CVE-Liste vor dem Aus – so reagiert die Branche – | CVE-Liste vor dem Aus – so reagiert die Branche | CPO DE
Das mögliche Aus der Schwachstellendatenbank CVE sorgt für Tiefe Sorgenfalten bei Security-Experten – könnte aber auch auf Umwegen wieder zu mehr digitaler Souveränität führen.Peter Marwan mit HiDream-I1
Update, 16. April 17 Uhr 45: Quasi in letzter Minute hat die US-Regierung MITRE für die CVE-Datenbank die finanzielle Unterstützung für weitere elf Monate zugesagt. In einer E-Mail an Reuters erklärte die Die Cybersecurity and Infrastructure Security Agency (CISA), dass das CVE-Programm von unschätzbarem Wert sei und dass man eine Verlängerungsoption im Rahmen des Vertrags aktiviert habe, „um sicherzustellen, dass es keine Unterbrechung bei den kritischen CVE-Diensten geben wird.“ Die Rettung in letzter Stunde lässt zunächst aufatmen. Dass es soweit kommen konnte, war jedoch ein deuticher Weckruf und sollte Konsequenzen haben – so die Meinung der von ChannelPartner befragten Branchenexperten. Ein Ansatzpunkt für eine resilientere und von der Politik unabhängige Struktur könnte die in aller Eile gegründete CVE Foundation sein, ebenso die von der ENISA eingerichtete, derzeit noch als Beta verfügbare “European Union Vulnerability Database“.
Das CVE-System hilft Security-Experten und Sicherheitsunternehmen weltweit, einheitlich zu kommunizieren. Angesichts der Flut an Malware und Sicherheitslücken bekommen nur noch die wichtigsten einen Spitznamen – etwa „Log4Shell“. Aber auch sie, lassen sich wie alle anderen, bekannten Lücken an ihrer Bezeichnung aus der CVE-Datenbank eindeutig zuordnen. Sie heißen dann CVE-2024-21762, CVE-2024-4346, CVE-2021-21974 oder CVE-2024-40766. Das ist nicht intuitiv – aber sie lassen sich damit weltweit, eindeutig und klar zuordnen.
Allerdings muss sich eben auch jemand darum kümmern. Und das kostet Geld. Geld ausgeben ist in den USA gerade nur populäre, wenn Stars und Sternchen für Selfies in der Schwerlosigkeit für einige Minuten in den Weltraum geschossen werden. Für sowas Langweiliges wie die Pflege einer nicht nur von wichtigen US-Cybersecurity-Unternehmen, der US-Sicherheitsbehörde CISA und darüber hinaus weltweit – offensichtlich von zahllosen Schnorrern – genutzten Datenbank, wird lieber gespart.
Laut einem Schreiben von Yosry Barsoum, Vizepräsident und Direktor des Centre for Securing Homeland (CSH) bei MITRE, wird die Finanzierung der Einrichtung nicht verlängert nicht verlängert. Der Brief wurde von Bleeping Computer veröffentlicht und zirkuliert derzeit überall im Internet. Demnach läuft der der Vertrag mit den US-Behörden diese Woche aus. Zwar werde im Hintergrund verhandelt, aber gewiss ist nichts. Ein kleines Backup der bisherigen Einträge findet sich bei Github – aber die Datenbank lebt vor allem von ihrer Aktualität, nicht von der Vergangenheit. Security-Experten weltweit sind daher entsetzt.
width=”3600″ height=”2027″ sizes=”(max-width: 3600px) 100vw, 3600px”>„Die Security-Branche wird Mittel und Wege finden müssen, sich auf einen anderen Standard zu einigen oder selbst die Finanzierung der Datenbank zu regeln. Das kann aber dauern“, fürchten Richard Werner, Cybersecurity Platform Lead Europe bei Trend Micro.Trend Micro
„Ein mögliches Ende der Finanzierung der CVE-Datenbank sollte ein Weckruf für alle an der IT-Sicherheit Beteiligten sein“, sagt etwa Richard Werner, Cybersecurity Platform Lead Europe bei Trend Micro, gegenüber ChannelPartner. „Unternehmen müssen prüfen, inwieweit sie selbst abhängig von dieser Datenbank sind. Beispielsweise vertrauen einige Schwachstellen-Scanner auf sie“, warnt er.
