- Die United States Cybersecurity and Infrastructure Security Agency hat die Finanzierung fĂŒr das Common Vulnerabilities and Exposures Program (CVE) bis zum nĂ€chsten Jahr verlĂ€ngert. Das CVE-Programm spielt eine zentrale Rolle in der globalen Cybersicherheit und wird von MITRE verwaltet. Es gibt PlĂ€ne, das CVE-Programm in eine unabhĂ€ngige Organisation namens CVE Foundation zu ĂŒbertragen, um seine Nachhaltigkeit zu sichern. Die langfristige Zukunft des CVE-Programms bleibt ungewiss, insbesondere in Bezug auf die Finanzierung und Verwaltung. Forschung und Sicherheitstools weltweit sind stark auf die Informationen des CVE-Programms angewiesen.
In einem letzten, hektischen BemĂŒhen, bevor ein entscheidender Vertrag am Dienstagabend auslaufen sollte, erneuerte die United States Cybersecurity and Infrastructure Security Agency die Finanzierung fĂŒr das langjĂ€hrige Projekt zur Nachverfolgung von Software-Schwachstellen, bekannt als das Common Vulnerabilities and Exposures Program. Das von der gemeinnĂŒtzigen Forschungs- und Entwicklungsgruppe MITRE verwaltete CVE-Programm ist ein zentraler Pfeiler der globalen Cybersicherheit. Es bietet entscheidende Daten und Dienstleistungen zur digitalen Verteidigung und Forschung. Das CVE-Programm wird von einem Verwaltungsrat gelenkt, der MITRE mit UnterstĂŒtzung von CISA die Agenda und PrioritĂ€ten diktiert.
VerlÀngerung des Vertrags
Ein Sprecher von CISA bestĂ€tigte am Mittwoch, dass der Vertrag mit MITRE um elf Monate verlĂ€ngert wird. âDas CVE-Programm ist von unschĂ€tzbarem Wert fĂŒr die Cyber-Community und eine PrioritĂ€t fĂŒr CISAâ, erklĂ€rte er in einer Stellungnahme. Es wurde der Optionzeitraum im Vertrag ausgefĂŒhrt, um sicherzustellen, dass es keine Unterbrechung in den kritischen CVE-Diensten geben wird. DafĂŒr zollte man den Partnern und Beteiligten Dank fĂŒr ihre Geduld. Der VizeprĂ€sident von MITRE und Direktor des Zentrums fĂŒr Heimatsicherheit, Yosry Barsoum, erklĂ€rte, dass von CISA zusĂ€tzliche Mittel bereitgestellt wurden, um die BetriebstĂ€tigkeit der Programme aufrechtzuerhalten.
EigenstÀndigkeit des Projekts
Angesichts der nahenden Frist Ă€uĂerte der Verwaltungsrat des CVE-Programms PlĂ€ne, das Projekt in eine eigenstĂ€ndige Organisation namens CVE Foundation zu ĂŒberfĂŒhren. Seit seiner GrĂŒndung arbeitet das CVE-Programm als ein von der US-Regierung finanziertes Unterfangen, unter vertraglicher Aufsicht und Leitung. Diese Struktur hat einerseits das Wachstum des Programms unterstĂŒtzt, andererseits aber auch langfristige Besorgnis ĂŒber die Nachhaltigkeit und NeutralitĂ€t eines global genutzten Ressourcen hervorgerufen, da es an einen einzigen Regierungssponsor gebunden ist. Die Dringlichkeit dieses Anliegens wuchs nach Erhalt eines Schreibens von MITRE, welches die CVE-Board-Mitglieder darĂŒber informierte, dass die US-Regierung beabsichtigt, ihren Vertrag zur Verwaltung des Programms nicht zu verlĂ€ngern. In Vorbereitung auf diese Möglichkeit wurden PlĂ€ne geschmiedet, sollte dieser Tag tatsĂ€chlich eintreffen.
Zukunft in der Schwebe
Es bleibt unklar, wer genau der neuen Initiative zugehörig ist, abgesehen von Kent Landfield, einem langjĂ€hrigen Mitglied der Cybersecurity-Industrie. CISA reagierte nicht auf Fragen, warum das Schicksal des CVE-Programms ungewiss war und ob es in einem Zusammenhang zu kĂŒrzlichen HaushaltskĂŒrzungen steht, die von der Trump-Administration angeordnet wurden. Forscher und Cybersicherheitsexperten zeigten sich erleichtert, dass das CVE-Programm nicht abrupt eingestellt wurde, was auf die letzte nicht vorhersehbare InstabilitĂ€t in der staatlichen Finanzierung der USA zurĂŒckzufĂŒhren war. Viele Ă€uĂerten vorsichtigen Optimismus, dass diese Ereignisse letztlich dazu fĂŒhren könnten, das CVE-Programm resilienter zu gestalten, falls es zu einer unabhĂ€ngigen Einheit wird, die nicht von der Finanzierung eines einzigen Staates oder einer einzigen Quelle abhĂ€ngig ist.
Globale Bedeutung
Da die Kosten in die Millionen pro Vertrag gehen, scheint dieses AufwandsverhĂ€ltnis gegenĂŒber den immensen SchĂ€den, die ein einzelner Cyberangriff durch unzureichende Software-Sicherheit anrichten könnte, gering. Trotz der letztminĂŒtigen Finanzierung durch CISA bleibt die langfristige Zukunft des CVE-Programms ungewiss. Als eine anonyme Quelle, ein Bundesauftragsnehmer, es formulierte: âEs ist sowohl dumm als auch gefĂ€hrlich.â Der Schutz, den das CVE-Programm bietet, ist von entscheidender Bedeutung, und es ist im Interesse aller, dass es weiter erfolgreich ist. Organisationen auf der ganzen Welt sowie nahezu jedes Sicherheitstool sind auf diese Informationen angewiesen. Ein Verlust des Programms wĂ€re ein erhebliches Risiko fĂŒr alle Betroffenen.
