennungen zuständig. „Zwar können CNAs CVEs vorab reservieren, doch angesichts der schieren Menge an Schwachstellen ist der Vorrat an verfügbaren Kennungen schnell erschöpft.“
CVE quasi gemeinsame Sprache zur Beschreibung von Schwachstellen und Sicherheitslücken
CVE sei die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. „Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte.“
- Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard drohe ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.
Darüber hinaus biete das „CVE-Programm“ einen zentralen Rahmen zur Nachverfolgung der Vergabe von CVEs, an dem sich viele Unternehmen orientierten. „Wir behalten die weiteren Entwicklungen rund um die mögliche Einstellung der Finanzierung im Auge“, so Narang.
Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern
Weitere Informationen zum Thema:
connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.
golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.
datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit
Aktuelles, Experten - Mai 18, 2025 0:59 - noch keine Kommentare
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära
weitere Beiträge in Experten
- Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten
- Sichere und innovative Digitalisierung: TÜV-Verband fordert echten Digitalsprint, klare Zuständigkeiten und starke Partnerschaften
- Die eigene Mobilnummer ist einem Drittel unbekannt
- Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen
- Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam
Aktuelles, Branche, Studien - Mai 15, 2025 0:32 - noch keine Kommentare
Gütesiegel „Made in EU“ genießt laut ESET-Umfrage in Europa und Deutschland hohen Stellenwert
weitere Beiträge in Branche
- Digitale Souveränität: Europas Emanzipation voraus
- Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden
- LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm
- Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können
- Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren