Cloud
Viel L?rm um nichts?
Die sich schnell als absichtlich platzierte Ente entpuppte Meldung zum Stopp der Finanzierung der CVE-Datenbank hat ihr Ziel erreicht, n?mlich Aufmerksamkeit generieren. Gedanken über künftige alternative Geldquellen sind nun gefragt. Ein Kommentar.
Save to Folio
Vor knapp einer Woche sorgte eine für ein mittleres Erdbeben in der IT-Security-Branche: Die Non-Profit-Organisation Mitre kündigte in einem ?geleakten“ Schreiben den Wegfall der bisherigen Finanzierung der Common Vulnerability Enumeration (CVE)-Datenbank an. Der Vertrag mit dem Financier, die US-Regierung, würde am 16. April auslaufen, und ab Mai sei man nicht mehr in der Lage, den Dienst weiterzuführen. Das kurzfristige Versiegen der Geldquelle sorgte für Schockwellen, denn diese Datenbank, auch wenn sie langweilig klingt, ist die Grundlage jedes Patch-Managements. Sie ist gleicherma?en Bindekitt und ?bersetzer, der dafür sorgt, dass Informationen zu Schwachstellen einheitlich und nachvollziehbar in der IT-Sicherheitswelt geteilt werden. Kein Wunder also, dass viele Menschen in unserer Branche sehr nerv?s wurden.
Am n?chsten Tag dann die Erl?sung: Der edle Spender in Form der Regierungsorganisation Cybersecurity and Infrastructure Security Agency (CISA) best?tigte fristgerecht die Fortführung des Vertrags. Zudem ?u?erte man sich befremdet über die Aufregung. Die Finanzierung sei nie in Frage gestellt gewesen. War das Ganze also nur ein PR-Stunt?
Nicht so einfach
Das hier wahrscheinlich absichtlich publik gemachte Problem ist, dass eine vor 25 Jahren geschlossene Quick & Dirty-L?sung an die Grenzen ihrer (politischen) Funktionsf?higkeit st??t und überarbeitet werden muss. Zuviel h?ngt von dem reibungslosen Betrieb der CVE-Datenbank ab, die für alle, die IT-Produkte einsetzen, relevant ist. Doch ist dies im Moment ausschlie?lich davon abh?ngig, ob die US-Regierung jedes Jahr aufs Neue die n?tigen Mittel dafür bereitstellt. Es ist lediglich eine Frage der Zeit, bis man sich dort überlegt, warum man die Last zum Wohle der restlichen Welt schultern sollte -- auch wenn es um vergleichbar geringe Zahlungen geht.
In Europa muss im Zuge der Souver?nit?tsdebatte auch eruiert werden, ob man sich wirklich in eine derartige Abh?ngigkeit begeben m?chte. Und nicht zuletzt muss sich die Sicherheitsindustrie – ein Multimilliardengesch?ft – auch die Frage gefallen lassen, warum man für ein derart wichtiges Projekt auf die Hilfe von (US)-Steuerzahlern angewiesen ist. Aber genau das macht es auch so schwierig, einen anderen Weg zu finden.
Wie soll es weitergehen?
Die Aktion sollte man als Weckruf verstehen. Wenn bis jetzt noch niemand in der US-Regierung auf die Idee gekommen ist, sich die Finanzierung genauer anzusehen, dann sp?testens jetzt, dank des Medienechos. Nun sind 12 Monate zugesagt, aber was dann passiert ist unklar.
Nur eines scheint festzustehen: Wenn von Standards und Allgemeingültigkeit gesprochen wird, dann gibt es nur einen gemeinsamen Nenner. Deshalb ist beispielsweise die Etablierung eines zweiten europ?ischen Standards kontraproduktiv.
Die Finanzierung des Projekts muss trotzdem breiter aufgestellt werden – beispielsweise durch die neu gegründete CVE-Stiftung. ?ber die konkrete Ausgestaltung wird es jetzt Diskussionen geben. Das Geld ist, wie gesagt, gar nicht mal unbedingt das Problem. Es handelt sich ja nicht um gro?e Summen. Aber wie hei?t es so sch?n… ?No taxation without representation“. Sprechen werden daher zun?chst die Das sind diejenigen, die in Zusammenarbeit mit Mitre CVEs benennen und zuweisen k?nnen. Davon gibt es derzeit 453 (21 aus Deutschland, 244 aus den USA). live casino online ist eine davon, die Zero Day Initiative – unser unabh?ngiges Bug Bounty Programm -- eine zweite.
Aber dann sind da auch noch Regierungen, Hersteller und Unternehmen, die sich bislang eher weniger darum gekümmert haben, wie das Ganze laufen sollte. Sie w?ren unter anderem betroffen, wenn man beispielsweise von ?non“- auf ?for“-profit umsteigen würde.
Fazit
Der Medien-Stunt wurde absichtlich kreiert. ?ber die Hintergründe l?sst sich trefflich spekulieren. Dass die aktuelle Situation als unbefriedigend empfunden wird, ist nicht neu. Die Diskussionen darüber gibt es schon l?nger. Vielleicht werden diese nun etwas an Fahrt aufnehmen. Ist bis n?chstes Jahr nichts geschehen, dann ist es sogar wahrscheinlich, dass die USA ihre Zahlungen stark kürzen werden. An ihre Stelle k?nnten Schwergewichte wie Microsoft treten, die an der Funktionsweise des CVE-Prozesses sicherlich gro?es Interesse haben. Ob das die europ?ischen Souver?nit?tsbestrebungen unterstützt – eher nein. Wir brauchen vielmehr ein weltweit einheitliches System, das nicht von einer einzigen Partei (egal ob Staat oder Unternehmen) abh?ngig ist. Schauen wir mal, wie es weiter geht!