2 Punkte von GN⁺ 2025-04-17 | 1 Kommentare | Auf WhatsApp teilen
  • Das CVE-Programm von MITRE hätte wegen des Auslaufens eines DHS-Finanzierungsvertrags am 16. April 2025 um Mitternacht beinahe eingestellt werden müssen, doch CISA zog eine Vertragsoptionsperiode und verhinderte so eine Lücke
  • Laut informierten Kreisen beträgt die Verlängerung 11 Monate; CISA betrachtet CVE als Kerndienst für die Cyber-Community und als Priorität der Behörde
  • Da die zusätzliche Finanzierung für den Betrieb des CVE- und des CWE-Programms am Morgen des 16. April bestätigt wurde, konnte die geplante Serviceunterbrechung vermieden werden
  • CVE ist der De-facto-Standard für die Identifizierung und Verwaltung von Schwachstellen und bildet die Grundlagendaten, auf die NVD, CISA vulnrichment, Produkte von Sicherheitsanbietern, CERTs und unternehmensinterne Schwachstellendatenbanken angewiesen sind
  • Warum der Vertrag auslief, ist unklar; bei einer tatsächlichen Unterbrechung wäre die Aufnahme neuer CVE-Einträge gestoppt worden, während bestehende Einträge über GitHub bereitgestellt worden wären

Verhinderte Unterbrechung durch CISA-Notverlängerung

  • MITREs Common Vulnerabilities and Exposures, also das CVE-Programm, sollte am 16. April 2025 um Mitternacht mit dem Auslaufen des Vertrags mit dem DHS enden
  • Durch die Aktivierung einer Vertragsoptionsperiode durch CISA kommt es nun nicht zu einer Serviceunterbrechung des MITRE-CVE-Programms
    • CISA erklärte, CVE sei für die Cyber-Community von großer Bedeutung und eine Priorität der Behörde
    • Man habe die Vertragsoptionsperiode aktiviert, um sicherzustellen, dass es bei den zentralen CVE-Diensten keine Lücke gibt
    • Laut informierten Kreisen läuft die Vertragsverlängerung 11 Monate
  • Yosry Barsoum von MITRE erklärte, dass durch das Eingreifen der Regierung eine Unterbrechung des CVE-Programms und des Common Weakness Enumeration, also des CWE-Programms, vermieden wurde
    • Stand Morgen des 16. April 2025 habe CISA die zusätzliche Finanzierung zur Aufrechterhaltung des Programmbetriebs bestätigt
    • MITRE halte an seiner Position fest, CVE und CWE als globale Ressource zu erhalten

Das ursprünglich geplante Vertragsende und seine Folgen

  • Mit Stand 15. April 2025 informierte MITRE das CVE Board darüber, dass mit dem Auslaufen des DHS-Vertrags die Finanzierung für die Pflege der CVE-Datenbank wegfallen würde
  • Vom Vertragsende betroffen waren die Arbeiten von MITRE zur Entwicklung, zum Betrieb und zur Modernisierung des CVE-Programms sowie das zugehörige CWE-Programm
  • Sasha Romanosky von der Rand Corporation bewertet die CVE-Benennung und die Zuordnung nach Softwarepaket und Version als Fundament des Ökosystems für Software-Schwachstellen
    • Ohne CVE würde es schwieriger, neu entdeckte Schwachstellen nachzuverfolgen
    • Auch die Bewertung der Schwere, die Vorhersage von Exploits und Entscheidungen über Patches könnten ins Wanken geraten
  • Ben Edwards von Bitsight bezeichnete CVE als wertvolle Ressource, die unbedingt finanziert werden müsse, und nannte die Nichtverlängerung des Vertrags einen Fehler
    • Dank des föderierten Frameworks und der Offenheit von CVE könnten andere Stakeholder den Betrieb grundsätzlich übernehmen
    • Ein Wechsel des Betreibers könnte jedoch in der Übergangsphase schwierig werden

