CVE Foundation gegründet, um die Zukunft des CVE-Programms zu sichern

18. April 2025

Die CVE Foundation wurde offiziell gegründet, um die langfristige Tragfähigkeit, Stabilität und Unabhängigkeit des Common Vulnerabilities and Exposures (CVE)-Programms zu gewährleisten, das seit 25 Jahren eine wichtige Säule der globalen Cybersicherheitsinfrastruktur darstellt.

Seit seiner Gründung wurde das CVE-Programm als eine von der US-Regierung finanzierte Initiative betrieben, deren Aufsicht und Verwaltung im Rahmen eines Vertrags erfolgte. Diese Struktur hat zwar das Wachstum des Programms unterstützt, aber auch bei den Mitgliedern des CVE-Vorstands seit langem Bedenken hinsichtlich der Nachhaltigkeit und Neutralität einer weltweit genutzten Ressource geweckt, die an einen einzigen staatlichen Sponsor gebunden ist.

Diese Bedenken sind nach einem Schreiben von MITRE vom 15. April 2025, in dem der CVE-Vorstand darüber informiert wurde, dass die US-Regierung nicht beabsichtigt, den Vertrag für die Verwaltung des Programms zu verlängern, noch dringlicher geworden. Wir hatten gehofft, dass dieser Tag nicht kommen würde, haben uns aber auf diese Möglichkeit vorbereitet.

Als Reaktion darauf hat eine Koalition langjähriger, aktiver CVE-Vorstandsmitglieder im vergangenen Jahr eine Strategie für die Umwandlung von CVE in eine eigene, gemeinnützige Stiftung entwickelt. Die neue CVE Foundation wird sich ausschließlich auf die Fortsetzung der Mission konzentrieren, hochwertige Schwachstellenidentifizierung zu liefern und die Integrität und Verfügbarkeit von CVE-Daten für Verteidiger weltweit zu gewährleisten.

„CVE ist als Eckpfeiler des globalen Cybersicherheits-Ökosystems zu wichtig, um selbst verwundbar zu sein“, sagte Kent Landfield, ein leitender Mitarbeiter der Stiftung. “Cybersicherheitsexperten auf der ganzen Welt verlassen sich bei ihrer täglichen Arbeit auf CVE-Kennungen und -Daten – von Sicherheitstools und -hinweisen bis hin zu Bedrohungsinformationen und Reaktionen. Ohne CVE sind Verteidiger gegenüber globalen Cyberbedrohungen massiv im Nachteil.“

Die Gründung der CVE Foundation ist ein wichtiger Schritt zur Beseitigung einer einzigen Schwachstelle im Ökosystem des Schwachstellenmanagements und zur Sicherstellung, dass das CVE-Programm eine weltweit vertrauenswürdige, gemeinschaftsorientierte Initiative bleibt. Für die internationale Cybersicherheitsgemeinschaft ist dieser Schritt eine Gelegenheit, eine Governance zu etablieren, die den globalen Charakter der heutigen Bedrohungslandschaft widerspiegelt.

In den kommenden Tagen wird die Stiftung weitere Informationen über ihre Struktur, die Übergangsplanung und Möglichkeiten zur Beteiligung der breiteren Gemeinschaft veröffentlichen.

Der CVE-Vorstand setzt sich aus Mitgliedern von Cybersicherheits-Größen wie Microsoft, Intel, Crowdstrike, Palo Alto, Red Hat, Cisco Systems, GitHub Security Lab sowie Vertretern der CISA und des National Institute of Standards and Technology (NIST) zusammen.

Image by CVE Foundation.