eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA

Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

[datensicherheit.de, 17.04.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat am 16. April 2025 zu dem Auslaufen der Finanzierung für das „CVE-Programm“ genommen – mit dem Wegfall der finanziellen Unterstützung durch die US-Regierung stehe das international etablierte „CVE-Projekt“ nun vor einem kritischen Einschnitt. Die drohende Abschaltung der CVE-Datenbank berge erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit. eco-Vorstand Klaus Landefeld warnt vor den Folgen für die IT-Sicherheitslage und betont die Notwendigkeit einer raschen, koordinierten Übergangslösung. Vor diesem Hintergrund sieht der eco einen „dringenden Handlungsbedarf“ und unterstreicht die zentrale Rolle der CVE-Infrastruktur für die digitale Sicherheit von Wirtschaft und Gesellschaft.

Foto: eco e.V.

Klaus Landefeld: Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft!

eco unterstützt Rettungsinitiativen wie die CVE-Stiftung

Zur Ankündigung des MITRE, die CVE-Datenbank offline zu nehmen, da die finanzielle Unterstützung der US-Regierung beendet wurde, kommentiert Landefeld: „Aus unserer Sicht ist es sehr bedauerlich, dass die US-Regierung das Funding für das ,CVE-Projekt’ des MITRE abrupt einstellt.“ Dieses sei ein wichtiger Baustein für Sicherheit in Software und Produkten, auf welchen sich Unternehmen weltweit verließen.

• Der eco unterstützt daher Rettungsinitiativen wie die CVE-Stiftung, die ihre bereits seit Längerem geplante Gründung vorgezogen hat und künftig regierungsunabhängig arbeiten will. Eine unterbrechungsfreie Sicherstellung des CVE-Systems sei für die Informationssicherheit der Mitgliedsunternehmen des eco von unschätzbarer Bedeutung, unterstreicht Landefeld:

„Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft und dass US-Behörden sich bei der Ausgestaltung dieser Übergangsphase eng mit MITRE austauschen und beispielsweise eine Übergangsregelung finden.“

Wegfall der CVE-Datenbank lässt Unternehmen im Unklaren darüber, ob Sicherheitslücken bereits bekannt sind und bekämpft werden

Der eco befürchtet, dass die Einstellung der Datenbank für Unternehmen und die öffentliche Verwaltung zu einer Herausforderung werden könnte. „Es sind bereits entsprechende Maßnahmen in Vorbereitung. Diese aber beziehen sich teilweise auf das ,CVE-Projekt’ und gehen so ins Leere, oder benötigen deutlich mehr Zeit, um wirksam werden zu können“, so Landefeld.

• Cyber-Sicherheit sei für eco primär eine Aufgabe, welche Unternehmen, Staat und Nutzer nur gemeinschaftlich herstellen könnten, „wenn alle Beteiligten gemäß ihren Kapazitäten, Möglichkeiten und Befugnisse einbringen“. Die Identifizierung und Beseitigung von Sicherheitslücken in Software und IT-Produkten sei ein wichtiger Baustein für Vertrauen und Sicherheit im Netz.

Mit dem bisherigen „CVE-Projekt“ habe eine weltweit einzigartige Datenbank existiert, „die diese Sicherheitslücken katalogisiert und so Unternehmen die Möglichkeit gegeben hat, systematisch dagegen vorzugehen“. Der Wegfall dieser Datenbank lasse Unternehmen im Unklaren darüber, „ob ihre Sicherheitslücken bereits andernorts bekannt sind und bekämpft werden“. Entsprechende Projekte bei der EU-Sicherheitsbehörde ENISA seien bereits angestoßen, würden aber noch einige Monate bis zur Wirksamkeit benötigen.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Vulnerability Disclosure / By setting rules for identifying, fixing, mitigating, and reporting new vulnerabilities before they are exploited, CVD is crucial for protecting users and strengthening cybersecurity in the EU.

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024