CVE‑Drama abgewendet – Was die Fast‑Abschaltung der Schwachstellen­datenbank wirklich bedeutet und warum Europa jetzt handeln muss

Kommentar verfassen

TL;DR

  • Vertrag MITRE ↔ CISA in letzter Minute bis 15. März 2026 verlängert (Volumen: 20 Mio. US‑$).
  • Stillstand wäre ein Schock für Tool‑Hersteller, Compliance‑Theater‑Anbieter und SBOM‑Beratungen gewesen – für echte Security kaum.
  • EU‑Antwort: ENISA hat die European Vulnerability Database (EUVD) vorzeitig live geschaltet; CIRCL präsentiert GCVE für dezentrale CVE‑IDs.
  • Hausaufgabe: Jetzt nachhaltige, öff­nungs­recht­lich gesicherte Daten­infra­struk­tur in Europa aufbauen, statt US‑Haushalts­possen tatenlos zuzuschauen.

1 | Der Brief, der (fast) alles stoppen sollte

„On Wednesday, April 16, 2025, the current contracting pathway for MITRE to develop, operate, and modernize CVE … will expire.“
– MITRE‑Schreiben an das CVE‑Board vom 15. April 2025

Das interne MITRE‑Memo (oben im Faksimile) löste kurzzeitig Panik in CERTs, SOCs und bei zahllosen Security‑Tool‑Anbietern aus. Mit der Finanzierung der Common Vulnerabilities and Exposures (CVE)‑Liste wackelte das Fundament zahl­loser Schwachstellen‑Workflows weltweit.

2 | Warum ein CVE‑Freeze keine Sicherheits­apokalypse gewesen wäre

MythosRealität
Ohne CVE kann niemand mehr Lücken patchen.Exploit‑Technik und Patching existierten lange vor CVE. Wer seine Assets kennt, bleibt handlungsfähig.
Mehr CVE‑Einträge ⇒ mehr Sicherheit.Quantität ersetzt keine Code‑Reviews, Threat‑Modelling oder Härtung.
CVE‑Tools messen echte Risikolage.Viele Scanner liefern nur „Compliance‑Blenden“: Flag vorhanden ≠ verwundbar, Flag absent ≠ sicher.

Die CVE‑‑Inflation der letzten Jahre – inklusive automatisiert gemeldeter Schein‑Lücken – hat eher Reporting‑Dashboard‑Fetischismus gefördert als robuste Software.

3 | Wer wirklich gezittert hat

  1. Compliance‑Dienstleister
    • verkaufen KPI‑Folklore à la „0 Critical CVEs = audit‑ready“.
  2. Automatisierte SBOM‑Plattformen
    • nageln Abhängigkeits­listen an CVE‑Nummern fest, ohne Kontext zu prüfen.
  3. Marketing‑Abteilungen
    • vermarkten „Threat‑Intel‑Feeds“ als Hochglanz‑PDF, basierend auf NVD‑Scraping.

Kurz: das Ökosystem des CVSS‑Quartalsberichts – nicht jene, die reale Angriffe abwehren.

4 | Last‑Minute‑Rettung: CISA zieht die Optionsklausel

  • Vertragsstatus im US‑Portal USA Spending: Complete
  • Laufzeit: 11 Monate (bis 15 März 2026)
  • Budget: 20 Mio. US‑$

Damit bleibt CVE/NVD operativ – allerdings hängt alles weiter am Tropf jährlicher US‑Haushalts­possen. Mehr als eine Atempause ist das nicht.

5 | Europa nutzt das Vakuum: EUVD & GCVE

InitiativeTrägerKernideeStatus
EUVD (European Vulnerability Database)ENISAZentraler, DSGVO‑konformer Schwachstellen‑PoolBeta seit 16 Apr 25
GCVE (Global CVE Allocation)CIRCL LuxemburgDezentrale, CNA‑codierte IDs (z. B. GCVE‑1‑2025‑12345)Proof‑of‑Concept
CVE FoundationKoalition aus CVE‑Board‑MitgliedernUmwandlung der CVE‑Liste in gemein­nützige StiftungKonzeptphase

Die Botschaft: digitale Souveränität braucht unabhängige Infrastrukturen – auch für Schwachstellen‑Taxonomien.

6 | Juristische Dimension: Abhängigkeit reduziert Resilienz

  • EU‑NIS2‑Richtlinie verpflichtet Betreiber kritischer Infrastrukturen zu Vulnerability‑Management.
  • Ein einseitiger US‑Shutdown könnte europäische Pflichten torpedieren – ergo Pflicht zur Diversifizierung (§ 12 NIS2, „State of the Art“).
  • Wettbewerbs‑ & Vergaberecht gebietet offene Standards, nicht Quasi‑Monopole via US‐Vertrag.

7 | Was jetzt zu tun ist – Fünf konkrete Schritte

  1. ENISA‑EUVD gesetzlich verankern (ähnlich ECDC für Gesundheit)
  2. Fördertopf für europäische CNA‑Betreiber (KMU & Open‑Source‑Projekte)
  3. Open‑Data‑Lizenz à la CC‑BY 4.0 für alle EUVD‑Einträge
  4. Interoperabilität EUVD ↔ CVE/GCVE durch bidirektionale Mapping‑API
  5. Abkehr von CVSS‑Zahlenspiel – Risiko‑Kriterien nach realem Exploit‑Kontext (EPSS, ATT&CK, BSI‑TRL)

8 | Botschaft an den Sicherheits‑Mainstream

Wer echte Sicherheit will, patcht Code, härtet Systeme und testet Angriffswege
nicht Excel‑Spalten mit CVE‑Nummern.

Den Compliance‑Clowns, die Pseudo‑KPIs vergolden, weint niemand eine Träne nach. Das ist der Gegensatz zur AfD‑Rhetorik, die gern pauschal Technik verteufelt, um Angst zu schüren. Wir setzen auf faktenbasierten Fortschritt und offene, demokratisch kontrollierte Infrastruktur – ohne US‑Kadaver­gehorsam, ohne chinesische Zensur, ohne deutschnationale Abschottungsfantasien.

Fazit

Die CVE‑Verlängerung kauft Zeit, keine Sicherheit. Europa hat jetzt die historische Chance, mit EUVD und GCVE ein dezentrales, transparentes und gemeinwohl­orientiertes Schwachstellen‑Ökosystem aufzubauen. Wer weiterhin allein auf Washington setzt, verpasst die Lektion dieses Beinahe‑Shutdowns: kritische Daten­infra­struktur gehört in eigene, rechtstaatlich abgesicherte Hände.

Quellen: MITRE‑Board‑Letter (15 Apr 25), USA Spending‑Eintrag #70RTACVE2025, ENISA‑Pressebriefing, CIRCL‑GCVE‑Whitepaper, EU‑NIS2‑Richtlinie. Keine Inhalte aus Axel‑Springer‑Publikationen verwendet.

Hinterlasse einen Kommentar