In den frühen Morgenstunden des 16. Aprils 2025 machte eine Nachricht wie ein Lauffeuer die Runde: Die Finanzierung für die Schwachstellen-Datenbank CVE stand vor dem Aus. Es würde die Datenbank nicht mehr geben. Nur alte Einträge würden noch auf Github vorgehalten. Es könnte schon in ein paar Stunden vorbei sein. Journalisten sammelten in aller Eile Statements ein. Die meisten ließen sich auf einen Nenner bringen: „Die CVE einzustellen ist mehr als nur eine ganz schlechte Idee, es ist eine Katastrophe“.
Gegen Abend deutscher Zeit kam dann Entwarnung. Die Finanzierung für MITRE ist für weitere elf Monate gesichert. Allgemeines Aufatmen. Doch auch Nachdenklichkeit.
Das war knapp. Viel zu knapp. Was, wenn im März 2026 dann doch der Hammer fällt?
Hektische Betriebsamkeit
Schon direkt nach Bekanntwerden der drohenden Abschaltung hatten verschiedene Initiativen damit begonnen, Alternativen zu entwickeln. Die ENISA, die seit vergangenem Jahr an einer europäischen Variante der CVE-Datenbank arbeitet, stellte kurzerhand den aktuellen Entwicklungsstand online. Innerhalb von Stunden kam auch eine Alternative aus den USA zur regierungsfinanzierten CVE.
Hintergründe und vermeintliche Einsparungen
Doch warum die Aufregung, und woher kam die Hiobsbotschaft mit der drohenden Abschaltung? Die amerikanische MITRE-Corporation, die die CVE-Datenbank betreibt, wird von der Cybersecurity and Infrastructure Security Agency (CISA) finanziert, welche wiederum der US-Heimatschutzbehörde unterstellt ist. Im Rahmen eines Sparprogramms der Regierung wurden in den letzten Monaten bei MITRE nicht nur mehrere hundert Stellen gestrichen, sondern auch einige Projekte auf den Prüfstand gestellt. Darunter auch das CVE-Programm. Eine Streichung laufender Verträge mit MITRE spare 28,5 Millionen Dollar ein. Die neu gegründete DOGE-Behörde setzte übrigens mit Billigung des Präsidenten auch bei anderen wichtigen Programmen und Behörden den Rotstift an - unter anderem bei der Katastrophenschutzbehörde FEMA sowie diversen Klimaforschungsprogrammen des NOAA. Eines der Resultate daraus ist, dass Unwetterwarnungen nicht mehr rechtzeitig zur Verfügung gestellt werden können.
Ins eigene Fleisch geschnitten
Tatsache ist jedoch, dass die Schäden, welche aus der Streichung von Programmen wie der CVE-Datenbank entstehen, in keinem Verhältnis zu den Einsparungen stünden. Die knapp über 20 Millionen Dollar, die das Programm an Unterhalt kostet, können bereits bei einem einzigen Sicherheitsvorfall in einem einzigen größeren Unternehmen fällig werden – auch bei einem amerikanischen Unternehmen. Wie viele der Streichungen, die unter der Trump-Regierung zustande gekommen sind, basiert auch diese auf einer Milchmädchenrechnung und auf einigen haarsträubenden Fehleinschätzungen.
Zeit für Unabhängigkeit
Der Eindruck, den viele Sicherheitsfachleute hatten, ist: Das war knapp. Zu knapp.
Angesichts der aktuellen Sprunghaftigkeit und der abnehmenden Zuverlässigkeit der US-Politik ist es höchste Zeit, Alternativen zur USA-zentrischen CVE-Datenbank an den Start zu bringen und sich unabhängig zu machen. Eine einheitliche Sprache und ein allgemeingültiger Standard für das Erfassen von Schwachstellen ist ein zentraler und wichtiger Baustein vieler Sicherheitsarchitekturen. Allein die Kritikalitätsbewertung dient vielfach als Grundlage für eine Priorisierung.
Über die Jahre ist die CVE ein verlässlicher und allgemein verstandener de-facto-Standard geworden. Nun gilt es, diese Zuverlässigkeit auf ein stabileres Fundament zu stellen, als es momentan der Fall ist. Zwar läuft die Finanzierung erst einmal weiter – aber angesichts einer langen Reihe krasser Fehlentscheidungen der US-Regierung sowie erschreckend kurzsichtiger Planungen, die langfristig auch den USA massiv schaden, müssen Alternativen her. Sollte aus einer Laune heraus in elf Monaten dasselbe passieren, was gestern für Aufruhr gesorgt hat, dann hätten wir bereits eine funktionierende Alternative.
Die Beinahe-Abschaltung der CVE führt uns allen noch einmal deutlich vor Augen, dass Europa sich unabhängiger in Sachen Cybersicherheit machen muss. Und zwar schnell.
