Vor knapp einer Woche sorgte eine Meldung für ein mittleres Erdbeben in der IT-Security-Branche: Die Non-Profit-Organisation Mitre kündigte in einem „geleakten“ Schreiben den Wegfall der bisherigen Finanzierung der Common Vulnerability Enumeration (CVE)-Datenbank an. Der Vertrag mit dem Financier, die US-Regierung, würde am 16. April auslaufen, und ab Mai sei man nicht mehr in der Lage, den Dienst weiterzuführen. Das kurzfristige Versiegen der Geldquelle sorgte für Schockwellen, denn diese Datenbank, auch wenn sie langweilig klingt, ist die Grundlage jedes Patch-Managements. Sie ist gleichermaßen Bindekitt und Übersetzer, der dafür sorgt, dass Informationen zu Schwachstellen einheitlich und nachvollziehbar in der IT-Sicherheitswelt geteilt werden. Kein Wunder also, dass viele Menschen in unserer Branche sehr nervös wurden.
Am nächsten Tag dann die Erlösung: Der edle Spender in Form der Regierungsorganisation Cybersecurity and Infrastructure Security Agency (CISA) bestätigte fristgerecht die Fortführung des Vertrags. Zudem äußerte man sich befremdet über die Aufregung. Die Finanzierung sei nie in Frage gestellt gewesen. War das Ganze also nur ein PR-Stunt?
Nicht so einfach
Das hier wahrscheinlich absichtlich publik gemachte Problem ist, dass eine vor 25 Jahren geschlossene Quick & Dirty-Lösung an die Grenzen ihrer (politischen) Funktionsfähigkeit stößt und überarbeitet werden muss. Zuviel hängt von dem reibungslosen Betrieb der CVE-Datenbank ab, die für alle, die IT-Produkte einsetzen, relevant ist. Doch ist dies im Moment ausschließlich davon abhängig, ob die US-Regierung jedes Jahr aufs Neue die nötigen Mittel dafür bereitstellt. Es ist lediglich eine Frage der Zeit, bis man sich dort überlegt, warum man die Last zum Wohle der restlichen Welt schultern sollte -- auch wenn es um vergleichbar geringe Zahlungen geht.
In Europa muss im Zuge der Souveränitätsdebatte auch eruiert werden, ob man sich wirklich in eine derartige Abhängigkeit begeben möchte. Und nicht zuletzt muss sich die Sicherheitsindustrie – ein Multimilliardengeschäft – auch die Frage gefallen lassen, warum man für ein derart wichtiges Projekt auf die Hilfe von (US)-Steuerzahlern angewiesen ist. Aber genau das macht es auch so schwierig, einen anderen Weg zu finden.
Wie soll es weitergehen?
Die Aktion sollte man als Weckruf verstehen. Wenn bis jetzt noch niemand in der US-Regierung auf die Idee gekommen ist, sich die Finanzierung genauer anzusehen, dann spätestens jetzt, dank des Medienechos. Nun sind 12 Monate zugesagt, aber was dann passiert ist unklar.
Nur eines scheint festzustehen: Wenn von Standards und Allgemeingültigkeit gesprochen wird, dann gibt es nur einen gemeinsamen Nenner. Deshalb ist beispielsweise die Etablierung eines zweiten europäischen Standards kontraproduktiv.
Die Finanzierung des Projekts muss trotzdem breiter aufgestellt werden – beispielsweise durch die neu gegründete CVE-Stiftung. Über die konkrete Ausgestaltung wird es jetzt Diskussionen geben. Das Geld ist, wie gesagt, gar nicht mal unbedingt das Problem. Es handelt sich ja nicht um große Summen. Aber wie heißt es so schön… „No taxation without representation“. Sprechen werden daher zunächst die CVE-Numbering Authorities (CNA). Das sind diejenigen, die in Zusammenarbeit mit Mitre CVEs benennen und zuweisen können. Davon gibt es derzeit 453 (21 aus Deutschland, 244 aus den USA). Trend Micro ist eine davon, die Zero Day Initiative – unser unabhängiges Bug Bounty Programm -- eine zweite.
Aber dann sind da auch noch Regierungen, Hersteller und Unternehmen, die sich bislang eher weniger darum gekümmert haben, wie das Ganze laufen sollte. Sie wären unter anderem betroffen, wenn man beispielsweise von „non“- auf „for“-profit umsteigen würde.
Fazit
Der Medien-Stunt wurde absichtlich kreiert. Über die Hintergründe lässt sich trefflich spekulieren. Dass die aktuelle Situation als unbefriedigend empfunden wird, ist nicht neu. Die Diskussionen darüber gibt es schon länger. Vielleicht werden diese nun etwas an Fahrt aufnehmen. Ist bis nächstes Jahr nichts geschehen, dann ist es sogar wahrscheinlich, dass die USA ihre Zahlungen stark kürzen werden. An ihre Stelle könnten Schwergewichte wie Microsoft treten, die an der Funktionsweise des CVE-Prozesses sicherlich großes Interesse haben. Ob das die europäischen Souveränitätsbestrebungen unterstützt – eher nein. Wir brauchen vielmehr ein weltweit einheitliches System, das nicht von einer einzigen Partei (egal ob Staat oder Unternehmen) abhängig ist. Schauen wir mal, wie es weiter geht!