Eine schlechte Nachricht für die Cybersicherheit. Die US-Administration unter Präsident Donald Trump hat über deren DOGE-Programm wohl die Finanzierung von MITRE gestoppt, so dass die von dieser Organisation gepflegte CVE-Datenbank, die über Sicherheitslücken informiert, eingestellt werden muss. Nachtrag: Es hat sich eine Lösung gefunden, und die CVE-Datenbank bleibt online.
Anzeige
Ankündigung der MITRE zum 15. April 2025
Mir ist die Information sowohl von Tomas Jakobs im Diskussionsbereich des Blogs untergekommen (danke dafür), als auch über X in privaten Nachrichten berichtet worden. In nachfolgendem Tweet hat ein Benutzer die MITRE-Meldung veröffentlicht, dass die CVE-Datenbank über Schwachstellen am heutigen 16. April 2025 ausläuft und gestoppt wird.
Zum Stichtag läuft der Vertrag von MITRE aus, der die Finanzierung zur Pflege der CVE-Datenbank sicherstellte. Tomas Jakobs schrieb dazu, dass US-Präsident Donald Trump bzw. dessen DOGE-Initiative das CVE-Programm von MITRE dicht gemacht habe. Das sei ein herber Rückschlag für die IT-Security weltweit.
Anzeige
Kurze Zeit später (15. April gegen 22:40 Uhr) bestätigte Brian Krebs die Nachricht vom Ende der CVE-Datenbank. Der Vertrag der MITRE zur Finanzierung durch die US-Regierung wird üblicherweise zum 16. oder 17. April eines jeden Jahres verlängert. Diese Verlängerung hat dieses Jahr nicht stattgefunden, so dass denen das Geld für den Betrieb und die Pflege der Datenbank des Common Vulnerability and Exposures (CVE) Programms sowie des Common Weakness Enumeration (CWE) Programms fehlt.
Bestehende Einträge werden wohl auf GitHub weiterhin verfügbar sein. Aber neue Meldungen zu Schwachstellen werden keine mehr eingepflegt. Gemäß diesem Post auf Mastodon ist die US-Cybersicherheitsbehörde CISA der Hauptsponsor des CVE-Programms (Common Vulnerabilities and Exposure). Das CVE-Programm wird sowohl von der US-Regierung als auch von der Industrie genutzt, um Informationen über Schwachstellen offenzulegen, zu katalogisieren und auszutauschen. Obwohl der Vertrag zwischen CISA und der MITRE Corporation nach dem 16. April 2025 ausläuft, arbeitet die CISA mit Hochdruck daran, die Auswirkungen abzumildern und die CVE-Dienste aufrecht zu erhalten. Wie das ausgeht, ist derzeit offen.
In obigem Tweet schreibt Dennis Kipker, dass die USA gerade im Cybersecurity-Chaos versinken und verweist auf diesen heise-Beitrag, die noch einige Details zusammen getragen haben. Weitere Beiträge sind bei The Register und Reuters abrufbar.
Tomas Jakobs schrieb im Diskussionsbereich: "Die CVE Datenbank zur Recherche ist erstmal weg. Bugs können nur noch von CVE Numbering Authorities (CNAs), BigTechs, Forscher, CERTs, ISPs per API übermittelt werden sofern die Server nicht auch abgeschaltet werden. Sollten diese aber Unternehmen betreffen, die keine CNAs oder CERTs mit Zugang haben, bleiben Schwachstellen halt liegen und werden nicht bearbeitet oder aktualisiert." Da ist man wohl wirklich mit der Abrissbirne unterwegs.
Einige Hintergrundinformationen
Die MITRE Corporation ist eine Organisation zum Betrieb von Forschungsinstituten im Auftrag der Vereinigten Staaten, die durch Abspaltung vom Massachusetts Institute of Technology (MIT) entstanden ist. Sie wird als Non-Profit-Organization geführt. Von der MITRE Corporation werden diverse federally funded Research and Development Centers (FFRDCs) betrieben.
Die MITRE verwaltet zudem die Liste der Common Vulnerabilities and Exposures (CVE) und ist verantwortlich für das ATT&CK-Framework. Beide sind für die weltweite Vernetzung von Leuten im Cyber-Sicherheitsbereich wichtige Anlaufstellen.