Die Rolle von CVE im Schwachstellen-Ökosystem

  • Das CVE program von MITRE ist eine tragende Säule des globalen Cybersecurity-Ökosystems und der De-facto-Standard für die Identifizierung von Schwachstellen sowie die Orientierung von Vulnerability-Management-Programmen auf Verteidigerseite
  • CVE-Daten liefern Basisinformationen für Produkte von Anbietern in den Bereichen Vulnerability Management, Cyber Threat Intelligence, Security Information, Event Management sowie Endpoint Detection and Response
  • NIST ergänzt über die National Vulnerability Database, also die NVD, die CVE-Einträge von MITRE um zusätzliche Informationen
  • Auch CISA hat als Reaktion auf die Unterfinanzierung des NVD-Programms die CVE-Einträge von MITRE über das vulnrichment-Programm angereichert
  • MITRE ist der ursprüngliche Autor der CVE records und fungiert als zentrale Quelle zur Identifizierung von Sicherheitslücken

Erwartete Kettenreaktionen im Fall einer Unterbrechung

  • Brian Martin, CSO des Projekts Security Errata und ehemaliges Mitglied des CVE Board, geht davon aus, dass der Wegfall der MITRE-Finanzierung sofortige Kettenreaktionen im globalen Schwachstellenmanagement auslösen würde
  • Im föderierten Modell könnten die CVE Numbering Authorities, also CNAs, keine IDs mehr vergeben und Informationen zur schnellen Veröffentlichung an MITRE übermitteln
  • Die NVD basiert auf CVE und hat bereits einen Rückstand von mehr als 30.000 Schwachstellen sowie über 80.000 als „deferred“ markierte Einträge
    • „deferred“ bezeichnet Einträge, die nach aktuellem Stand nicht vollständig analysiert werden
  • Auch Unternehmen mit eigener Schwachstellendatenbank müssten nach alternativen Intelligence-Quellen suchen
  • Betroffen sein könnten nationale Schwachstellendatenbanken einschließlich derer in China und Russland, Hunderte bis Tausende nationale und regionale CERTs weltweit sowie unternehmensweite Schwachstellenmanagement-Programme, die auf CVE/NVD angewiesen sind

Unklare Gründe für das Vertragsende und die Haushaltslage der Regierung

  • Warum das DHS den Vertrag des seit 25 Jahren finanzierten CVE-Programms beenden wollte, ist unklar
  • Die Trump-Regierung hat die Staatsausgaben insgesamt gekürzt, insbesondere im Rahmen von Elon Musks Initiative Department of Government Efficiency
  • Das DHS hat das MITRE-CVE-Programm über CISA finanziert, und CISA musste bereits zwei Haushaltskürzungen hinnehmen
  • Berichten zufolge sind weiterhin fast 40 % der CISA-Belegschaft, also rund 1.300 Personen, von Entlassungen bedroht
  • Laut informierten Kreisen sind die Betriebskosten des CVE-Programms im Vergleich zu Haushaltskürzungen in anderen Bereichen der Bundesregierung gering und würden die Finanzen nicht „zum Einsturz bringen“

Private Alternativen und befristete Gegenmaßnahmen

  • Ohne Vertragsverlängerung hätte MITRE ab Mitternacht des 16. April 2025 keine neuen Einträge mehr in die CVE-Datenbank aufgenommen
  • Bestehende CVE-Einträge sollten über GitHub bereitgestellt werden
  • Patrick Garrity von VulnCheck meint, dass das Schwachstellen-Ökosystem nach dem Scheitern der NIST NVD im Vorjahr geschwächt sei und Auswirkungen auf das CVE-Programm für Verteidiger und die Security-Community schädlich sein könnten
  • VulnCheck reservierte vorsorglich 1.000 CVEs für 2025, da unklar war, welche Dienste von MITRE oder dem CVE-Programm betroffen sein würden
  • CISA erklärte, dass CVE von Regierung und Industrie genutzt wird, um technische Schwachstellen offenzulegen, zu klassifizieren und zu teilen, und dass dies auch Informationen zu Schwachstellen betrifft, die kritische nationale Infrastrukturen gefährden könnten

1 Kommentare

 
GN⁺ 2025-04-17
Meinungen auf Hacker News
  • Dazu gibt es laufende Threads: CVE Foundation – https://news.ycombinator.com/item?id=43704430, Replacing CVE – https://news.ycombinator.com/item?id=43708409

  • Der Vertrag wurde verlängert: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    Vermutlich auf unbestimmte Zeit. DOGE mag ein Haufen Idioten sein, aber im gesamten DOD gibt es auch Leute, die keine Idioten sind

