Finanzierung von MITREs CVE durch die US-Regierung endet am 16. April

Finanzierung des CVE-Programms von MITRE steht vor dem Aus – Cybersicherheitswelt in Alarmbereitschaft

Die Zukunft eines der zentralen Pfeiler der globalen Cybersicherheit ist ungewiss: Die Finanzierung des renommierten CVE-Programms (Common Vulnerabilities and Exposures), das von der gemeinnützigen Organisation MITRE betrieben wird, läuft am Mittwoch aus. Eine Entscheidung, die weitreichende Folgen für das weltweite Management von IT-Sicherheitslücken haben könnte.

Seit über 25 Jahren dient das CVE-System als international anerkannter Standard zur Identifikation, Kategorisierung und Veröffentlichung von Sicherheitslücken – ein unverzichtbares Werkzeug für Unternehmen, Behörden und Sicherheitsforscher.

„Die Mittel für die Entwicklung, den Betrieb und die Weiterentwicklung von CVE sowie verwandter Programme wie der Common Weakness Enumeration (CWE) werden eingestellt“, erklärte Yosry Barsoum, Vizepräsident von MITRE und Direktor des Center for Securing the Homeland (CSH).

Was das Auslaufen der staatlichen Finanzierung konkret für die Zukunft des Programms bedeutet, ist derzeit noch unklar – fest steht jedoch: Ein möglicher Stillstand könnte gravierende Auswirkungen auf das weltweite Cybersicherheits-Ökosystem haben.

 

In einem Schreiben des Vizepräsidenten von MITRE, Yosry Barsoum, wird darauf hingewiesen, dass die Finanzierung des CVE-Programms am 16. April 2025 ausläuft.

CVE und CWE: Die unsichtbare Infrastruktur der Cybersicherheit

Für Außenstehende mag es unscheinbar wirken, doch in der Welt der Cybersicherheit spielen die Programme CVE (Common Vulnerabilities and Exposures) und CWE (Common Weakness Enumeration) eine zentrale Rolle. Sie bilden das Rückgrat eines global vernetzten Systems zur Erkennung und Bekämpfung von Sicherheitslücken.

Das CVE-Programm vergibt eindeutige Kennungen für öffentlich gemeldete Softwareschwachstellen. Diese standardisierte Benennung erleichtert es Sicherheitsforschern, Softwareherstellern und IT-Teams weltweit, effektiv zu kommunizieren, Bedrohungen einzuordnen und Prioritäten bei der Fehlerbehebung zu setzen. Das ergänzende CWE-Programm geht einen Schritt weiter und kategorisiert die zugrunde liegenden Codierungsfehler, die Sicherheitslücken überhaupt erst möglich machen.

Gemeinsam ermöglichen CVE und CWE eine reibungslose Zusammenarbeit in der Cybersicherheitsbranche: Vom automatisierten Schwachstellenscan bis zum Patch-Management und der Bedrohungsanalyse – tausende Sicherheitswerkzeuge und Prozesse sind auf aktuelle CVE-Daten angewiesen. Softwareanbieter nutzen CVE-Nummern für Sicherheitswarnungen und koordinierte Offenlegungen, während Sicherheitsteams damit Risiken bewerten und Gegenmaßnahmen einleiten. Auch staatliche Stellen wie die US-Behörde CISA oder das Verteidigungsministerium stützen sich auf CVEs als zentrales Element ihrer Abwehrstrategien.

Ohne diese Systeme würde das globale Cybersicherheitsnetz empfindlich ins Wanken geraten.

Zwar betont MITRE sein fortwährendes Engagement für die Programme, weist jedoch zugleich auf die ernsten Konsequenzen hin: Ohne Anschlussfinanzierung würden neue CVE-Zuweisungen faktisch gestoppt – ein Prozess, der für die globale Cybersicherheitslandschaft von zentraler Bedeutung ist.

Historische CVE-Daten bleiben laut MITRE weiterhin über GitHub zugänglich. Doch der operative Stillstand hätte weitreichende Folgen: Die Identifikation, Kategorisierung und Kommunikation neuer Bedrohungen könnte weltweit ins Stocken geraten – mit potenziell gravierenden Auswirkungen auf das gesamte Cybersicherheits-Ökosystem.

Laut MITRE laufen die Verhandlungen mit der US-Regierung weiterhin, und die Organisation bekräftigt ihr Engagement für das CVE-Programm. Doch mit dem nahenden Vertragsende wird der Handlungsspielraum immer kleiner – und selbst eine vorübergehende Lücke könnte gravierende Auswirkungen haben.

---

Bild/Quelle: https://depositphotos.com/de/home.html