„Das CVE-Programm ist ein zentraler Baustein der globalen Cybersicherheit: Es schafft Transparenz, Vergleichbarkeit und ermöglicht die schnelle Reaktion auf Schwachstellen weltweit“, betont auch Umut Alemdar, SVP Cybersecurity bei Hornetsecurity. „Jede Unsicherheit in diesem System hat weitreichende Auswirkungen auf Sicherheitsprozesse, automatisierte Abwehrmaßnahmen und das Vertrauen in die zugrundeliegende Infrastruktur.“
„Das CVE-System bietet der Industrie zwei unterschiedliche Möglichkeiten: Einen Rahmen dafür, wie wir über die Schwachstellen und Schwachstellen in den Produkten sprechen, und eine zentrale Behörde für die Einreichung, Prüfung, Zusammenarbeit und Veröffentlichung dieser Schwachstellen“, beschreibt Christian Have, CTO von LogPoint, die Bedeutung des Systems. „Ohne das zentrale CVE-System machen wir einen gewaltigen Schritt in die falsche Richtung. Jede IT-Organisation ist auf CVEs angewiesen.“
„Als Sicherheitsanbieter halten wir diese effektive Streichung – vorsichtig gesagt – für höchst problematisch“, erklärt auf Anfrage von ChannelPartner Tim Berghoff, Security Evangelist bei G Data. „Ohne eine einheitliche und verlässliche Quelle besteht die Gefahr, dass es ein heilloses Durcheinander und zahlreiche Fehlkommunikationen geben wird. Es wird praktisch ‚von jetzt auf gleich‘ ein de-facto-Standard abgeschafft, auf den sich Unternehmen aus aller Welt berufen und dies zur Koordinierung nutzen.
width=”5978″ height=”3363″ sizes=”(max-width: 5978px) 100vw, 5978px”>“Die Kosten, die durch die Streichung des Budgets eingespart werden, stehen in keinerlei Verhältnis zu dem, was weltweit an Schäden droht – und das schließt die USA ausdrücklich mit ein”, warnt Tim Berghoff, Security Evangelist bei G Data Cyberdefense..G DATA
Die Kosten, die durch die Streichung des Budgets eingespart werden, stehen in keinerlei Verhältnis zu dem, was weltweit an Schäden droht – und das schließt die USA ausdrücklich mit ein. Für IT-Sicherheit weltweit könne das „nichts Gutes bedeuten“. Berghoff prognostiziert: „Andere Organisationen werden versuchen, die drohende Lücke zu füllen, was wiederum in einer Fragmentierung und Verwässerung von Standards resultieren wird.“
“CVE ist die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte”, schreibt auch Satnam Narang, Senior Staff Research Engineer bei Tenable. Das Unternehmen ist als Spezialist für Bewertung und das Management von Schwachstellen von solchen Systemen besonders abhängig.
Sorgen der IT-Dienstleister vor einem CVE-Aus
Auch IT-Dienstleister machen sich Sorgen. Adrian Woizik, Geschäftsführer bei Medialine Security etwa, schreibt bei LinkedIn: „Das aktuelle Schreiben von MITRE an das CVE Board deutet auf bevorstehende Veränderungen hin, die mehr als nur administrative Neuordnung sein könnten. Diese Entwicklung lässt Raum für Spekulationen über die strategische Ausrichtung.“ Möglicherweise sei der Schritt ein Anzeichen dafür, „dass die US-Regierung ihren Umgang mit Schwachstellen grundlegend überdenkt. Die Frage stellt sich: Werden Sicherheitslücken künftig weniger transparent gehandhabt und stattdessen für andere Zwecke genutzt?“
Die Frage ist berechtigt. Schließlich wird schon lange darüber diskutiert, inwieweit staatliche Stellen Schachstellen für sich behalten und ausnutzen dürfen, inwieweit das Cyberkriminellen eher Vorschub leistet oder ob es für die Arbeit von Geheimdiensten unverzichtbar ist.Woizik spekuliert deshalb: „Diese potenzielle Neuausrichtung könnte weitreichende Folgen für die globale IT-Sicherheitslandschaft haben und deutet möglicherweise auf eine Priorisierung geopolitischer Interessen gegenüber kollektiver Cybersicherheit hin.“ Da sei eine „beunruhigende Entwicklung, die kritische Diskussionen über die Zukunft des internationalen Schwachstellenmanagements notwendig macht.“
Wie geht es mit der CVE-Datenbank weiter?