Nun hat DOGE die Arbeit von MITRE beendet. Zum Hintergrund: Das Kürzel DOGE steht für Department of Government Efficiency (Abteilung für Regierungseffizienz, offiziell U.S. DOGE Service Temporary Organization). Dies ist eine (von Elon Musk geleitete) Organisation der US-Administration, welche "die Regierungseffizienz und -produktivität erhöhen" sowie staatliche IT-Systeme modernisieren soll. Die Berliner Morgenpost zitiert in diesem aktuellen Beitrag eine Insiderin, die ein vernichtendes Urteil über Elon Musks DOGE fällt. Das Vorhaben sei durch Chaos und Inkompetenz geprägt und die Whistle-Blowerin sieht die USA am Abgrund.
Nachtrag: Es hat sich wohl eine Lösung gefunden
Die Nachricht, dass die MITRE die Pflege der CVE-Datenbank mangels Finanzierung einstellen muss, hat Wellen geschlagen. Es hieß aber, dass die US-Sicherheitsbehörde CISA an einer Lösung arbeite. Nun hat es diese Lösung gegeben.
Laut der Cybersicherheitsbehörde CISA hat die US-Regierung die Finanzierung verlängert. Dies soll sicherstellen, dass die CVE-Programme (Common Vulnerabilities and Exposures) weiter laufen können. Bleeping Computer weist in diesem Artikel auf die neue Entwicklung hin. "Das CVE-Programm ist von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA", erklärte die US-Cybersicherheitsbehörde gegenüber Bleeping Computer. "Gestern Abend hat die CISA die Optionsfrist für den Vertrag ausgeübt, um sicherzustellen, dass die wichtigen CVE-Dienste nicht unterbrochen werden. Wir danken unseren Partnern und Interessengruppen für ihre Geduld."
Anzeige
Das sollte jedem einmal mehr zu denken geben, ob man sich von den USA abhängig machen will.
Wobei ich mir in dem Fall nicht vorstellen kann, dass sich kein "Investor" findet.
solange Musk nicht der Investor wird!
Bis jetzt war es doch bestimmt eine Win-Win Situation, so hatte die CISA immer Zugriff auf akuelle Sicherheitslücken. Ein Schelm sei, der Böses dabei denkt :-)
So weit hat der Mann mit dem "wunderschönen Haar" sicher nicht gedacht.
> So weit hat der Mann mit dem "wunderschönen Haar" sicher nicht gedacht.
Ich halte das für eine Perücke.
Desaster halte ich für die falsche Beschreibung. Die Qualifizierung der Vulnerabilities in der CVE Datenbank war schon immer fragwürdig. Zugleich gilt die radikale Einstufung, daß jede Vulnerability ein Bug ist und gefixt werden muß. Und zwar asap. Es gibt genug Schlangenölverkäufer, die auf Basis von CVE ihr Unwesen treiben. Das scheint nun ein Ende zu haben. Linux ist rechtzeitig abgesprungen und verwaltet seine Vulnerabities selbst und ja, alle sind ein Bug und to be fixed. Ich schreibe aus der Sicht eines Geräteentwicklers und nicht aus der Sicht eines Admins.
> Zugleich gilt die radikale Einstufung, daß jede Vulnerability ein Bug ist und gefixt werden muß. Und zwar asap.
Wer sagt das? Für Geräteentwickler oder Hersteller sicher, aber für Betreiber nicht. Solange mit technischen oder organisatorischen Maßnahmen behandelt, können Systeme wissentlich auch mit bekannten Schwachstellen weiter laufen. Gerade in der Industrie mit alten Anlagen lassen sich Systeme nicht einfach so patchen. asap schon mal gar nicht!
Manchmal frage ich mich, ob der Typ nicht von Russland oder China gekauft ist. Jede menge Zeugs läuft – wenn man es zu Ende denkt – völlig an den Interessen der USA vorbei.
Das hatte ich mir auch schon mal bei Merkel gedacht.
Einfach ausgedrückt: die USA sind pleite.
Trump's Politik könnte als Entschuldung zulasten der US-Büger (Altervorsorge) und der Gläubiger im Rest der Welt interpretiert werden
Es wäre interessant zu wissen wie hoch das Budget für das CVE Programm überhaupt ist?
Im verlinkten heise-Artikel war von geschätzt 4 Millionen US-Dollar/Jahr für MITRE die Rede.
Bei heise stand was von 10 Millionen, die da fehlen.
Ich als EU würde den Laden bei der Gelegenheit mal übernehmen. Wenns wirklich nicht teurer ist, ist das gut investiert.
Danke für die Info!
Die Idee mit dem Übernehmen war im übrigen der Hintergedanke meiner Frage.
Wieso packt man als IT Branche nicht einfach ein wenig was in den Pott und finanziert sich das weiter?
