Unter dem Eindruck einer drohenden CVE-Abschaltung haben sich in den Morgenstunden des 16. April verschiedene Initiativen und Organisationen bemüht, Alternativen an den Start zu bringen. CVE steht für Common Vulnerabilities and Exposures (Allgemeine Schwachstellen und Gefährdungen) und dient international zur Dokumentierung von Sicherheitslücken.

Die Bandbreite der Bemühungen ist dabei durchaus beeindruckend: Während sich die einen eher auf die organisatorische Überführung des CVE-Systems in eine Stiftung konzentrieren wollen, stellte die EU-Cybersicherheitsbehörde ENISA ihre seit vergangenem Jahr angekündigte Alternativlösung kurzerhand ins Web.

Bereits im Juni 2024 kündigte ENISA (European Network and Information Security Agency) an, sie arbeite im Einklang mit der NIS2-Richtlinie an einer eigenen Schwachstellendatenbank namens European Vulnerability Database. Anfang April war die Datenbank dann überraschend online – jedoch nur für wenige Stunden. Auf Nachfrage durch heise security antwortete eine ENISA-Sprecherin damals, es habe sich um einen Funktionstest während der Entwicklung gehandelt. Nach der MITRE-Ankündigung einer möglichen Stilllegung entschied man sich dann in Athen offenbar kurzerhand, Nägel mit Köpfen zu machen und die Gunst der Stunde zu nutzen.

CISA: Doch Vertragsverlängerung?

Die US-Cybersicherheitsbehörde CISA hat derweil offenbar ein Optionsrecht ausgeübt und den auslaufenden Vertrag in letzter Sekunde verlängert. Das zumindest berichtet Metacurity auf Mastodon, unter Berufung auf ungenannte Sprecher bei MITRE und CISA. Die Verantwortlichen würden lediglich auf die Unterschrift warten; es gebe bald "gute Nachrichten". Wir werden diese Meldung aktualisieren, sobald diese guten Nachrichten tatsächlich eintreffen.

Bei MITRE im US-Bundesstaat Virginia wird es im Juni wegen der DOGE-bedingten Kürzungen über 400 Kündigungen geben, berichtete das lokale Nachrichtenportal Virginia Business. Zum 3. Juni 2025 sollen 442 Personen ihre Stelle verlieren, weil verschiedene US-Regierungsstellen ihre Verträge mit MITRE gekündigt hätten, so der Bericht weiter.

GCVE und CVE-Stiftung wollen System verändern

Das CIRCL (Computer Incident Response Center Luxemburg, das Regierungs-Computer-Emergency-Response-Team des Kleinstaats) sah offenbar ebenfalls eine Gelegenheit, um ein eigenes CVE-Projekt bekannt zu machen: GCVE, das "Global CVE Allocation System", soll im Gegensatz zur US- und MITRE-zentrischen aktuellen Vorgehensweise eine dezentrale Vergabe von Schwachstellen-Identifikatoren erreichen und gleichzeitig CVE-kompatibel bleiben. Kernpunkt ist eine Erweiterung der aktuell aus Jahreszahl und Laufnummer bestehenden CVE-ID um eine Kennung für die Vergabestelle, im CVE-Lingo CNA (CVE Numbering Authority) genannt. Eine GCVE-ID sieht also etwa so aus: GCVE-12-2024-12345. So kann jede CNA eigene Laufnummern nutzen, ohne sich mit allen anderen Vergabestellen absprechen zu müssen.

Mit einem Kunstgriff gelingt auch die Zuordnung einer CVE zur GCVE: Die CNA-Nummer 0 ist für traditionelle CVE-IDs reserviert, CVE-2024-12345 wird also zur GCVE-ID GCVE-0-2024-12345. In Gegenrichtung funktioniert das nicht, weil die CNA-Kodierung verloren geht. CIRCL hat sich als Initiator die CNA-ID 1 gegönnt.

Auch eine "CVE Foundation" meldete sich mit einer Stellungnahme zu Wort. Auf der am 15. April registrierten Domain "thecvefoundation.org" schreiben die unbekannten Verfasser, sie seien Teil einer "Koalition langjähriger aktiver Mitglieder des CVE-Boards", die das vergangene Jahr damit verbracht hätten, den Übergang des CVE-Systems zu einer eigenen, nichtkommerziellen Stiftung zu planen. In den nächsten Tagen, so die Autoren weiter, wolle man weitere Informationen über Struktur, Planung und Möglichkeiten der Beteiligung für die Community veröffentlichen.

heise security nahm am frühen Nachmittag des 16. April mit der CVE Foundation Kontakt auf und bat um eine Stellungnahme nebst Identifikation der Projektbeteiligten – sobald wir eine Reaktion erhalten, werden wir diese Meldung aktualisieren. Ob die Initiativen zur Modernisierung und Dezentralisierung des CVE-Systems tatsächlich umgesetzt werden, ist derzeit völlig offen.