Noch ist es aber nicht ganz so weit. In gewissem Umfang funktionieren Gerichte auch in den USA noch. Auf die hofft Berghoff: „Ob diese Maßnahme Bestand haben wird, werden am Ende Gerichte klären müssen.“ Aber auch er sagt: „Selbst wenn ein Gericht zugunsten von MITRE entscheidet und die Fortführung der Finanzierung verfügt: Es ist nicht sicher, wie schnell eine solche Entscheidung fällt – und ob sich die Regierung der USA überhaupt an ein solches Urteil hält.“
srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?quality=50&strip=all 1600w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/04/Hornetsecurity-Umut-Alemdar-16-zu-9.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>„Die weltweite Sicherheits-Community muss zusammenarbeiten, um mehr Transparenz, eine stärkere Dezentralisierung und ein klares Governance-Modell zu gewährleisten“, sagt Umut Alemdar, SVP Cybersecurity bei Hornetsecurity.Hornetsecurity
Sein Fazit: „Wir werden uns hier mit der Tatsache beschäftigen müssen, dass wir uns künftig auch in Sachen IT-Sicherheit nicht mehr auf die USA verlassen können – mit allen dazu gehörenden Konsequenzen.“ Auch aus der Sicht von Hornestsecurity-Sprecher Alemdar müsse die weltweite Sicherheits-Community nun zusammenarbeiten, „um mehr Transparenz, eine stärkere Dezentralisierung und ein klares Governance-Modell zu gewährleisten.“ Die eigenen Kunden und Partner kann er aber beruhigen: „Unsere Schutzlösungen für Microsoft 365, einschließlich unserer Backup- und Wiederherstellungsfunktionen, basieren auf mehreren Bedrohungsquellen und arbeiten auch ohne zentrale CVE-Datenbank zuverlässig.
Das sieht Trend-Micro-Sprecher Werner ebenfalls ähnlich: „Die Security-Branche wird Mittel und Wege finden müssen, sich auf einen anderen Standard zu einigen oder selbst die Finanzierung der Datenbank zu regeln. Das kann aber dauern.“ Eine alternative Entwicklung wäre seiner Ansicht nach, „dass Giganten wie Microsoft den Weg einfach vorgeben und dabei vor allem ihre eigenen Interessen abdecken.“
srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?quality=50&strip=all 1600w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/04/LogPoint-Christian-Have-16-zu-9.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>LogPoint-CTO Have empfiehlt Unternehmen, die CVE-Daten als Teil von Playbooks, Workflows usw. verwenden, sich umgehend zu überlegen, „wie sie eine ausreichend gute Alternative im eigenen Haus aufrechterhalten können.”LogPoint
Aber nicht nur Firmen, auch offizielle Stellen und Behörden in Europa stünden jetzt vor einem Dilemma: „Im Zuge der aktuellen Souveränitätsdebatte möchte man sich unabhängiger von solchen Themen machen. Der Wegfall offener Standards ist dabei ein Problem. Man verliert schlicht die Transparenz und Überprüfbarkeit.“ Das sieht auch Tenable-Manager Narang so: “Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard droht ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.”