Die Branche nagt ja nicht gerade am Hungertuch…
Weil dann die Gefahr besteht, dass Einfluss genommen wird. Das ist bei einer staatlichen Behörde sicherlich nicht ausgeschlossen, bei einem "privat" finanzierten Dienst wird das aber zu 100% eintreffen, wer mehr zahlt, der bekommt ein wenig mehr "Bedenkzeit" bis das Problem veröffentlich wurde.
Und aufgrund der mangelnden Haftung (= Verantwortung übernehmen) bei schlechter Software, hat die Softwarebranche unmengen an Geld (müssen ja keine Rücklagen bilden) und könnten das Problemlos finanzieren – aber dabei würde man sich ggf. in eigene Fleisch schneiden … :-)
Es ist eher eine Chance, vielleicht zu verstehen, dass man in vielen Dingen sehr abhängig ist, und ein Wake Up Call, endlich mal selbst in die Pötte zu kommen.
Ein CERT-Bund gibt es bereits. Das wäre eine einfache Gelegenheit, in diesem Bereich die Führung zu übernehmen.
Zwar haben viele Vulnerability-Management-Lösungen die API des MITRE (übrigens Eingeweihten schon seit Clifford Stolls "Kuckucksei" bekannt) fest verdrahtet, aber so schwer sollte ein Wechsel trotzdem nicht sein.
https://heise.de/-10354324
Offensichtlich gibt es schon konkrete Ansätze.
Ich sehe da kein Desaster, tendiere auch in diese Richtung:
https://blog.fefe.de/?ts=9901aa7b
Fefe:
"Abgesehen davon: Selbst WENN man davon ausgeht, dass CVEs sinnvoll und nützlich und habenswert sind, wieso macht man sich dann ohne Not von der US-Regierung abhängig? Tausende von Klitschen drucken quasi Geld mit "Threat Intelligence" und Such-Tools, wieso gründen die nicht eine unabhängige Genossenschaft und jeder zahlt da ein paar Dollar ein und fertig?"
Das ist in etwa der Punkt, den ich oben hatte. Es ist ja nun wirklich kein finanzieller unschaffbarer Aufwand, zumal -wie Fefe schreibt- offenbar nicht wenig Geld damit verdient wird.
Allerdings scheint mir das Einstampfen, wenn ich den restlichen Ausführungen von Fefe folge, vielleicht auch gar nicht so verkehrt zu sein. Es entspricht tatsächlich auch meiner Erfahrung in der IT Branche. Es ist einfach ein wunderbares Geschäftsumfeld, um aus jedem Bullshit Geld rauszuziehen, selbst wenn der Grundgedanke mal ehrlich und positiv war, am Ende kippt fast alles in solche Muster.
Die Möglichkeit für eine Risikobewertung schnell nachzuschauen, wieviele offene Schwachstellen eine neu beschaffte Software oder Gerät in Version X hat, das ist jetzt dahin. Das hat Impakt auf jedes zertifizierte Unternehmen.
Hier verschwindet "über Nacht" eine zentrale Anlaufstelle.
Dann ließ bitte mal Fefes Text dazu. Er kritisiert das System ja genau deswegen. Es erzeugt Produkte, die seiner Meinung nach am Ende nicht zu mehr Sicherheit führen, sondern eben primär solche Zertifizierungs-/Compliance Systeme "füttert".
Und auch hier wieder: Wenn es für viele Firmen so wichtig ist und gerade im Bereich Zertifizierung wird ja durchaus recht gut Geld verdient, wieso finanziert man es nicht selber weiter, wenn es ein zentraler Baustein des eigenen Geschäftsmodells ist?
Du verstehst nicht und Fefe womöglich auch nicht.
Wenn jemand mit einem Gerät oder Software X um die Ecke kommt wird im zertifizierten Unternehmen eine Risikobewertung gemacht. Sollte, mir schon klar, dass das nicht überall gelebt wird.
Das hat nix mit Schlangenöl oder einem Cyber-Super-Security-Produkt zu tun, das ist normales Handwerk. Und dazu zählt auch ein Blick auf eingesetzte Versionen und offene Schwachstellen. Diese einfache Möglichkeit ist nun weggefallen.
Wer sich auf die Liste offene Schwachstellen verlassen hat, die dort publiziert sind, der ist verlassen.
Wenn da etwas für gewisse Dienste zu nah an vorhandene Backdoors rankam, tauchte das garantiert nicht da auf.