    • Meine Vermutung ist, dass sie nächstes Jahr schrittweise aussteigen. Das langfristige Ziel scheint zu sein, das CVE-Programm in eine Form zu überführen, die eher einem branchengeführten Konsortium ähnelt
      Falls es noch nicht aufgefallen ist: Sie arbeiten nach dem Prinzip Zero-Based Budgeting. Erst alles streichen und nur das wirklich Wichtige wieder zurückholen. Erst kürzen, dann Fragen stellen
      Wichtig ist auch, dass MITRE ein DoD-Auftragnehmer ist. Dass das CVE-Programm von einem Unternehmen betrieben wird, das vom US-Militär finanziert wird, kann in einem Ökosystem, das auf Neutralität und weltweites Vertrauen angewiesen ist, Bedenken wegen Interessenkonflikten hervorrufen
    • Es ist immer schwierig, mit Threads zu Artikeln umzugehen, die durch die weitere Entwicklung bereits überholt wurden. Man fragt sich, ob man einen neuen Thread mit einem neuen Artikel eröffnen sollte, aber gerade gab es eine große Diskussion, und die Nachricht „wurde behoben“ wirkt weniger spannend als der ursprüngliche Aufreger und steigt deshalb meist nicht gut auf
      In letzter Zeit versuche ich, ans Ende des ursprünglichen Titels [fixed] zu setzen, um Leser über die Statusänderung zu informieren. Ich weiß nicht, ob das die beste Lösung ist, und bin mir auch nicht sicher, ob die Sache wirklich gelöst ist, aber es scheint besser zu sein, als gar nichts zu tun. Den Artikel und den Titel eines bestehenden Threads zu ändern, könnte sich wie ein ziemlich heftiger Schlag ins Gesicht anfühlen
    • Scheint noch nicht in FPDS zu stehen: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      Der Vertrag lief heute aus, aber es gab eine Optionsperiode bis März 2026, und DHS musste diese Option nur ausüben
      Korrektur: Das Vertragsende ist heute, der 16. April; wenn die Option nicht ausgeübt worden wäre, wäre die Leistung heute um Mitternacht eingestellt worden. Bei Regierungsverträgen ist es üblich, dass so etwas bis zur letzten Minute geht, und oft verzögert sich auch die Ausübung von Optionen. Aber warum gab es ausgerechnet in diesem Fall so einen Aufruhr? Hat CISA MITRE signalisiert, dass die Option nicht ausgeübt wird?
    • Im Artikel heißt es, „es ist unklar, warum DHS den Vertrag nach 25 Jahren beenden wollte“, aber dann wurde er plötzlich verlängert. Ich weiß nicht, was das mit DOGE zu tun haben soll
  • Ich hätte mir gewünscht, dass so etwas nicht passiert. Ich frage mich, welche Silo-Struktur innerhalb von DHS dazu geführt hat, dass die Nachteile nicht als groß genug gesehen wurden
    Ich glaube nicht, dass irgendein Experte auf diesem Gebiet entschieden gesagt hätte: „Kann man abschaffen, brauchen wir nicht.“ Wenn man sie gefragt hätte, hätten sie wohl eindringlich gesagt: „Bitte nicht anfassen, wir brauchen das“
    Es wirkt aber möglich, dass hochrangige Finanzverantwortliche bei „eigenen Recherchen“ falsch verstanden haben, wie andere CVE nutzen und wer es finanziert

