USA streichen Finanzierung für Apples CVE-Sicherheitsprogramm

Die zentrale Sicherheitsdatenbank Common Vulnerabilities and Exposures (CVE) war für kurze Zeit von der Schließung bedroht, da das US-Heimatschutzministerium (DHS) die Finanzierung abrupt einstellte. Die CVE ist essenziell für die weltweite Erkennung, Kategorisierung und Verwaltung von Sicherheitslücken in Software und wird unter anderem von Apple genutzt, um bekannte Schwachstellen in macOS- und iOS-Updates zu dokumentieren.

Hintergrund: CVE und seine Rolle in der Cybersicherheit

Die CVE-Datenbank wurde vor 25 Jahren ins Leben gerufen und wird seitdem von der gemeinnützigen Organisation MITRE verwaltet. Die Finanzierung stammte bis zuletzt vom US-Department of Homeland Security.

• Sicherheitslücken wie in macOS oder iOS erhalten CVE-IDs, etwa: CVE-2025-12345.
• Diese eindeutige Nummernkennung ermöglicht es Entwicklern, Sicherheitslücken schnell zu erkennen und effizient zu beheben, ohne dieselbe Arbeit mehrfach auszuführen.

Ohne die CVE-Datenbank wäre die globale Arbeit an Sicherheitslücken weitaus langsamer und weniger koordiniert.

Finanzierungskrise: Was genau geschah?

Ursprünglich war MITRE für das Management der Datenbank verantwortlich und wurde durch das DHS finanziert. Diese Zusammenarbeit endete jedoch abrupt:

1. Finanzstopp durch das DHS: Das Heimatschutzministerium entschied kurzfristig, die Mittel einzustellen, ohne eine Alternative bereitzustellen.
2. CVE Foundation: Mitglieder des MITRE-Leitungsrats gründeten daraufhin eine neue Organisation, die CVE Foundation, um den Betrieb der Datenbank fortzuführen. Ziel ist es, unabhängige Finanzierungsquellen zu erschließen, etwa durch privates Sponsoring oder internationale Finanzhilfen.
3. CISA rettet vorläufig den Betrieb: Nach erheblichem Medienecho übernahm die Cybersecurity and Infrastructure Security Agency (CISA) kurzfristig die Finanzierung für elf Monate. CISA ist ironischerweise eine Unterabteilung des DHS.

Die derzeitige Finanzierung ist jedoch nur ein Notfallplan, der das Problem bis 2026 hinauszögert.

Auswirkungen auf Apple und die IT-Welt

Die CVE-IDs spielen eine zentrale Rolle in Sicherheitsupdates für macOS, iOS und andere Systeme. Apple ist eine von 450 sogenannten CVE Numbering Authorities (CNA), die Meldungen zu Schwachstellen direkt in die Datenbank einpflegen können. Ein Wegfall der CVE würde folgende Probleme verursachen:

• Fehlende Koordination: Sicherheitslücken könnten weniger effizient gemeldet und behoben werden, was zu Verzögerungen bei Updates führt.
• Globale Verwirrung: Ohne eine einheitliche Datenbank wären Sicherheitslücken schwieriger zu standardisieren und nachzuverfolgen.

Hoffnung auf Stabilität: EU-Alternative und globale Initiativen

Die CVE-Datenbank ist nicht die einzige Instanz für Sicherheitslücken. In der EU entsteht derzeit die European Union Vulnerabilities Database (EUVD). Dieses neue System wird anders als CVE eigene Kategorien nach Schweregrad definieren, gleichzeitig aber CVE-IDs als alternative Indikatoren übernehmen.

• Vorteil der EUVD: Mehr Unabhängigkeit von den USA und potenziell stabilere Finanzierung.
• Herausforderung: Globale Akzeptanz – die CVE ist seit 25 Jahren ein etablierter Standard, der nicht schnell ersetzt werden kann.

Die CVE-Krise zeigt, wie anfällig selbst entscheidende Sicherheitsinfrastrukturen durch politische Entscheidungen werden können. Zwar hat die CISA das Problem vorerst aufgeschoben, doch langfristige Lösungen sind notwendig, um den Betrieb aufrechtzuerhalten. Die zukünftige Rolle der CVE könnte durch Projekte wie die EUVD gestärkt oder sogar ersetzt werden.

Via Ars Technica