LogPoint-CTO Have empfiehlt Unternehmen, einerseits sofort mit den Vorbereitungen zu beginnen, um die Sicherheitshinweise ihrer wichtigsten Anbieter zu verfolgen. Und sofern sie CVE-Daten als Teil von Playbooks, Workflows usw. verwenden, sollten sie sich überlegen, „wie sie eine ausreichend gute Alternative im eigenen Haus aufrechterhalten können.“ Einfach werden wird das nicht. Und vielleicht kommt ja angesichts des hohen Drucks ein brauchbares Alternativangebot der Cybersecurity-Branche schneller, als man das jetzt noch denkt.
Einen Silberstreif am Horizont erkennt Werner aber auch: „Wäre die Einstellung der Finanzierung durch die USA nicht sogar eine Chance ein unabhängiges internationales System zu koordinieren und damit mehr Autonomie in Sachen IT-Sicherheit zu erlangen? Warten wir es ab!“
Das mögliche Aus der Schwachstellendatenbank CVE sorgt für Tiefe Sorgenfalten bei Security-Experten – könnte aber auch auf Umwegen wieder zu mehr digitaler Souveränität führen.
Peter Marwan mit HiDream-I1
Update, 16. April 17 Uhr 45: Quasi in letzter Minute hat die US-Regierung MITRE für die CVE-Datenbank die finanzielle Unterstützung für weitere elf Monate zugesagt. In einer E-Mail an Reuters erklärte die Die Cybersecurity and Infrastructure Security Agency (CISA), dass das CVE-Programm von unschätzbarem Wert sei und dass man eine Verlängerungsoption im Rahmen des Vertrags aktiviert habe, „um sicherzustellen, dass es keine Unterbrechung bei den kritischen CVE-Diensten geben wird.“ Die Rettung in letzter Stunde lässt zunächst aufatmen. Dass es soweit kommen konnte, war jedoch ein deuticher Weckruf und sollte Konsequenzen haben – so die Meinung der von ChannelPartner befragten Branchenexperten. Ein Ansatzpunkt für eine resilientere und von der Politik unabhängige Struktur könnte die in aller Eile gegründete CVE Foundation sein, ebenso die von der ENISA eingerichtete, derzeit noch als Beta verfügbare “European Union Vulnerability Database“.
Das CVE-System hilft Security-Experten und Sicherheitsunternehmen weltweit, einheitlich zu kommunizieren. Angesichts der Flut an Malware und Sicherheitslücken bekommen nur noch die wichtigsten einen Spitznamen – etwa „Log4Shell“. Aber auch sie, lassen sich wie alle anderen, bekannten Lücken an ihrer Bezeichnung aus der CVE-Datenbank eindeutig zuordnen. Sie heißen dann CVE-2024-21762, CVE-2024-4346, CVE-2021-21974 oder CVE-2024-40766. Das ist nicht intuitiv – aber sie lassen sich damit weltweit, eindeutig und klar zuordnen.
Allerdings muss sich eben auch jemand darum kümmern. Und das kostet Geld. Geld ausgeben ist in den USA gerade nur populäre, wenn Stars und Sternchen für Selfies in der Schwerlosigkeit für einige Minuten in den Weltraum geschossen werden. Für sowas Langweiliges wie die Pflege einer nicht nur von wichtigen US-Cybersecurity-Unternehmen, der US-Sicherheitsbehörde CISA und darüber hinaus weltweit – offensichtlich von zahllosen Schnorrern – genutzten Datenbank, wird lieber gespart.
Laut einem Schreiben von Yosry Barsoum, Vizepräsident und Direktor des Centre for Securing Homeland (CSH) bei MITRE, wird die Finanzierung der Einrichtung nicht verlängert nicht verlängert. Der Brief wurde von Bleeping Computer veröffentlicht und zirkuliert derzeit überall im Internet. Demnach läuft der der Vertrag mit den US-Behörden diese Woche aus. Zwar werde im Hintergrund verhandelt, aber gewiss ist nichts. Ein kleines Backup der bisherigen Einträge findet sich bei Github – aber die Datenbank lebt vor allem von ihrer Aktualität, nicht von der Vergangenheit. Security-Experten weltweit sind daher entsetzt.