  • Eine Allianz von Mitgliedern des CVE-Boards hat eine neue CVE Foundation gegründet, „um die langfristige Überlebensfähigkeit, Stabilität und Unabhängigkeit des Common Vulnerabilities and Exposures (CVE) Program zu gewährleisten“
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • Ein solches Konsortium sollte ausdrücklich vermeiden, sowohl von Produktanbietern als auch von Sicherheitsfirmen vereinnahmt zu werden
      Produktanbieter haben einen Anreiz, den CVE-Vergabeprozess passend zu ihrem eigenen Patch-Zeitplan zu manipulieren, und Sicherheitsfirmen haben einen Anreiz, sich durch bevorzugten Zugriff auf die CVE-Datenbank einen Wettbewerbsvorteil zu verschaffen
      Es ist nicht unmöglich, dass eine kommerziell finanzierte Organisation eine solche Vereinnahmung vermeidet, aber einfach ist es auch nicht. Mir fällt sofort die Beziehung zwischen der Mozilla Foundation und Google ein
    • Heißt das, wenn die Regierung den Geldhahn zudreht, machen sie diese Arbeit kostenlos weiter?
    • Das riecht weniger nach echtem Fortschritt als nach einem überstürzten Versuch, Vulnerability-Phishing zu ermöglichen. Der Beitrag stammt von jemandem, der ein Security-Startup betreibt, und die Website ist eine Google-Site, die Leute bei Google als Betrug melden können
      Edit: Ihr könnt ruhig downvoten. Die Formulierung war vielleicht zu scharf, sodass der Punkt unterging. Interessant ist, wie leicht Nicht-Sicherheitsexperten auf Namen, Zitate und Autorität hereinfallen
      Vertrauen entsteht nicht über Nacht, und vollständig entsteht es eigentlich nie. Fachleute für Informationssicherheit werden auf eine solche Supply-Chain-Umgehung mit ungewisser Zukunft nicht leicht hereinfallen. Ich hoffe, dass wir diesen Gedanken nicht bald testen müssen, aber ein gewisses Maß an Verlässlichkeit und langfristiger Automatisierung ist nötig. Was gebraucht wird, ist ein technisches, breit konsentiertes System, nicht eine „Stiftung“
  • Die eigentliche Ironie ist, dass viele Y-Combinator-Gründer und HN-Leser genau zu denen gehörten, die so etwas möglich gemacht haben, und sich jetzt fragen, warum die Schlange ihren eigenen Schwanz frisst

    • Vielleicht wollten sie genau das. Es könnte Teil der Privatisierung vieler staatlicher Funktionen sein
      Sie, oder zumindest einige von ihnen, könnten darin eine Möglichkeit sehen, diese Funktion zu übernehmen und damit Geld zu verdienen. Es ist ein wiederkehrender Einnahmestrom, ein wertvolles Abo-Modell, und die Kunden brauchen diesen Dienst wirklich. Falls sie ihn nicht brauchen, kann man im Namen der IT-Sicherheit neue Gesetze erlassen, die ein Abo erzwingen
    • Die fehlende Finanzierung liegt ungefähr bei 2 Millionen Dollar. Praktisch jedes US-Unternehmen könnte dieses Problem im Handumdrehen aus der Welt schaffen
    • Genau. Ich hoffe, Y Combinator und seine Unterstützer können glücklich in ihrem Ancap-Fantasieland leben
      Also in einer Welt, in der NOAA abgewickelt ist und man zahlen muss, um Warnungen vor durch den Klimawandel verstärkten Mega-Hurrikans zu bekommen. Und genau derselbe rücksichtslose, unregulierte Gier hat auch diesen Klimawandel verursacht. Milliardäre sollte es nicht geben, aber Millionäre genauso wenig
  • Gab es nicht auch große Probleme mit der aktuellen CVE-Implementierung? Insbesondere, dass Script Kiddies und AI-Tools die Datenbank zuspammen und Projekte, die Sicherheit ernst nehmen, kaum Mitspracherecht bei den ihnen zugewiesenen „Scores“ haben

