MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025

„CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 17.04.2025] Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, widmet sich in seiner aktuellen Stellungnahme der Finanzierung des „CVE-Programms“ (Common Vulnerabilities and Exposures) sowie verwandter Initiativen wie des „CWE-Programms“ (Common Weakness Enumeration) – diese soll demnach nicht verlängert werden. Diese unklare Zukunft des „CVE-Programms“ sorgt für große Unsicherheit in der IT-Sicherheitsgemeinschaft – insbesondere in Bezug darauf, wie neu entdeckte Schwachstellen künftig erfasst und katalogisiert werden sollen.

Foto: Tenable

Satnam Narang: Tenable behält weitere Entwicklungen im CVE-Umfeld im Auge

Seit 1999 war das „CVE-Programm“ eine tragende Säule der Cyber-Sicherheitslandschaft

Narang kommentiert: „Die angekündigte Einstellung der Finanzierung des ,MITRE CVE-Programms’ hat verständlicherweise Besorgnis unter IT-Sicherheitsexperten und Unternehmen ausgelöst.“

• Er führt aus: „Seit seiner Einführung im Jahr 1999 ist das ,CVE-Programm’ eine tragende Säule der Cyber-Sicherheitslandschaft und hat mit seiner einheitlichen Taxonomie die Nachverfolgung von über 250.000 CVEs bis Ende 2024 ermöglicht.“ Ob die Finanzierung tatsächlich eingestellt wird, sei zwar noch offen – sollte es jedoch dazu kommen, wären die Auswirkungen weitreichend.

Sogenannte CVE Numbering Authorities (CNAs) sind für die Reservierung und Vergabe von CVE-Kennungen zuständig. „Zwar können CNAs CVEs vorab reservieren, doch angesichts der schieren Menge an Schwachstellen ist der Vorrat an verfügbaren Kennungen schnell erschöpft.“

CVE quasi gemeinsame Sprache zur Beschreibung von Schwachstellen und Sicherheitslücken

CVE sei die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. „Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte.“

• Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard drohe ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.

Darüber hinaus biete das „CVE-Programm“ einen zentralen Rahmen zur Nachverfolgung der Vergabe von CVEs, an dem sich viele Unternehmen orientierten. „Wir behalten die weiteren Entwicklungen rund um die mögliche Einstellung der Finanzierung im Auge“, so Narang.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit