Cybersicherheit: USA setzen Finanzierung des CVE-Programms doch fort

Am heutigen Mittwoch endet die zwischen der US-Regierung und dem gemeinnützigen Unternehmen MITRE geschlossene Vereinbarung zur Finanzierung des CVE-Programms. Das US-Ministerium für Innere Sicherheit hatte den Vertrag nicht verlängern wollen. Dies könnte zumindest mittel- und langfristig zu deutlichen Auswirkungen führen.

Wichtige Finanzmittel laufen heute aus

Das CVE-Programm (Common Vulnerabilities and Exposures) verfolgt das Ziel, erkannte Schwachstellen in Software und Hardware systematisch zu katalogisieren. Mit diesen bereitgestellten Informationen unterstützt es Unternehmen dabei, ihre Sicherheitsvorkehrungen zu verbessern. Für diese Aufgaben ist MITRE jedoch auf externe Finanzmittel angewiesen. „Am Mittwoch, den 16. April, läuft die Finanzierung von MITRE für die Entwicklung, den Betrieb und die Modernisierung des Common Vulnerabilities and Exposures Program und damit verbundener Programme wie dem Common Weakness Enumeration Program aus“, erklärte Yosry Barsoum, MITREs Vizepräsident und Direktor des Center for Securing the Homeland, gegenüber The Register.

Fehlende Gelder können massive Auswirkungen haben

Über Jahre hinweg stellte die unter dem Dach des US-Ministeriums für Innere Sicherheit angesiedelte Agentur für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) einen Großteil der finanziellen Mittel bereit. Diese Unterstützung wurde am Dienstagabend offiziell eingestellt, nachdem die Organisation bekannt gegeben hatte, dass das Ministerium die Vereinbarung nicht verlängern werde. Das Wegfallen dieser Gelder könnte dazu führen, dass das standardisierte System zur Benennung und Nachverfolgung von Schwachstellen ins Stocken gerät oder im schlimmsten Fall eingestellt werden muss, sofern keine Ersatzfinanzierung erfolgt. In einem solchen Szenario würden neue CVE-Einträge nicht mehr veröffentlicht und auch das Online-Portal des Programms könnte abgeschaltet werden. Dies beträfe ebenfalls die Common Weakness Enumeration (CWE), eine Liste häufiger Software- und Hardwareschwachstellen, die sicherheitsrelevante Probleme verursachen können.

Zwar rechnet der Bericht nicht mit einem sofortigen Zusammenbruch der internationalen Arbeit im Bereich Schwachstellen-Management, ohne weitere finanzielle Unterstützung könnte dieser Fall jedoch innerhalb weniger Wochen eintreten. Die Auswirkungen auf die globale Cybersicherheit wären erheblich: Forscher oder Organisationen, die Sicherheitslücken entdecken, könnten andere Experten nicht mehr um eine Einschätzung der gemeldeten Schwachstelle bitten und diese nicht mehr mit einer eindeutigen CVE-Kennung versehen. Unternehmen wären zudem nicht mehr in der Lage, verlässliche Informationen über mögliche Schwachstellen in ihrer IT-Infrastruktur zu erhalten. Allein im vergangenen Jahr konnten durch das CVE-Programm mehr als 40.000 Sicherheitslücken erfasst, aufbereitet und dokumentiert werden. Das zeigt, wie wichtig die Arbeit des CVE-Programms für Unternehmen ist.

Branche in Aufruhr

Laut Barsoum plant die US-Regierung zwar weiterhin erhebliche Bemühungen, um die Beteiligung von MITRE an dem Programm zu gewährleisten und auch MITRE selbst sieht sich nach wie vor dem CVE als globale Ressource verpflichtet – die gestrichenen Finanzmittel sorgen dennoch für erhebliche Unruhe in der IT-Branche: „CVE ist ein Eckpfeiler der Cybersicherheit, und jede Lücke in der CVE-Unterstützung stellt ein inakzeptables Risiko für unsere kritische Infrastruktur und die nationale Sicherheit dar“, erklärte Katie Moussouris, Gründerin und CEO von Luta Security, das sich insbesondere durch seine Arbeit bei der Offenlegung von Sicherheitslücken bei Microsoft hervorgetan hat. Alle Branchen weltweit sind ihrer Meinung nach bei der Bewältigung von Bedrohungen auf das CVE-Programm angewiesen. „Ein abrupter Stopp wie dieser wäre so, als würde man der Cybersicherheitsbranche den Sauerstoff entziehen und erwarten, dass ihr spontan Kiemen sprießen“, ergänzte Moussouris.

Auch Dustin Childs, Leiter der Abteilung für Bedrohungsbewusstsein bei der Zero Day Initiative von Trend Micro, äußerte sich mit düsteren Worten: „Da ich schon länger in dieser Branche tätig bin als die CVEs selbst, kann ich sagen, dass es nicht gut sein wird“, sagte er gegenüber The Register. Vor Einführung des CVE-Systems habe jedes Unternehmen Sicherheitslücken in einer eigenen Sprache beschrieben, „die Kunden waren verwirrt darüber, ob sie von einem bestimmten Bug geschützt oder betroffen waren. Und es war eine Zeit, in der es viel weniger Unternehmen und unendlich viel weniger Bugs gab“.