CVE-Programm: US-Repräsentantenhaus verlangt Verbesserungen
Jede auch nur halbwegs wichtige SicherheitslĂĽcke hat eine CVE-Nummer. Das Programm, das diese IDs vergibt, krankt allerdings an vielen Ecken und Enden.
- Fabian A. Scherschel
Das CVE-Programm ist ein wichtiger Baustein der internationalen Security-Gemeinde. Über sogenannte CVE-Nummern werden weltweit Software-Sicherheitslücken und deren Auswirkungen verfolgt. CVE steht für Common Vulnerabilities and Exposures ("allgemeine Schwachstellen und Gefahren") und entsprechende ID-Nummern werden seit 1999 von der gemeinnützigen MITRE Corporation vergeben, die das Programm mit Mitteln der US-Regierung aus der Taufe hob. Da in der Vergangenheit immer wieder Kritik an der Vergabe von CVE-Nummern laut wurde, hat ein Ausschuss des US-Repräsentantenhauses nun die Arbeit des CVE-Programms untersucht und kommt zu dem Schluss, dass dringende Änderungen fällig sind.
Immer wieder Ă„rger mit CVE-Nummern
Sicherheitsforscher hatten in der Vergangenheit immer wieder darauf hingewiesen, dass es nach der Meldung von Sicherheitslücken an MITRE zu lange dauere, bis den Schwachstellen CVE-Nummern zugeteilt werden. Ein offensichtlicher Teil des Problems ist die Tatsache, dass Jahr für Jahr immer mehr CVE-Nummern beantragt werden, weil Sicherheitsforscher immer mehr Lücken öffentlich melden. Dafür scheint es viele Gründe zu geben – von der steigenden Popularität von Bug-Bounty-Programmen bis hin zum Einfluss der vielen IoT-Geräte mit unzähligen neuen Sicherheitslücken. Mehr Software bedeutet zwangsläufig auch mehr Sicherheitslücken und da es immer lohnender wird, diese zu finden und zu melden, steigt auch die Zahl der beantragten CVE-Nummern.
Zu dem Schluss, dass das MITRE-Programm diesem Ansturm nicht mehr gewachsen ist kommt jetzt auch der Ausschuss für Energie und Handel des US-Repräsentantenhauses. Zum Abschluss einer fast anderthalb Jahre währenden Untersuchung kommen dessen Mitglieder zu dem Ergebnis, dass die Organisation und Finanzierung des CVE-Programms dringend verbessert werden müssen. In einem Brief an das Heimatschutzministerium, dem aktuellen Geldgeber des Programms, und der MITRE Corporation beauftragen die Vorsitzenden des Ausschusses beide Organisationen damit, bis zum 10. September Verbesserungsvorschläge zu präsentieren.
Wichtigkeit des CVE-Programms "nicht ganz erkannt"
Dabei soll es nach Ansicht der Abgeordneten vor allem darum gehen, die finanziellen Grundlagen des CVE-Programms zu festigen. Die bestehenden Verträge zwischen dem Heimatschutzministerium und der MITRE Corporation seien zu unvorhersehbar und der steigenden Zahl von CVE-Anträgen nicht gewachsen. Man habe den Eindruck, so heißt es in dem Brief, dass beide Organisationen den Status des Programms als kritischen Teil der Sicherheitsinfrastruktur des Landes "nicht ganz erkennen" würden. Das Programm müsse in Zukunft besser bezahlt, besser dokumentiert und strenger überwacht werden, damit sichergestellt werden könne, dass es den Erwartungen der Sicherheitsgemeinde gerecht wird.
CVE-Nummern haben vor allem eine Aufgabe: In der Kommunikation sicherzustellen, dass alle Beteiligten tatsächlich über die gleiche Lücke reden. Hinweise wie "die aktuelle Lücke in X" führen dabei zu oft in die Irre – insbesondere, wenn X für ein sehr bewegliches Ziel wie Adobe Flash steht. Deshalb gibt heise Security bei Meldungen zu Schwachstellen wenn immer möglich auch die CVE-Nummern an. Nach denen kann man suchen und erhält zuverlässig die richtigen Referenzen. Als Informationsquelle taugen vor allem die CVE-Seiten des MITRE jedoch kaum. Vor allem dann, wenn die Lücken noch aktuell sind und eifrig besprochen werden, finden sich hier meist nur Platzhalter ohne nennenswerte Information. (fab)