Die Europäische Union hat am 13. Mai 2025 die European-Vulnerability-Database (EUVD) offiziell gestartet. Ziel dieser neuen Plattform ist es, aggregierte, zuverlässige und handlungsorientierte Informationen über Schwachstellen in Informations- und Kommunikationstechnologie (IKT)-Produkten und -Dienstleistungen bereitzustellen. Die EUVD wurde von der EU-Agentur für Cybersicherheit (ENISA) im Rahmen der Vorgaben der NIS2-Richtlinie entwickelt.Warum eine eigene European-Vulnerability-Database?
Bisher war die US-basierte Common-Vulnerabilities and Exposures (CVE)-Datenbank von MITRE das zentrale Referenzsystem für Schwachstellenmanagement weltweit. Allerdings gibt es in Europa Bedenken hinsichtlich der Abhängigkeit von einer außereuropäischen Infrastruktur und der Kontrolle über die Daten. Zudem gab es zuletzt Unsicherheiten über die Finanzierung und Zukunft des CVE-Programms, was die EU zu einer eigenen, regional zugeschnittenen Lösung motiviert hat.
Funktion und Zielgruppe der European-Vulnerability-Database
Die EUVD dient als zentrale Anlaufstelle für:
-
Öffentliche und private Organisationen, die Schwachstelleninformationen benötigen.
-
Hersteller und Anbieter von IKT-Produkten und -Dienstleistungen.
-
Nationale Behörden, insbesondere die EU-CSIRTs (Computer Security Incident Response Teams).
-
Sicherheitsforscher und interessierte Öffentlichkeit.
Die Plattform ist frei zugänglich und bietet drei Dashboard-Ansichten: für kritische Schwachstellen, aktiv ausgenutzte Schwachstellen und solche, die von EU-CSIRTs koordiniert wurden.
European-Vulnerability-Database: Datenquellen und Inhalte
Die EUVD sammelt Informationen aus verschiedenen vertrauenswürdigen Quellen, darunter:
-
Offene Schwachstellendatenbanken (z.B. CVE von MITRE).
-
Warnmeldungen und Handlungsempfehlungen von nationalen CSIRTs.
-
Hinweise und Patch-Informationen von Herstellern.
-
Kataloge wie CISA’s Known Exploited Vulnerabilities (KEV).
Die Datenbank enthält unter anderem:
-
Beschreibung der Schwachstelle und betroffene Produkte/Versionen.
-
Schweregrad und mögliche Angriffsszenarien.
-
Hinweise zu verfügbaren Patches oder Mitigationsmaßnahmen.
-
Status zur Ausnutzung der Schwachstelle.
ENISA als CVE-Numbering-Authority
Seit Januar 2024 ist ENISA zudem als CVE-Numbering-Authority (CNA) autorisiert. Sie kann somit selbstständig CVE-IDs für Schwachstellen vergeben, die von europäischen CSIRTs entdeckt oder im Rahmen koordinierter Offenlegung gemeldet werden.
Abgrenzung zu anderen EU-Initiativen
Es gibt eine klare Trennung zwischen der EUVD (NIS2-Richtlinie) und der Single-Reporting-Platform (SRP) gemäß Cyber-Resilience-Act (CRA). Während die EUVD als Informationsplattform dient, wird die SRP ab September 2026 zur verpflichtenden Meldung aktiv ausgenutzter Schwachstellen für Hersteller genutzt.
Bedeutung für Europas Cybersicherheit
Die EUVD ist ein strategischer Schritt, um Europas digitale Souveränität und Resilienz zu stärken. Durch die Bündelung und Standardisierung von Schwachstelleninformationen wird die Transparenz erhöht, die Analyse und das Risikomanagement verbessert und die Abhängigkeit von außereuropäischen Systemen reduziert 136.
Kritische Stimmen und Herausforderungen zur European-Vulnerability-Database
Fachleute betonen, dass der Nutzen der EUVD maßgeblich davon abhängt, wie aktuell, umfassend und zuverlässig die Daten gepflegt werden. Es bleibt eine Herausforderung, die Plattform langfristig relevant und vertrauenswürdig zu halten, insbesondere angesichts der parallelen Existenz globaler Datenbanken wie CVE.
Fazit
Die EUVD ist ein zentrales Element der europäischen Cyberstrategie, das sowohl die Informationslage verbessert als auch Europas digitale Unabhängigkeit stärkt. Sie ergänzt bestehende internationale Systeme und bietet speziell für europäische Akteure maßgeschneiderte Funktionen und Kontrollmöglichkeiten,
