Datenanbieterunabhängiges Schwachstellenmanagement in Versio.io

Überprüfung der Einstellung der MITRE-Finanzierung durch die US-Regierung

Kurz gesagtDemo anfordernKostenlos testen
 

Kurzfassung

  • Die jüngsten Maßnahmen der US-Regierung unter Donald Trump, insbesondere die Kürzung der Mittel für die MITRE Corporation, gefährden die langfristige Stabilität einer der weltweit führenden Datenbanken für Schwachstellen in der IT-Sicherheit. Als Ergebnis der weltweiten Proteste hat die US-Regierung nun die Finanzierung für ein weiteres Jahr zugesagt.
  • Versio.io stützt sich auf ein generisches, intern entwickeltes Modell zur Verwaltung von Schwachstellen (Common Vulnerabilities and Exposures, CVEs) und bietet gleichzeitig die flexible Integration einer Vielzahl von Datenquellen – darunter öffentliche Schwachstellendatenbanken und herstellerspezifische Sicherheitshinweise. Dank dieses Ansatzes ist Versio.io unabhängig von einzelnen Institutionen, zentralisierten Datenquellen und möglichen politischen Einflüssen.
  • Die Einstellung der Veröffentlichung neuer Schwachstellen durch MITRE wäre ein Informationsverlust für Kunden und Hersteller von Softwarelösungen im Bereich IT-Sicherheit, der sehr wahrscheinlich umgehend von neuen Organisationseinheiten (z. B. der Europäischen Schwachstellendatenbank der Europäischen Union) aufgefangen würde.
  • Die Entscheidung der US-Regierung hat weltweit erneut das Bewusstsein für die Bedeutung von Schwachstellendatenbanken geschärft. Versio.io geht davon aus, dass sich der Trend zu einer dezentralen, verteilten Datenspeicherung fortsetzen wird – verbunden mit einer höheren Verfügbarkeit und verbesserten Qualität der bereitgestellten Schwachstelleninformationen.
 

Was hat die US-Regierung beschlossen?

Am 16. April 2025 gab die US-Regierung unter Präsident Donald Trump bekannt, dass sie die Finanzierung der MITRE Corporation einstellen werde.
Die MITRE Corporation ist eine gemeinnützige Organisation in den Vereinigten Staaten, die im Auftrag der Regierung Forschungs- und Entwicklungsarbeiten durchführt. Sie betreibt staatlich finanzierte Forschungs- und Entwicklungszentren (FFRDCs), um komplexe Herausforderungen in Bereichen wie Cybersicherheit, Verteidigung, Gesundheitswesen und Luft- und Raumfahrt zu bewältigen. Eine ihrer zentralen Aufgaben ist es, IT-Schwachstellen eindeutig zu identifizieren, ihnen standardisierte Kennungen (IDs) zuzuweisen und sie systematisch zu dokumentieren.
Die Entscheidung der US-Regierung hat viele Versio.io-Kunden hinsichtlich des integrierten Schwachstellenmanagements verunsichert. Wir möchten daher in diesem Artikel Klarheit schaffen und unsere Position zu diesem Thema erläutern. Zunächst einmal: Es besteht kein Grund zur Sorge, aber es wird sich etwas ändern, und Versio.io ist dafür gut aufgestellt!
 

Welche allgemeinen Auswirkungen hat die Entscheidung der US-Regierung?

Informationen zu IT-Schwachstellen sind unverzichtbar, da sie Unternehmen in die Lage versetzen, bekannte Schwachstellen frühzeitig zu erkennen und zu schließen – bevor sie ausgenutzt werden können. Sie schaffen Transparenz, fördern standardisierte Reaktionen auf Sicherheitsrisiken und unterstützen automatisierte Schutzprozesse in Unternehmen weltweit.
Ohne die zentrale Koordination und Vergabe von CVE-IDs durch MITRE würde das international etablierte System zur Klassifizierung von Schwachstellen zusammenbrechen. Es käme zu Inkonsistenzen, doppelten Vergaben oder fehlenden Verweisen – mit schwerwiegenden Folgen für die Zusammenarbeit zwischen Softwareherstellern, Sicherheitsunternehmen und Behörden. Auch die Reaktionsgeschwindigkeit auf Bedrohungen würde erheblich leiden.
 

Was bedeutet das für Kunden von Versio.io?

Versio.io versorgt seine Kunden täglich mit über 600.000 aktuellen Informationen zu IT-Sicherheitslücken aus verschiedenen Datenquellen. So können die von Versio.io inventarisierten IT-Landschaften und Technologien gezielt auf bekannte Schwachstellen überprüft werden.
Für die interne Verarbeitung verwendet Versio.io ein generisches Modell zur Verwaltung von Schwachstelleninformationen. Damit können sowohl allgemeine Datenquellen für IT-Sicherheitsschwachstellen (CVE) als auch herstellerspezifische Sicherheitshinweise zentral erfasst und ausgewertet werden. Die folgende Tabelle zeigt die aktuell angebundenen Datenquellen, die täglich aktualisiert und unseren Kunden zur Verfügung gestellt werden:
 
Datenquelle Anzahl der Schwachstellen
Nationale Datenbank für Schwachstellen (MITRE/NIST) 289.742
GitHub-Beratungsdatenbank 273.868
Sicherheitshinweis von Red Hat 38.716
Juniper Sicherheitshinweis (JSA) 1.132
Sicherheitshinweise von Palo Alto Networks 434
Tabelle: In Versio.io integrierte Datenquellen für IT-Sicherheitslücken und -Hinweise (Stand: 16.04.2025)
 
Das Auslaufen der Finanzierung durch MITRE könnte bedeuten, dass keine neuen Informationen zu identifizierten IT-Schwachstellen und keine Updates zu bereits veröffentlichten Schwachstellen mehr bereitgestellt werden. Diese potenzielle Lücke können wir in Versio.io mit bereits integrierten oder zukünftig zu integrierenden Anbietern von Schwachstelleninformationen kompensieren.
Die folgenden weiteren Integrationen von Schwachstellendatenbanken sind in der Produkt-Roadmap von Versio.io geplant
  • Europäische Schwachstellen-Datenbank (EUVD) der Europäischen Union: https://euvd.enisa.europa.eu
  • Open Source Schwachstellen (OSV): https://osv.dev
  • VDE-Zertifikat für OT/IoT: https://www.vde.com/topics-de/digital-security/cert-vde
Das Team von Versio.io sieht in der durch die Entscheidung der US-Regierung ausgelösten Debatte eine große Chance, die digitale Widerstandsfähigkeit durch den Aufbau verteilter Schwachstellendatenbanken zu stärken und die Qualität von Schwachstelleninformationen nachhaltig zu verbessern. Insbesondere die Zuverlässigkeit der MITRE- und NIST-Datenbank in Bezug auf Zeit und Inhalt wurde in den letzten Monaten zunehmend kritisiert. um den möglichen Ausfall der US-amerikanischen National Vulnerability Database (NVD) zu kompensieren.
Mit der Veröffentlichung der Beta-Version der European Vulnerability Database (EUVD) im April 2025 hat die Agentur der Europäischen Union für Cybersicherheit (ENISA) bereits einen wichtigen Schritt unternommen, um das mögliche Versagen der US-amerikanischen National Vulnerability Database (NVD) auszugleichen.
 

Referenzen

MITRE-Gesellschaft
Nationales Institut für Standards und Technologie (NIST)
Nationale Schwachstellendatenbank (NVD)
USA-Ausgabenticket für MITRE
 
 

Autor


Contact person
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.