Trend Micro
„Ein mögliches Ende der Finanzierung der CVE-Datenbank sollte ein Weckruf für alle an der IT-Sicherheit Beteiligten sein“, sagt etwa Richard Werner, Cybersecurity Platform Lead Europe bei Trend Micro, gegenüber ChannelPartner. „Unternehmen müssen prüfen, inwieweit sie selbst abhängig von dieser Datenbank sind. Beispielsweise vertrauen einige Schwachstellen-Scanner auf sie“, warnt er.
„Das CVE-Programm ist ein zentraler Baustein der globalen Cybersicherheit: Es schafft Transparenz, Vergleichbarkeit und ermöglicht die schnelle Reaktion auf Schwachstellen weltweit“, betont auch Umut Alemdar, SVP Cybersecurity bei Hornetsecurity. „Jede Unsicherheit in diesem System hat weitreichende Auswirkungen auf Sicherheitsprozesse, automatisierte Abwehrmaßnahmen und das Vertrauen in die zugrundeliegende Infrastruktur.“
„Das CVE-System bietet der Industrie zwei unterschiedliche Möglichkeiten: Einen Rahmen dafür, wie wir über die Schwachstellen und Schwachstellen in den Produkten sprechen, und eine zentrale Behörde für die Einreichung, Prüfung, Zusammenarbeit und Veröffentlichung dieser Schwachstellen“, beschreibt Christian Have, CTO von LogPoint, die Bedeutung des Systems. „Ohne das zentrale CVE-System machen wir einen gewaltigen Schritt in die falsche Richtung. Jede IT-Organisation ist auf CVEs angewiesen.“
„Als Sicherheitsanbieter halten wir diese effektive Streichung – vorsichtig gesagt – für höchst problematisch“, erklärt auf Anfrage von ChannelPartner Tim Berghoff, Security Evangelist bei G Data. „Ohne eine einheitliche und verlässliche Quelle besteht die Gefahr, dass es ein heilloses Durcheinander und zahlreiche Fehlkommunikationen geben wird. Es wird praktisch ‚von jetzt auf gleich‘ ein de-facto-Standard abgeschafft, auf den sich Unternehmen aus aller Welt berufen und dies zur Koordinierung nutzen.
G DATA
Die Kosten, die durch die Streichung des Budgets eingespart werden, stehen in keinerlei Verhältnis zu dem, was weltweit an Schäden droht – und das schließt die USA ausdrücklich mit ein. Für IT-Sicherheit weltweit könne das „nichts Gutes bedeuten“. Berghoff prognostiziert: „Andere Organisationen werden versuchen, die drohende Lücke zu füllen, was wiederum in einer Fragmentierung und Verwässerung von Standards resultieren wird.“
“CVE ist die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte”, schreibt auch Satnam Narang, Senior Staff Research Engineer bei Tenable. Das Unternehmen ist als Spezialist für Bewertung und das Management von Schwachstellen von solchen Systemen besonders abhängig.
Sorgen der IT-Dienstleister vor einem CVE-Aus
Auch IT-Dienstleister machen sich Sorgen. Adrian Woizik, Geschäftsführer bei Medialine Security etwa, schreibt bei LinkedIn: „Das aktuelle Schreiben von MITRE an das CVE Board deutet auf bevorstehende Veränderungen hin, die mehr als nur administrative Neuordnung sein könnten. Diese Entwicklung lässt Raum für Spekulationen über die strategische Ausrichtung.“ Möglicherweise sei der Schritt ein Anzeichen dafür, „dass die US-Regierung ihren Umgang mit Schwachstellen grundlegend überdenkt. Die Frage stellt sich: Werden Sicherheitslücken künftig weniger transparent gehandhabt und stattdessen für andere Zwecke genutzt?“
Die Frage ist berechtigt. Schließlich wird schon lange darüber diskutiert, inwieweit staatliche Stellen Schachstellen für sich behalten und ausnutzen dürfen, inwieweit das Cyberkriminellen eher Vorschub leistet oder ob es für die Arbeit von Geheimdiensten unverzichtbar ist.