Diese Macht von Diensten hat man aus der Hand gegeben, wenn jetzt China oder EU das weiterführen, das ist hier der Hauptfehler von Trump.
> Wer sich auf die Liste offene Schwachstellen verlassen hat, die dort publiziert sind, der ist verlassen.
Du schreibst Müll!
Nicht lohnenswert weiter da zu diskutieren.
Offenbar kennen Sie die Realitäten in der IT Welt nicht.
Was nicht ins eigene Weltbild passt, wird einfach von der Diskussion ausgeschlossen, so lebt man schön in seiner Blase weiter. Eine leider zunehmend vorkommende und gesamt sehr bedenkliche Entwicklung auch allgemein in der Gesellschaft.
Ich schlage vor, diesen Sub-Thread jetzt auslaufen zu lassen – der Erkenntnisgewinn für Mitleser ist weniger als marginal. Danke an alle Beteiligten für das Verständnis.
CISA says the U.S. government has extended funding to ensure no continuity issues with the critical Common Vulnerabilities and Exposures (CVE) program.
"The CVE Program is invaluable to cyber community and a priority of CISA," the U.S. cybersecurity agency told BleepingComputer. "Last night, CISA executed the option period on the contract to ensure there will be no lapse in critical CVE services. We appreciate our partners' and stakeholders' patience."
The announcement follows a warning from MITRE Vice President Yosry Barsoum that government funding for the CVE and CWE programs was set to expire today, April 16, potentially leading to widespread disruption across the cybersecurity industry.
Newly launched CVE Foundation
Before CISA's announcement, a group of CVE Board members announced the launch of the CVE Foundation, a non-profit organization established to secure the CVE program's independence in light of MITRE's warning that the U.S. government might not renew its contract for managing the program.
"Since its inception, the CVE Program has operated as a U.S. government-funded initiative, with oversight and management provided under contract," they said in a Wednesday press release. "While this structure has supported the program's growth, it has also raised longstanding concerns among members of the CVE Board about the sustainability and neutrality of a globally relied-upon resource being tied to a single government sponsor."
While the CVE Foundation plans to release further information about its transition planning in the coming days, the next steps remain unclear, especially considering CISA has confirmed that funding for MITRE's contract has been extended.
The European Union Agency for Cybersecurity (ENISA) has also launched a European vulnerability database (EUVD), which "embraces a multi-stakeholder approach by collecting publicly available vulnerability information from multiple sources."
Die Europäer könnten mal ein paar Jahre finanzieren. China auch.
Also, etwas verwundert mich schon sehr: keiner hat sich anscheinend mal
die Mühe gemacht in der Suchmaschine seines Vertrauens den
"Genossen Krasnow", den Fefe in letzter
Zeit öfter bemüht hat, nachzuschlagen,
da tut sich eine Räuberpistole auf,
die natürlich einem Liebhaber von
Verschwörungstheorien gut zu Gesicht
steht: Krasnow war der Deckname
eines angeblich 1987 von Putin
angeworbenen Agenten namens Trump
Also Leute, stellt euch in die Ecke und
schämt euch! April, April. Aber schön.
Lohnt sich übrigens in den Krasnow-
Geschichten ein wenig herumzulesen,
nicht wegen der "Wahrheit", sondern
wegen der Literarizität…
Die Board Mitglieder könnten sich doch mal ihr üppiges Salär gleich von Kasperlerski und Krautstrike zahlen lassen, wäre das nicht ehrlicher als vom Steuerzahler?
250.000$ ist schon ganz ordentlich!
Ich frage mich, was diese gesamte Argumentation hier soll. Es ging im Blog-Beitrag um den Sachverhalt, dass der Betrieb der CVE-Datenbank aus Finanzierungsgründen eingestellt werden könnte. Inzwischen scheint es eine Lösung zu geben. Warum man jetzt die Vergütung von Board-Mitgliedern – oder die als unpassend empfundene Einstufung mancher CVEs beklagt und damit die Einstellung der CVE-Datenbank feiert, erschließt sich mir nicht so ganz. Der Verweis auf CrowdStrike und Kasperky als "Finanziers" erschließt sich mir auch nicht. Vermutlich bin ich da ein zu schlichtes Gemüt – das eine zentrale Anlaufstelle bei MITRE und dem CVE-Projekt als hilfreich für Referenzen empfand. Zig neue, alternative Datenbanken machen die Sache für die Sicherheits-Community nicht gerade einfacher – imho.
Danke! So sieht's aus!
Muß ein Trump erkennen, wenn er sich ins eigene Knie schießt?
Vorher nein! nachher ja!