Apple verlässt sich wie andere Technologieunternehmen auf das Common Vulnerability Exposure (CVE)-Programm, um Sicherheitslücken in seiner Software zu identifizieren und zu verfolgen. Da die Bundesregierung heute abrupt die Finanzierung von CVE kürzt, steht diese wichtige Cybersicherheitsressource nun vor einer ungewissen Zukunft.

Bild.png

Als Reaktion auf die Krise gab eine von langjährigen CVE-Vorstandsmitgliedern geführte Koalition heute die Gründung der CVE Foundation bekannt, einer gemeinnützigen Organisation, die sich der Sicherstellung des kontinuierlichen Betriebs von Systemen zur Identifizierung von Schwachstellen widmet.

„Die Bedeutung von CVEs als Eckpfeiler des globalen Cybersicherheits-Ökosystems darf nicht unterschätzt werden“, sagte Kent Landfield, ein Beamter der neu gegründeten Stiftung. „CVEs auf der ganzen Welt verlassen sich bei ihrer täglichen Arbeit auf CVE-Identifikatoren und -Daten – von Sicherheitstools und -warnungen bis hin zu Bedrohungsinformationen und -reaktionen. Ohne CVEs wären Verteidiger bei ihren Bemühungen zur Bekämpfung globaler Cyberbedrohungen äußerst benachteiligt.“

Das CVE-Programm bietet ein standardisiertes System zur Identifizierung und Klassifizierung von Sicherheitslücken in sämtlicher Software und Hardware, einschließlich Apples macOS, iOS, iPadOS und anderen Produkten. Wenn Sicherheitsforscher eine Schwachstelle entdecken, wird ihnen eine eindeutige CVE-Kennung zugewiesen, damit Unternehmen wie Apple Patches und Updates koordinieren können.

MITRE wird vom US-Heimatschutzministerium mit der Leitung des Projekts beauftragt. Das Unternehmen bestätigte, dass die staatliche Finanzierung am 16. April ausgelaufen sei. Laut Reuters könnte das Auslaufen des Programms mit den umfangreichen Entlassungen in der Bundesregierung zusammenhängen, die zum Teil durch das Department of Government Effectiveness (DOGE) verursacht werden. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA), die von den Entlassungen betroffen war, sagte, sie arbeite „dringend daran, die Auswirkungen abzumildern“, da die plötzliche Finanzierungslücke das globale Schwachstellenmanagement stören könnte.

Sicherheitsexperten haben gewarnt, dass ohne CVE die Cybersicherheitsbemühungen im „völligen Chaos“ enden würden, da eine gemeinsame Sprache zur Kommunikation von Schwachstellen praktisch verschwinden würde. Ein Forscher verglich es mit dem „plötzlichen Löschen aller Wörterbücher“.

Die neu gegründete CVE Foundation möchte das Projekt in ein dediziertes gemeinnütziges Modell umwandeln, das nicht auf eine einzelne staatliche Finanzierung angewiesen ist. Die Organisatoren der Stiftung gaben bekannt, dass sie sich seit einem Jahr auf diese Möglichkeit vorbereitet haben.

„Für die internationale Cybersicherheitsgemeinschaft stellt dieser Schritt eine Gelegenheit dar, Governance-Mechanismen zu etablieren, die den globalen Charakter der heutigen Bedrohungslandschaft widerspiegeln“, heißt es in der Ankündigung der Stiftung.

Finanzierungskürzungen wirken sich auch auf das damit verbundene Common Weakness Enumeration (CWE)-Programm aus, das Unternehmen wie Apple dabei hilft, potenzielle Sicherheitsprobleme zu erkennen, bevor sie zu Schwachstellen werden.

Es wird erwartet, dass die CVE Foundation in den kommenden Tagen weitere Einzelheiten zu ihrer Struktur und ihren Finanzierungsplänen bekannt gibt. Apple und andere große Technologieunternehmen werden wahrscheinlich eine wichtige Rolle dabei spielen, es als kritischen Bestandteil der Cybersicherheitsinfrastruktur zu unterstützen.