Die Mutter aller Schwachstellendatenbanken, die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation, könnte in den nächsten Stunden offline gehen. Denn die US-Regierung verlängert die Finanzierung nicht. CVE ist elementar für Kooperation im Bereich IT-Sicherheit. Dank CVE erhalten gemeldete Sicherheitslücken eine eindeutige Nummer, anhand der alle Beteiligten sicherstellen können, dass sie vom selben Problem sprechen.
In einem kurzen, internen Schreiben warnt MITRE vor einem "Zerfall" der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) samt der zugehörigen Warnungen und Ratschläge. Ebenso betroffen wären Sicherheitsprodukte aller Provenienz, Maßnahmen zur Abwehr von IT-Angriffen und schließlich alle Arten Kritischer Infrastruktur. Die NVD baut auf CVE auf und reichert diese mit detaillierten Bedrohungsinformationen, Hinweisen zu verfügbaren Updates und sonstigen Handlungsempfehlungen an. IT-Sicherheitsverantwortliche, aber beispielsweise auch Journalisten wie wir von heise security, nutzen die NVD zum Nachschlagen aktueller Bedrohungsdetails.
Erst im Vorjahr haben sich die US-Bundesbehörden NIST und CISA (Cybersecurity and Infrastructure Security Agency) daran gemacht, die NVD zu verbessern. Ohne CVE liefe das aber ins Leere.
MITRE will nicht einfach die Server löschen, sondern versichert, dem Projekt verbunden zu sein. Die Regierung unternehme "erhebliche Anstrengungen", um MITREs Rolle zu sichern. CISA hat das Auslaufen der Finanzierung bestätigt und teilt mit, "dringlich daran zu arbeiten, die Auswirkungen zu milden und CVE zu erhalten". Allerdings ist CISA selbst von erheblichen Kürzungen und Chaos dank Elon Musks DOGE betroffen.
Offen bleibt, wie es konkret weitergeht. Eine Liste der bisher zugeteilten CVE-Nummern steht bis auf Weiteres bei Github online. Solange MITRE die eigentlichen CVE-Server noch laufen lässt, dürften bereits akkreditierte Einrichtungen (CVE Numbering Authorities) weiter in der Lage sein, sich automatisiert CVE-Nummern zu lösen. Von Dritten gemeldete Sicherheitslücken wird MITRE ab Donnerstag aber wohl nicht mehr in die Liste aufnehmen.
MITRE ist eine aus dem Massachusetts Institute of Technology (MIT) hervorgegangene, nicht gewinnorientierte Einrichtung, die im Auftrag der US-Regierung sechs Forschungszentren verwaltet, darunter seit 2014 das National Cybersecurity Federally Funded Research and Development Center. Bereits seit 1999 betreibt MITRE die CVE-Liste, basierend auf einer Reihe jährlicher Verträge mit dem US-Ministerium für Heimatsicherheit. Mit dem jetzt auslaufenden Jahresvertrag hat MITRE offenbar knapp 28 Millionen US-Dollar erhalten, wovon ein Teil für CVE vorgesehen war. Warum der Vertrag laut MITRE am Mittwoch endet, laut Eintrag auf einer Webseite der US-Regierung jedoch erst kommende Woche, ist heise online nicht bekannt.
2018 hat CSO berichtet, dass sich der CVE-Anteil des Vertrags 2006 auf 1,2 Millionen US-Dollar belaufen habe und 2016 auf vier Millionen Dollar gesteigert worden sei. Inzwischen dürfte der Betrag deutlich höher sein. Auch CWE (Common Weakness Enumeration) wurde über den jüngsten Vertrag finanziert. CWE sammelt nicht individuelle Sicherheitslücken, sondern vielmehr Kategorien häufiger Schwachstellen bei Hard- und Software, und standardisiert deren englische Bezeichnungen. Das erleichtert die Kommunikation erheblich und fördert so die Abwehr, Beseitigung und Vermeidung von Sicherheitslücken.
Damals, 2018, während Donald Trumps erster Amtszeit, befasste sich ein Ausschuss des US-Unterhauses mit CVE und NVD, die seit Langem nicht optimal laufen. Bei der NVD gibt es erheblichen Rückstau. Eine Gruppe republikanischer Abgeordnete forderte, die Finanzierungsform von unsicheren, jährlichen Verträgen mit MITRE auf einen stabilen Budgetposten im Ministerium für Heimatsicherheit umzustellen. Umgesetzt wurde das nicht, quod erat demonstrandum.
(
Kommentare