USA streichen Finanzierung für Apples CVE-Sicherheitsprogramm

[Apfeltalk Redaktion]

Geschrieben von: Jan Gruber

Die zentrale Sicherheitsdatenbank Common Vulnerabilities and Exposures (CVE) war für kurze Zeit von der Schließung bedroht, da das US-Heimatschutzministerium (DHS) die Finanzierung abrupt einstellte. Die CVE ist essenziell für die weltweite Erkennung, Kategorisierung und Verwaltung von Sicherheitslücken in Software und wird unter anderem von Apple genutzt, um bekannte Schwachstellen in macOS- und iOS-Updates zu dokumentieren.

Hintergrund: CVE und seine Rolle in der Cybersicherheit​

Die CVE-Datenbank wurde vor 25 Jahren ins Leben gerufen und wird seitdem von der gemeinnützigen Organisation MITRE verwaltet. Die Finanzierung stammte bis zuletzt vom US-Department of Homeland Security.

• Sicherheitslücken wie in macOS oder iOS erhalten CVE-IDs, etwa: CVE-2025-12345.
• Diese eindeutige Nummernkennung ermöglicht es Entwicklern, Sicherheitslücken schnell zu erkennen und effizient zu beheben, ohne dieselbe Arbeit mehrfach auszuführen.

Ohne die CVE-Datenbank wäre die globale Arbeit an Sicherheitslücken weitaus langsamer und weniger koordiniert.

Finanzierungskrise: Was genau geschah?​

Ursprünglich war MITRE für das Management der Datenbank verantwortlich und wurde durch das DHS finanziert. Diese Zusammenarbeit endete jedoch abrupt:

1. Finanzstopp durch das DHS: Das Heimatschutzministerium entschied kurzfristig, die Mittel einzustellen, ohne eine Alternative bereitzustellen.
2. CVE Foundation: Mitglieder des MITRE-Leitungsrats gründeten daraufhin eine neue Organisation, die CVE Foundation, um den Betrieb der Datenbank fortzuführen. Ziel ist es, unabhängige Finanzierungsquellen zu erschließen, etwa durch privates Sponsoring oder internationale Finanzhilfen.
3. CISA rettet vorläufig den Betrieb: Nach erheblichem Medienecho übernahm die Cybersecurity and Infrastructure Security Agency (CISA) kurzfristig die Finanzierung für elf Monate. CISA ist ironischerweise eine Unterabteilung des DHS.

Die derzeitige Finanzierung ist jedoch nur ein Notfallplan, der das Problem bis 2026 hinauszögert.

Auswirkungen auf Apple und die IT-Welt​

Die CVE-IDs spielen eine zentrale Rolle in Sicherheitsupdates für macOS, iOS und andere Systeme. Apple ist eine von 450 sogenannten CVE Numbering Authorities (CNA), die Meldungen zu Schwachstellen direkt in die Datenbank einpflegen können. Ein Wegfall der CVE würde folgende Probleme verursachen:

• Fehlende Koordination: Sicherheitslücken könnten weniger effizient gemeldet und behoben werden, was zu Verzögerungen bei Updates führt.
• Globale Verwirrung: Ohne eine einheitliche Datenbank wären Sicherheitslücken schwieriger zu standardisieren und nachzuverfolgen.

Hoffnung auf Stabilität: EU-Alternative und globale Initiativen​

Die CVE-Datenbank ist nicht die einzige Instanz für Sicherheitslücken. In der EU entsteht derzeit die European Union Vulnerabilities Database (EUVD). Dieses neue System wird anders als CVE eigene Kategorien nach Schweregrad definieren, gleichzeitig aber CVE-IDs als alternative Indikatoren übernehmen.

• Vorteil der EUVD: Mehr Unabhängigkeit von den USA und potenziell stabilere Finanzierung.
• Herausforderung: Globale Akzeptanz – die CVE ist seit 25 Jahren ein etablierter Standard, der nicht schnell ersetzt werden kann.

Die CVE-Krise zeigt, wie anfällig selbst entscheidende Sicherheitsinfrastrukturen durch politische Entscheidungen werden können. Zwar hat die CISA das Problem vorerst aufgeschoben, doch langfristige Lösungen sind notwendig, um den Betrieb aufrechtzuerhalten. Die zukünftige Rolle der CVE könnte durch Projekte wie die EUVD gestärkt oder sogar ersetzt werden.

Via Ars Technica

Im Magazin lesen....

 

[page6]

Warum verkommt Apfeltalk eigentlich immer mehr? Ihr wart mal so gut.

Allein die Überschrift suggeriert zwei falsche Annahmen:

1. Die CVE sei nun geschlossen da die Finanzierung (entgültig) gestrichen sei.
2. Due CVE gehört Apple oder wird nur von Apple genutzt.

Dies ist beides schlicht nicht zutreffend.
Seid ihr wirklich so sehr auf Clickbaiting angewiesen?

 

[AndaleR]

Apfeltalk bietet die Möglichkeit, das Forum und die ganze Plattform neben deiner zahlreichen Beiträge auch finanziell zu unterstützen - vielleicht willst du damit etwas gegen solche „schlechten Artikel etc.“ unternehmen?

 

[Andreas Vogel]

Apfeltalk bietet die Möglichkeit, das Forum und die ganze Plattform neben deiner zahlreichen Beiträge auch finanziell zu unterstützen - vielleicht willst du damit etwas gegen solche „schlechten Artikel etc.“ unternehmen?

Lieber @AndaleR ich verstehe und schätze ja zu gut, deine Beschwichtigugs-/Verteidigungsabsicht.
Leider ist der Kommentar von @page6 richtig und der "Hilfeschrei" nach mehr Qualität -die wir ja mal hatten - durchaus berechtigt...
... und das ist zu allerletzt ein finanzielles Thema...

