Blog home
Sicherheitslücken

MITRE CVE-Probleme zukunftssicher machen

Deborah Galea
April 16, 2025
3 Minuten Lesezeit

Gestern gab Yosry Barsoum, Vizepräsident der gemeinnützigen Forschungsorganisation MITRE, bekannt, dass die Finanzierung der Programme Common Vulnerabilities and Exposures (CVE) und Common Weakness Enumeration (CWE) durch die US-Regierung heute ausläuft. Obwohl die Katastrophe durch die Ankündigung der CISA die Verlängerung der CVE-Finanzierung abgewendet wurde, ist es jetzt an der Zeit, weiter darüber nachzudenken, wie Unternehmen vor solchen Vorfällen geschützt werden können, um weiterhin darauf vertrauen zu können, dass ihre Sicherheitstools Sicherheitslücken erkennen können.

Was ist MITRE und das CVE-Programm?

MITRA (kein Akronym, wie manche vielleicht denken) fungiert als CVE-Editor und Primary CNA (CVE Numbering Authority) und verwaltet das CVE-Programm, einen weit verbreiteten Standard für die Verfolgung neu entdeckter Sicherheitslücken mithilfe von weltweit zugewiesenen CVE-Identifikatoren (CVE-IDs).

Die gemeinnützige Organisation spielt eine entscheidende Rolle, wenn es darum geht, Sicherheitsteams in die Lage zu versetzen, Informationen mithilfe von Hinweisen, Schwachstellendatenbanken und anderen Ressourcen unter Verwendung eines Standardreferenzsystems auszutauschen, um Verwirrung zu vermeiden und eine koordinierte Katalogisierung neuer Sicherheitslücken zu erleichtern.

Das CVE-Programm, eine seit 25 Jahren bestehende Initiative, ist ein globaler Standard für die Identifizierung, Definition und Katalogisierung öffentlich gemeldeter Sicherheitslücken mithilfe von CVE-IDs. Es ist ein wichtiges Tool für das Schwachstellenmanagement. Bisher wurden über 274.000 CVE-Einträge verzeichnet.

Wenn dieses Programm plötzlich beendet wird, beispielsweise weil keine CVEs mehr ausgestellt werden oder die Server und der CVE-API-Zugriff der CVE Numbering Authorities heruntergefahren werden, würde dies bedeuten, dass der Branche keine standardisierte Methode zur Verfolgung neuer Sicherheitsprobleme zur Verfügung steht.

Was ist mit der NVD?

Die Angst vor MITRE kommt etwas mehr als ein Jahr, nachdem Probleme mit dem NIST gemeldet wurden Nationale Vulnerabilitätsdatenbank (NVD), ein Archiv der US-Regierung für standardbasierte Schwachstellendaten, als es mehrere Wochen lang nicht aktualisiert wurde.

Während sich MITRE auf die Identifizierung und Katalogisierung öffentlich veröffentlichter CVEs konzentriert, reichert die NVD die CVE-Daten mit Patch-Verfügbarkeits- und Schweregradwerten an und liefert so weitere wichtige Informationen für eine eingehende Schwachstellenanalyse.

Sowohl das MITRE CVE-Programm als auch NIST NVD sind äußerst wertvolle Ressourcen für die Cybersicherheitsgemeinschaft, und beide haben Anzeichen von Instabilität gezeigt.

Was würde passieren, wenn MITRE oder NVD gekündigt würden?

Wenn das CVE-Programm beendet würde, gäbe es keinen globalen Standard mehr für die Benennung und Nummerierung neu entdeckter Sicherheitslücken, was die Fähigkeit von Sicherheitsforschern und Softwareanbietern, diese Bedrohungen schnell zu identifizieren und zu bekämpfen, erheblich einschränken würde. Ebenso könnte ein Rückstau an CVEs im NVD, die auf ihre Erweiterung warten, dazu führen, dass wichtige Informationen über Sicherheitslücken, wie z. B. deren Schweregrad und potenzielle Auswirkungen, den Benutzern nicht ohne Weiteres zur Verfügung stehen.

