Werbung
Am Morgen des 16. April 2025 sah es noch so aus, als würde dem CVE-Programm, kurz für Common Vulnerabilities and Exposures, die Finanzierung versagt bleiben. Der Vertrag mit dem US-amerikanischen Heimatschutzministerium DHS lief an diesem Tag aus und wurde nicht verlängert. Die Gunst der Stunde witternd formierte sich eine beachtliche Vielzahl an Initiativen und Organisationen, um kurzfristig Alternativen zum potenziellen Ausfall des CVE-Programms zu schaffen.
Auch die europäische Cybersicherheitsbehörde ENISA nutzte die Gelegenheit, um die seit 2024 angekündigte European Vulnerability Database (EUVD) spontan zu veröffentlichen. Die Plattform wurde entgegen der bisherigen Planung ohne Vorwarnung in Betrieb genommen und wird nun aktiv mit Schwachstelleninformationen befüllt. Die Maßnahme erfolgte offenbar als direkter Impuls auf die Stilllegungsankündigung von MITRE, dem langjährigen Betreiber der CVE-Datenbank in den USA. Die EUVD wird von ENISA im Rahmen der NIS2-Richtlinie geführt und soll perspektivisch zur europäischen Standardlösung für Schwachstellenmanagement ausgebaut werden.
Zeitgleich deuteten sich aber Entwicklungen in den USA an, die auf eine kurzfristige Verlängerung des MITRE-Vertrags hindeuteten. Die US-Cybersicherheitsbehörde CISA nutze ein bestehendes Optionsrecht aus, wodurch der Vertrag mit MITRE zumindest vorerst um elf Monate bis zum 15. März 2026 verlängert werden konnte.
Diese Verlängerung wurde zunächst auf einem öffentlichen Regierungsportal mit dem Vermerk "in Bearbeitung" dokumentiert, später dann mit dem Status "Complete" bestätigt. Das Auftragsvolumen beträgt rund 20 Millionen US-Dollar. Allerdings bleiben trotz dieser Verlängerung Unsicherheiten bestehen, insbesondere da MITRE aufgrund anderer gekündigter Verträge rund 442 Mitarbeitende bis Juni 2025 entlassen muss, wie lokale Medien berichteten.
Neben staatlichen Akteuren regten neue zivilgesellschaftliche und internationale Lösungen eine Reform des Systems an. Das luxemburgische CIRCL stellte etwa das Global CVE Allocation System (GCVE) vor, das eine dezentrale Schwachstellenidentifikation ermöglichen soll. Der Ansatz beruht auf einer Erweiterung der CVE-ID-Struktur um eine CNA-Kennung, was die unabhängige Nummernvergabe durch unterschiedliche CVE Numbering Authorities erlaubt. So kann beispielsweise die ID GCVE-1-2024-12345 auf eine vom CIRCL vergebene Schwachstelle hinweisen, während klassische CVEs mit einer vorangestellten Null gekennzeichnet werden können (GCVE-0-2024-xxxxx).
