Schwachstellen-Gau: Das NVD-Dilemma erschüttert das Sicherheitsfundament

Sicherheitsforscher genervt: Lücken-Datenbank NVD seit Wochen unvollständig

In der Welt der Cybersicherheit ist Ruhe und Gelassenheit meist nur der stille Vorbote eines aufziehenden Sturms. Die Sicherheitsexperten, gewöhnlich die stoischen Wächter im Hintergrund, sind dieses Mal jedoch lautstark in den Vordergrund getreten und der Grund dafür ist nicht weniger als ein organisatorisches Beben, das sich in den Grundfesten der National Vulnerability Database (NVD) abspielt.



Der Stolperstein heißt NVD


Die NVD, im Dienste der US-amerikanischen Normenbehörde NIST ist üblicherweise das Rückgrat, auf das sich Hersteller von Sicherheitstechnologien verlassen, wenn es darum geht, ihre Schutzwall-Arsenale auf dem neuesten Stand zu halten. Diese Datenbank füttert die Welt mit essenziellen Infos über Sicherheitslücken – und zwar mit allem was das Analytikerherz begehrt: von der Schwere der Bedrohung, über die betroffenen Systeme bis hin zum aktuellsten Patch-Status.



Der unschöne Stand der Dinge


Doch seit Mitte Februar herrscht Aufregung. Eine unscheinbare Notiz auf der Startseite der NVD lässt die Alarmglocken schrillen: „Verspätete Analysebemühungen“ lautet die vage Formulierung die jedoch ein Erdbeben unter den Sicherheitsexperten ausgelöst hat. Mit einer Stoßwelle an unanalysierten Sicherheitslücken die täglich größer wird, scheint das Versprechen der NVD auf eine zeitnahe Bereitstellung von essenziellen Daten ins Wanken zu geraten. Unter den über 2.200 seit 15. Februar aufgetauchten Sicherheitsrisiken finden sich gerade einmal 59 die den Segen einer vollständigen Analyse erfahren haben.



Die Lichtblicke & Schatten


Trotz dieses schwarzen Loches im Datenkosmos der NVD gibt es doch ein Fünkchen Hoffnung. Viele der Lücken werden direkt von den Entdeckern eingeschätzt und erhalten so zumindest eine vorläufige Bewertung nach dem Common Vulnerability Scoring System (CVSS). Doch während die Bewertungen in Echtzeit tröpfeln, häufen sich die Fragen: Wie gedenkt die NVD, das wachsende Datendefizit zu bewältigen und wichtiger noch, wann?



Zwischen Scylla & Charybdis


Zum Unmut der Sicherheitsgemeinde setzt sich die Misere fort, vor allem für jene Unternehmen die es auf die lukrativen Vertragsabschlüsse mit der US-Regierung abgesehen haben. Hier ist der Rückgriff auf NVD-Daten keine Kür, allerdings Pflicht – ein Diktat, das durch die aktuellen FedRAMP-Richtlinien zementiert wird. Die Ironie des Ganzen: Die NIST jene Behörde die der NVD vorsteht hatte selber ihre Hände im Spiel bei der Formulierung dieser Vorschriften.



Ein System am Limit


Nicht nur die NVD strauchelt unter der Last; das gesamte CVE-System (Common Vulnerabilities and Exposures) knackt unter dem Druck. Die Stimmen der Kritik werden lauter prominente Entwickler wie Daniel Stenberg geben dem Unmut eine Stimme. Die Zahlen sprechen eine unmissverständliche Sprache: Über 25.000 neu registrierte CVE-IDs in einem Jahr, ein Anstieg von 15 % Prozent gegenüber dem Vorjahr – Zahlen die das Bild einer angespannten Lage malen, in der die Bedrohungslage die Kapazitäten bei Weitem übersteigt.



In diesem bizarren Ballett der Sicherheitslücken und ihrer Bekämpfung erleben wir eine Achterbahnfahrt der Emotionen und technischen Herausforderungen. Der Blick hinter die Kulissen der NVD entlarvt ein System das sich sichtlich abmüht mit der Flut an neuen Sicherheitsrisiken Schritt zu halten. Ein Drama » in dem jeder Akt neue Fragen aufwirft « während Antworten auf sich warten lassen.






Kommentare


Anzeige