    • Aus Sicht von jemandem, der CVEs aktiv nutzt: ja, es gibt große Probleme. Aber es gibt nichts Besseres und auch keine bessere Idee
      Die Scores sind größtenteils nutzlos; wenn sie verschwänden, wäre es mir wohl egal, und tatsächlich schaue ich sie mir nicht einmal an. Ich verstehe allerdings nicht ganz, warum sich die Leute über schlechte Scores so aufregen
      Wenn ein hoher CVSS-Score viel Arbeit auslöst, ist der Vulnerability-Management-Prozess kaputt. Oder man macht Compliance-Arbeit, keine Security-Arbeit. Wenn man Compliance nicht mag, ist der CVSS-Score nicht die eigentliche Ursache des Schmerzes
      Eine zentrale Liste, die stabile IDs an Dinge vergibt, die einen interessieren können oder auch nicht, ist sehr wertvoll
    • Zufällig taucht eine kritische Schwachstelle mit 9,8 Punkten auf, und es spielt keine Rolle, dass sie in meiner Umgebung keinerlei Auswirkungen hat. Wegen dieses CVE sinkt der Security Score der Organisation willkürlich um 10 Punkte, und das Management fragt, wann wir das Unternehmen wieder sicher machen, weil der Security Score das einzige greifbare Ergebnis ist, an dem Erfolg gemessen wird
    • Die Scores waren von Anfang an nie dafür gedacht, über jede einzelne Umgebung hinweg so genau zu sein. Ich weiß nicht, wie stark andere sich darauf verlassen haben, aber die Orte, an denen ich gearbeitet habe, taten das nicht sonderlich
      Trotzdem ist das Score-Problem kein guter Grund, das gesamte CVE-System niederzubrennen
    • Ich habe noch nie jemanden gesehen, der einen CVE-Scanner auf seinen eigenen Code loslässt und nicht sehr schnell die Nase voll hat
    • Natürlich hat die aktuelle CVE-Implementierung Probleme. Wenn die Überschrift „DHS schlägt Verbesserungen und Vereinfachungen am CVE-Programm vor“ gelautet hätte, hätten vermutlich alle gejubelt
      Von „das hat Mängel“ zu „also schaffen wir es ab“ zu springen, ist ein logischer Fehlschluss. Ein fehlerhaftes Sicherheitsregister ist offensichtlich besser als gar kein Sicherheitsregister
  • Wer schon einmal CVE-Management in Open-Source-Software gemacht hat, weiß vermutlich bereits, dass die Kürzungen bei der NVD-Finanzierung seit über einem Jahr andauern.
    April 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    Das NIST betreibt die National Vulnerability Database (NVD). Sie ist ein zentraler Bestandteil der nationalen Cybersecurity-Infrastruktur. Durch die Zunahme von Software und damit auch von Schwachstellen sowie durch veränderte Unterstützung zwischen Behörden wächst der Rückstau bei Schwachstellen. Geprüft werden auch langfristige Lösungen, etwa die Bildung eines Konsortiums aus Industrie, Regierung und anderen Stakeholder-Organisationen, die an der Forschung zur Verbesserung der NVD mitwirken können.
    September 2024, Yocto Project, „An open letter to the CVE Project and CNAs“: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    „Sicherheit und der Umgang mit Schwachstellen in Software werden immer wichtiger. Jüngste Ereignisse haben die Fähigkeit vieler Projekte beeinträchtigt, Probleme zu identifizieren und rechtzeitig zu beheben. Das ist sehr besorgniserregend. Bis vor Kurzem haben wir uns oft nicht auf die Daten des CVE-Projekts verlassen, sondern auf die NVD-Daten, die diese Informationen ergänzt haben.“
    Vor fünf Jahren, 2019, half ich bei der Vorbereitung einer Präsentation des CERT Director von Carnegie Mellon; schon damals ging es um den CVE-Rückstau und mangelnde Ressourcen. Ein erheblicher Teil der gemeldeten Schwachstellen erhielt nicht einmal eine CVE-Nummer. Seitdem ist die Warteschlange länger geworden und die Finanzierung gesunken, aber die Aufrufzahlen lagen im Jahresdurchschnitt unter 100: https://www.youtube.com/watch?v=WmC65VrnBPI

    • Dieser Beitrag war nicht hilfreich und verwirrend. Wenn der heute eingetretene plötzliche Finanzierungsstopp etwas anderes ist als frühere Mittelkürzungen, sollte das klar entsprechend editiert werden, oder bitte künftig so formulieren.
    • Ich frage mich, was genau seit über einem Jahr andauern soll.
      Die Finanzierung scheint heute ausgelaufen zu sein, und beide Zitate klingen so, als werde weitergearbeitet und als sei diese Arbeit wichtig.
      Soll das heißen, dass es seit über einem Jahr irgendeine Bedrohung für die NVD gibt? Ich möchte nur sicherstellen, dass ich es richtig verstehe.
    • In diesem Artikel steht nichts über Mittelkürzungen.
      Der Artikel sagt, dass die Menge an Software-Schwachstellen zunimmt und dass CVE- und NVD-Projekt Schwierigkeiten haben, damit Schritt zu halten.
      Ich wünschte, man würde aufhören, diesen Thread ständig mit politischem Spin zu überziehen.
    • Ich sehe solche Beiträge unter jedem HN-Artikel, der für die aktuelle Regierung negativ ausgelegt werden könnte. Auf eine vage Falschbehauptung folgt eine Erklärung, die nicht zu den Fakten passt, oder ein Zitat, das diese Behauptung nicht stützt.
  • Ich frage mich, was in den letzten Wochen sonst noch still verschwunden ist unter den Dingen, von deren Existenz die meisten Menschen nicht einmal wissen, die aber für die Gesellschaft wichtig sind.
    Von diesem Fall haben wir erfahren, weil wir wissen, dass er wichtig ist. Was wissen wir alles nicht?

