CVE-Datenbank ohne Finanzierung – was jetzt auf dem Spiel steht Apfelpatient

Die Sicherheitslage im Netz wird in nächster Zeit wahrscheinlich schlechter. Grund dafür ist eine Entscheidung der US-Regierung, die die Finanzierung für eine zentrale Säule der weltweiten IT-Sicherheit gestrichen hat: die CVE-Datenbank. Wenn du dich auf Sicherheitsupdates von Apple, Microsoft oder anderen Herstellern verlässt, betrifft dich das direkt. Denn ohne aktuelle Infos über bekannte Schwachstellen wird es schwieriger, neue Bedrohungen rechtzeitig zu erkennen und abzuwehren.

CVE steht für „Common Vulnerabilities and Exposures“. Dabei handelt es sich um eine öffentlich zugängliche Datenbank, in der bekannte Sicherheitslücken in Betriebssystemen, Anwendungen und Geräten dokumentiert sind. Jede entdeckte Schwachstelle bekommt eine eindeutige CVE-Kennung, damit Entwickler, Sicherheitsteams und auch Hersteller dieselbe Sprache sprechen, wenn es um Patches und Risiken geht. Die Datenbank hilft also dabei, dass Probleme schneller erkannt, geteilt und behoben werden. CVE ist mittlerweile ein weltweiter Standard. Fast jedes Sicherheitsupdate von Apple verweist auf eine oder mehrere CVE-Nummern. Auch Google, Microsoft und viele Linux-Projekte arbeiten auf Basis dieser Einträge. Die Datenbank verhindert doppelte Arbeit, hilft bei der Zusammenarbeit von Sicherheitsforschern und ist die wichtigste Quelle für verlässliche Informationen über bekannte Schwachstellen.

Finanzierung läuft aus – ohne klare Begründung

Am Dienstag gab die gemeinnützige Organisation MITRE Corporation bekannt, dass die Finanzierung für den Betrieb der CVE-Datenbank ausläuft – bereits am darauffolgenden Mittwoch. MITRE ist bisher verantwortlich für die Pflege der Datenbank. Die Gelder kamen von der US-Regierung, genauer gesagt vom Department of Homeland Security, das über die Behörde CISA (Cybersecurity and Infrastructure Security Agency) zuständig ist. Auch das sogenannte CWE-Programm (Common Weakness Enumeration), das Schwachstellenkategorien katalogisiert, ist von der Kürzung betroffen. Die CISA bestätigte gegenüber Reuters, dass der Vertrag tatsächlich ausläuft (via Reuters).

Unklare Gründe und offene Fragen zur Finanzierung

Sie erklärte aber auch, dass daran gearbeitet werde, die Auswirkungen so gering wie möglich zu halten. Ob die Behörde die CVE-Datenbank künftig selbst übernehmen oder finanzieren wird, blieb offen. Warum der Vertrag gestrichen wurde, sagte niemand konkret. Es wird allerdings vermutet, dass Einsparungen im Rahmen größerer Regierungsmaßnahmen eine Rolle spielen könnten. Einige vermuten sogar einen Zusammenhang mit dem sogenannten DOGE-Dienst, an dem Elon Musk beteiligt ist und bei dem versucht wird, durch aggressive Kostensenkungen neue Wege bei der öffentlichen IT-Infrastruktur zu gehen.

Auswirkungen auf Softwareanbieter und Sicherheitsteams

Die Folgen der Entscheidung sind direkt spürbar. Apple zum Beispiel prüft regelmäßig über die CVE-Datenbank, welche Sicherheitslücken in iOS und macOS entdeckt wurden. Die offiziellen Update-Hinweise enthalten häufig CVE-IDs, sodass Nutzer und Entwickler nachverfolgen können, welche Probleme genau behoben wurden. Fällt diese Grundlage weg, fehlen präzise Informationen über aktuelle Risiken. Das erschwert sowohl die Behebung als auch die Kommunikation von Sicherheitslücken. Auch Sicherheitsteams in Unternehmen und Organisationen weltweit sind auf CVE angewiesen. Sie stützen ihr Schwachstellenmanagement auf diese Datenbank, um Systeme zu prüfen und schnell auf neue Bedrohungen zu reagieren. Computer Emergency Response Teams (CERTs), also nationale Krisenreaktionsteams für IT-Sicherheit, verlieren mit der CVE-Datenbank ihre wichtigste Quelle für Schwachstelleninfos.

Reaktionen aus der Sicherheitsbranche

In der Sicherheitscommunity sorgte die Nachricht für breite Kritik. Jean Easterly, die ehemalige Leiterin der CISA, schrieb auf LinkedIn, dass die Einstellung der CVE-Datenbank schwerwiegende Folgen für die nationale Sicherheit und das Geschäftsrisiko haben könnte. Sie verglich die Datenbank mit dem Dewey-Dezimalsystem für Cybersicherheit: Ohne sie würden Fachleute wie Bibliothekare in einer chaotischen Bibliothek arbeiten, ohne zu wissen, wo sie suchen sollen. Easterly warnte außerdem vor einem erhöhten Risiko für Ransomware-Angriffe, Datenschutzverletzungen, steigenden Sicherheitskosten und einem möglichen Vertrauensverlust bei Verbrauchern und Regulierungsbehörden. Brian Martin, ein Historiker für Computersicherheitslücken, sprach von einem sofortigen Kaskadeneffekt. Ohne CVE werde das weltweite Schwachstellenmanagement geschwächt, Unternehmen müssten mit erheblichen Störungen ihrer Sicherheitsprozesse rechnen.

Was du als Nutzer jetzt wissen musst

Auch wenn die CVE-Datenbank eine technische Infrastruktur ist, betrifft die Kürzung am Ende alle, die Software nutzen – also auch dich. Updates könnten sich verzögern, Schwachstellen bleiben länger unentdeckt und die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden, steigt. Du kannst die Entwicklung zwar nicht stoppen, aber du kannst dein Verhalten anpassen:

Halte deine Software konsequent aktuell
Nutze Sicherheitssoftware mit aktiver Bedrohungserkennung
Verfolge Nachrichten über neue Sicherheitsprobleme, z. B. über Fachportale oder Sicherheitsblogs
Wenn du selbst Software entwickelst oder verwaltest, achte besonders auf alternative Schwachstellenquellen und erhöhte Prüfintervalle

CVE-Datenbank: Die Cybersicherheitswelt sucht nach Alternativen

Die CVE-Datenbank ist ein zentrales Werkzeug der weltweiten Cybersicherheit. Dass ihre Finanzierung plötzlich gestrichen wurde, ist ein deutliches Risiko für Nutzer, Unternehmen und ganze Staaten. Solange keine klare Nachfolgelösung bekannt ist, bleiben viele Fragen offen – vor allem, wie Sicherheitsupdates künftig schnell und präzise umgesetzt werden können. Die Branche muss jetzt kurzfristig neue Wege finden, um dieses Informationsvakuum zu füllen. Bis dahin gilt: wachsam bleiben, Updates ernst nehmen und auf verlässliche Sicherheitsquellen achten. (Photo by Unsplash+ / Getty Images)