 

[Nightfall85]

vielleicht willst du damit etwas gegen solche „schlechten Artikel etc.“ unternehmen?

Die Kritik hier war ja nicht der Artikel, sondern die Clickbait-Überschrift, in der einfach sachlich falsche Behauptungen aufgestellt werden, wie "Apples CVE-Programm", welches nunmal weder zu Apple gehört, noch von Apple finanziert wird.
Das ist Clickbait, weil nun natürlich der unbedarfte Apfeltak-User, wie ich z.B., sich fragt, wie die USA die Finanzierung für ein Sicherheitsprogramm von Apple streichen können..
Man hätte hier einfach die Überschrift des Original-Artikels übernehmen können, die da lautet: "CVE, global source of cybersecurity info, was hours from being cut by DHS".
Das ist nicht nur deutlich genauer, enthält Infos darüber, was CVE überhaupt ist, sondern ist auch noch sachlich deutlich richtiger und kein Clickbait.
Auf deutsch dann z.B. so: "CVE, die globale Datenbank für (u.a. Apple) Sicherheitslücken, in Finanzierungsnot, aufgrund Kürzungen der Trump Regierung"

Wieso dann auf jede Kritik sofort so ein Beißreflex kommt, verstehe ich auch nicht.
Die Kritik war berechtigt, wenn auch nicht super höflich formuliert.
Aber ein Forum wie dieses hier, lebt nunmal auch von der User-Beteiligung und deren Feedback.
Eine souveräne Reaktion wäre gewesen. "Danke für die Rückmeldung, du hast recht, da ist der Titel ein wenig ungenau. Es wäre lieb, wenn du beim nächsten Mal deine Kritik etwas weniger drastisch formulierst, vielleicht einfach als Hinweis oder mit einer Alternativ-Formulierung. Wir geben uns alle Mühe, aber manchmal ist die Zeit für unsere Redakteure einfach knapp um an jeder Überschrift ewig zu feilen."
Statt "gib uns mehr Geld, dann schreiben wir bessere Artikel".
Die aktiven User hier finanzieren ja über Werbeeinnahmen die Website und wenn sie schon umsonst kritisches Feedback geben und die Arbeit eines Lektors übernehmen, muss man nicht gleich zurück schießen...

 

[walnussbaer]

Also das "gib uns mehr Geld, dann schreiben wir bessere Artikel" ist ja nicht nur ein Zugeständnis, dass aktuell teils schlechte Artikel veröffentlicht werden - offenbar aus Geldmangel - sondern in der Form in meinen Augen einfach eine absolute Frechheit und Niveaulosigkeit.

 

[SomeUser]

Apfeltalk bietet die Möglichkeit, das Forum und die ganze Plattform neben deiner zahlreichen Beiträge auch finanziell zu unterstützen - vielleicht willst du damit etwas gegen solche „schlechten Artikel etc.“ unternehmen?

Wenn ich für Output Y mit angemessener Qualität nicht liefern kann, sollte ich mir vielleicht überlegen, den Output eventuell zu reduzieren, um die Qualität sicherzustellen. Wenn die Qualität passt, DANN kann sich darüber Gedanken machen, die Nutzer nach einer *weiteren* Finanzierung, als den bestehenden zu fragen.


Aber da sind wir halt wieder: Es werden hier halt keine Fehler gemacht, egal wie menschlich das wäre. Selbst sachlich vorgebrachte Kritik: Wird abgetan. Das Thema "eigentümlicher Berichterstattung" wurde ja, aus verschiedenen Perspektiven, schon disktutiert. ReaktioN? Es wird ausgeteilt. Wir sind halt zu doof, das alles zu erkennen und richtig einzuordnen.
Ist mir mittlerweile egal, ich lese das Magazin und andere Bereiche so gut wie nicht mehr bzw. nur sporadisch. Über die Zeit wurden also "Page Impressions" und "Views" verloren.
Fehlt eigentlich nur noch also Reaktion, sowas komplett sinnfreies wie "Dann lies halt woanders" etc. *gähn*

 

[AndaleR]

Ich bin auch bei euch - nur war/bin ich immer noch der Meinung, dass man den Beitrag anders schreiben hätte können. Apfeltalk verkommt ja zu nichts. Und NUR auf diese Aussage hin hab ich meinen Beitrag geschrieben - ob / wie da jetzt die Überschrift, der Inhalt verfasst ist, war mir in erster Linie egal.

Also das "gib uns mehr Geld, dann schreiben wir bessere Artikel" ist ja nicht nur ein Zugeständnis, dass aktuell teils schlechte Artikel veröffentlicht werden - offenbar aus Geldmangel - sondern in der Form in meinen Augen einfach eine absolute Frechheit und Niveaulosigkeit.

Sorry, hab keinen zweiten Account, sonst hätte ich das ohne irgendwelche Zusammenhänge zu AT und allem anderen schreiben können. Aber es gab mal einen Zeitpunkt, an dem wir uns auf ein Vorgehen einigten und ich so meine Beiträge nicht als privat kennzeichnen muss.

 

[page6]

Danke für Deine Antwort @AndaleR! Ich verstehe sie wie folgt: „Ja, wir sind auf solche Maßnahmen wie Clickbaiting angewiesen um unsere Platform zu finanzieren.“
Bitte entschuldige, dass ich so emotional mit „verkommen“ reagiert habe.

Ich schätze durchaus die Platform und das Forum und verstehe auch, das sie finanziert werden muss. Es ist auch völlig legitim das Magazin dann zur Finanzierung zu nutzen. Ich hatte daran bisher nur andere Erwartungen. Danke für die Klarstellung, das hilft mir das Ganze zu verstehen.