Woizik spekuliert deshalb: „Diese potenzielle Neuausrichtung könnte weitreichende Folgen für die globale IT-Sicherheitslandschaft haben und deutet möglicherweise auf eine Priorisierung geopolitischer Interessen gegenüber kollektiver Cybersicherheit hin.“ Da sei eine „beunruhigende Entwicklung, die kritische Diskussionen über die Zukunft des internationalen Schwachstellenmanagements notwendig macht.“
Wie geht es mit der CVE-Datenbank weiter?
Noch ist es aber nicht ganz so weit. In gewissem Umfang funktionieren Gerichte auch in den USA noch. Auf die hofft Berghoff: „Ob diese Maßnahme Bestand haben wird, werden am Ende Gerichte klären müssen.“ Aber auch er sagt: „Selbst wenn ein Gericht zugunsten von MITRE entscheidet und die Fortführung der Finanzierung verfügt: Es ist nicht sicher, wie schnell eine solche Entscheidung fällt – und ob sich die Regierung der USA überhaupt an ein solches Urteil hält.“
Hornetsecurity
Sein Fazit: „Wir werden uns hier mit der Tatsache beschäftigen müssen, dass wir uns künftig auch in Sachen IT-Sicherheit nicht mehr auf die USA verlassen können – mit allen dazu gehörenden Konsequenzen.“ Auch aus der Sicht von Hornestsecurity-Sprecher Alemdar müsse die weltweite Sicherheits-Community nun zusammenarbeiten, „um mehr Transparenz, eine stärkere Dezentralisierung und ein klares Governance-Modell zu gewährleisten.“ Die eigenen Kunden und Partner kann er aber beruhigen: „Unsere Schutzlösungen für Microsoft 365, einschließlich unserer Backup- und Wiederherstellungsfunktionen, basieren auf mehreren Bedrohungsquellen und arbeiten auch ohne zentrale CVE-Datenbank zuverlässig.
Das sieht Trend-Micro-Sprecher Werner ebenfalls ähnlich: „Die Security-Branche wird Mittel und Wege finden müssen, sich auf einen anderen Standard zu einigen oder selbst die Finanzierung der Datenbank zu regeln. Das kann aber dauern.“ Eine alternative Entwicklung wäre seiner Ansicht nach, „dass Giganten wie Microsoft den Weg einfach vorgeben und dabei vor allem ihre eigenen Interessen abdecken.“
LogPoint
Aber nicht nur Firmen, auch offizielle Stellen und Behörden in Europa stünden jetzt vor einem Dilemma: „Im Zuge der aktuellen Souveränitätsdebatte möchte man sich unabhängiger von solchen Themen machen. Der Wegfall offener Standards ist dabei ein Problem. Man verliert schlicht die Transparenz und Überprüfbarkeit.“ Das sieht auch Tenable-Manager Narang so: “Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard droht ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.”
LogPoint-CTO Have empfiehlt Unternehmen, einerseits sofort mit den Vorbereitungen zu beginnen, um die Sicherheitshinweise ihrer wichtigsten Anbieter zu verfolgen. Und sofern sie CVE-Daten als Teil von Playbooks, Workflows usw. verwenden, sollten sie sich überlegen, „wie sie eine ausreichend gute Alternative im eigenen Haus aufrechterhalten können.“ Einfach werden wird das nicht. Und vielleicht kommt ja angesichts des hohen Drucks ein brauchbares Alternativangebot der Cybersecurity-Branche schneller, als man das jetzt noch denkt.
Einen Silberstreif am Horizont erkennt Werner aber auch: „Wäre die Einstellung der Finanzierung durch die USA nicht sogar eine Chance ein unabhängiges internationales System zu koordinieren und damit mehr Autonomie in Sachen IT-Sicherheit zu erlangen? Warten wir es ab!“