Auf den Punkt: Die geplante Defundierung des CVE-Systems durch DOGE wurde nach Industriedruck zurückgefahren – die Finanzierung ist nun für elf Monate gesichert. Das CVE-System bietet Organisationen eine einheitliche Grundlage für systematisches Schwachstellenmanagement. Parallel existieren weitere nationale und spezialisierte Identifizierungssysteme, deren Koordination eine zunehmende Herausforderung darstellt.
Die geplante Kürzung der CVE-Finanzierung durch Trumps Sparkommission verursachte letzten Monat Aufruhr in der IT-Sicherheitscommunity. Nach massivem Widerstand der US-Industrie wurde eine Übergangslösung gefunden. Ein Überblick über die Bedeutung des CVE-Systems und mögliche zukünftige Entwicklungen.
## Warum das CVE-System unverzichtbar ist
Schwachstellen mit einheitlichen Nummern zu kennzeichnen, ist für das Schwachstellenmanagement von Organisationen essentiell. IT-Abteilungen nutzen diese Identifikatoren, um Sicherheitshinweise von Herstellern, Scan-Ergebnisse, Patches und Softwareaktualisierungen systematisch zu verwalten. CVE-Nummern ermöglichen gezielte Internetrecherchen und sind in unternehmensinternen Datenbanken unverzichtbar für die Korrelation verschiedenster Sicherheitsinformationen. Entscheidend ist ihre herstellerübergreifende Einheitlichkeit – diese garantiert Interoperabilität zwischen verschiedenen Systemen und Organisationen. Dennoch ist umstritten, welche Schwachstellen eine Identifikationsnummer verdienen und wie kritisch sowie wie wahrscheinlich ihre Ausnutzung zu bewerten ist.
## Konkurrierendes Ökosystem von Identifizierungssystemen
Das CVE-System der Mitre Corporation ist keineswegs das einzige seiner Art. China, Russland und Japan betreiben eigene nationale Systeme. Dazu kommen spezialisierte Plattformen wie Github und ein eigenes System für Cloud-Schwachstellen. Solange diese unterschiedliche Präfixe verwenden, können sie parallel existieren. Überschneidungen sind jedoch unvermeidlich: dieselbe Sicherheitslücke kann in mehreren Systemen registriert sein und erfordert Mapping-Tabellen zwischen den Datenbanken. Ein ähnliches Phänomen kennt man von Malware- oder Tätergruppennamen – verschiedene Benennungssysteme existieren nebeneinander, was zwar unbequem ist, aber kein grundsätzliches Problem darstellt.
## Dezentralisierung nach DNS-Vorbild
Das CVE-System folgt einer Entwicklung, die sich beim Domain Name System (DNS) bewährt hat. Ursprünglich zentralistisch organisiert, wurden CVE-Nummern von einer einzelnen Institution vergeben. Diese Struktur stieß schnell an Grenzen der Skalierbarkeit. Mit der Einführung der CVE Numbering Authorities (CNAs) wurde das System dezentralisiert: CNAs können in ihrem jeweiligen Verantwortungsbereich eigenständig CVE-Nummern vergeben – entweder aus einem zugeordneten Nummernpool oder on-demand über eine API bei Mitre.
Die Parallele zum DNS ist bemerkenswert: Während Domains ursprünglich nur direkt bei der zentralen Registry registriert werden konnten, regeln heute Registrare die Kundeninteraktion und wickeln die tatsächliche Registrierung über APIs bei der Registry ab. Ein dezentrales Modell, das sich bewährt hat.
Quelle: www.cert.at