    • Die Leute, die das bejubelt haben, kümmert es nicht. Die relative Stabilität und Lebensqualität der Amerikaner beruht auf Institutionen, die sie kaum verstehen oder von denen sie nie gehört haben. Vielleicht muss man sie den heißen Herd einfach anfassen lassen.
    • Auf https://www.project2025.observer/ sind einige davon aufgeführt. Natürlich sind das nur die Institutionen, die die Trump-Leute kennen und ausdrücklich zerstören wollen, aber es ist ein Anfang.
  • Selbst wenn ich versuche, es so wohlwollend wie möglich auszulegen, fällt mir wirklich kein nicht böswilliger Grund ein, der das rechtfertigen könnte.

    • Ich würde sagen: Ignoranz und Arroganz. Die USA scheinen auf dem Weg zu sein, ihre Führungsrolle in Technik und Wissenschaft zu verlieren.
      Die derzeitige Führung scheint Dinge nicht zu verstehen, die nicht glamourös sind. Ich frage mich, wann die Lebensmittelsicherheit zurückgedreht wird. RFK kennt bestimmt ein paar Vitamine, die Salmonellen verhindern.
    • Unfassbar dumm. Welche Rechtfertigung es auch geben mag, sie ist nicht so wichtig wie die schlimmen Folgen.
      Das ist eines der Dinge, die der Staat im öffentlichen Interesse tut.
    • Es ist eine Tragödie der Allmende. NVD und CVE-Projekt hatten seit Jahren mit Rückständen und Finanzierungsproblemen zu kämpfen, und die meisten Sicherheitsanbieter sind zurückhaltend, Schwachstelleninformationen rechtzeitig bereitzustellen, weil das ihren eigenen Wettbewerbsvorteil schmälern könnte.
      Oder sie wollen ihre eigenen alternativen Risiko-Priorisierungsscores verkaufen. Jedes Unternehmen nutzt NVD- und CVE-Daten gern, will aber keine Subvention zahlen, die auch Wettbewerbern hilft. Besonders in einer so hart umkämpften Branche wie Cybersecurity.
    • Ein Grund könnte sein, Staatsausgaben zu senken. Für mich sieht es nicht nach einer eigentlichen Regierungsorganisation aus, also könnten auch andere Organisationen die Finanzierung übernehmen. Ich frage mich auch, wie viel Geld jährlich in diese Organisation fließt.
      Die MITRE Corporation macht auch vieles andere und scheint 2,2 Milliarden Dollar Jahresumsatz zu haben.
      Billionenschwere Unternehmen profitieren von diesem System und tragen auch dazu bei; könnten sie nicht etwa 0,01 % ihres Umsatzes für diesen kleinen Teil kritischer Infrastruktur aufbringen?
    • Das Thema stört mich persönlich, und genau deshalb halte ich Steelmanning für kontraproduktiv.
      Steelmanning ist ein Neologismus, der außer als Signal innerhalb der eigenen Gruppe keinen Nutzen hat. Für dasselbe Konzept gab es bereits einen völlig guten Begriff, nämlich den nuancierteren und geschichtlich reicheren „charitability“.
      Der große Unterschied ist, dass es bei charitability darum geht, den Gegenüber zu respektieren. Steelmanning bedeutet eher, mit der eigenen Intelligenz das Argument des anderen besser zu machen, als er es selbst getan hat.
      Charitability basiert auf gegenseitigem Respekt; daher kann man fragen, warum man wohlwollend sein sollte, wenn jemand ganz offensichtlich keinerlei Respekt für mich hat. Steelmanning versucht, Person und Argument zu trennen, und ist ironischerweise zugleich arrogant und naiv.
  • Grundursache: Layer-8-Fehler
    https://www.computerhope.com/jargon/l/layer8.htm