Da viele kommerzielle Tools für das Schwachstellenmanagement auch auf das CVE-Programm und die NVD als Datenquellen zurückgreifen, würde dies bedeuten, dass ihre Fähigkeit, Schwachstellen zu erkennen und zu priorisieren, beeinträchtigt werden könnte.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Problembehebung dreimal schneller mit Mondoo Unified Exposure Management

Vereinbaren Sie eine Demo

Zukunftssicher: Zusammenarbeit mit der Industrie ist erforderlich

Diese Probleme unterstreichen die Notwendigkeit verstärkter Investitionen in die Cybersicherheitsinfrastruktur und die Bedeutung der Zusammenarbeit zwischen Regierungsbehörden, Industriepartnern und der Open-Source-Community, um die kontinuierliche Wirksamkeit von Schwachstellenmanagementprogrammen sicherzustellen. Mit der Zunahme von Technologien und Diensten wird es immer wichtiger, bei der Offenlegung von Sicherheitslücken schnell und genau vorzugehen, um die Angriffsfläche schnell zu reduzieren.

Als Open-Source-Mitwirkender engagiert sich Mondoo dafür, Initiativen, Analysen und Lösungen von Sicherheitslücken voranzutreiben. Wir haben uns sowohl für Richtlinien als auch für Code und unseren Open-Source-Sicherheitsscanner eingesetzt cnspec, das den Zugang zu automatisierter Schwachstellenerkennung demokratisiert und Unternehmen hilft, diese schnell zu beheben. Wir werden eine aktive Rolle bei den Bemühungen der Gemeinschaft zur Dezentralisierung der globalen Sicherheitsstandards und der Berichterstattung übernehmen.

Mondoo erkennt Sicherheitslücken in Cloud-, On-Prem- und Entwicklungszyklen

Wäre Mondoo von einem MITRE- oder NVD-Shutdown betroffen?

Mondoo stützt sich bei Erkennungen nicht nur auf NVD- oder MITRE-Daten. Stattdessen beziehen wir die Sicherheitslücken und Hinweise von den Anbietern selbst. Das bedeutet, dass unsere Kunden auch dann, wenn MITRE und NVD abgeschaltet würden, weiterhin Sicherheitsupdates und Sicherheitslücken über Mondoo erhalten und dabei unsere anderen Quellen und Hinweise nutzen. Darüber hinaus bereichern wir diese Erkenntnisse um den Reifegrad von Exploits, Exploit-Prediction (EPSS) und bekannte Exploits, um wichtige Erkenntnisse präzise zu priorisieren.

Mondoo erkennt Sicherheitslücken in Cloud-, On-Prem- und Entwicklungszyklen

Über Mondoo

Mondou identifiziert, priorisiert und behebt Schwachstellen und Fehlkonfigurationen in Ihrer gesamten IT-Infrastruktur und SDLC über eine einzige Oberfläche — für On-Premise, Cloud, SaaS und Endgeräte. Im Gegensatz zu isolierten Ansätzen ermöglicht Ihnen Mondoo, Ihre dringendsten Risiken schnell zu verstehen und schnelle Abhilfemaßnahmen einzuleiten, wodurch optimierte Sicherheitsmaßnahmen gewährleistet und die Sicherheitslage erheblich verbessert werden.

Um mehr über die Mondoo-Plattform zu erfahren, klicken Sie bitte kontaktiere uns.

Deborah Galea

Deborah ist Direktorin für Produktmarketing bei Mondoo und leitet die Bereiche Messaging und Positionierung, Produkteinführungen und Vertriebsförderung. Sie verfügt über mehr als 20 Jahre Erfahrung in der Cybersicherheitsbranche. Vor ihrer Tätigkeit bei Mondoo war Deborah Direktorin für Produktmarketing bei Orca Security und hatte verschiedene Marketingpositionen bei anderen Cybersicherheitsunternehmen inne. Sie war Mitbegründerin des E-Mail-Sicherheitsunternehmens Red Earth Software, das 2014 vom Cybersicherheitsunternehmen OPSWAT übernommen wurde.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.