ArtemSam - Fotolia
EUVD: Europäische Datenbank für Sicherheitslücken offiziell
Einheitliche Benennung und Einstufung von Schwachstellen und Sicherheitslücken ist ein wichtiger Baustein der gesamten Cybersicherheit. Nun ist die EUVD offiziell gestartet.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat gemäß der NIS2-Richtlinie die Europäische Schwachstellendatenbank (EUVD) entwickelt. Nun hat die ENISA den offiziellen Start der EUVD (European Union Vulnerabiltity Database) bekannt gegeben. Diese Datenbank soll aggregierte, zuverlässige und verwertbare Informationen zu Sicherheitslücken, die Produkte und Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) betreffen. Dies beinhaltet auch Maßnahmen zur Risikominderung und den Ausnutzungsstatus.
Die Datenbank ist allgemein öffentlich zugänglich, um Informationen über Schwachstellen abzurufen. Die EUVD richtet sich sowohl an Unternehmen und Einrichtungen, die die betroffenen Produkte nutzen, als auch an die Anbieter der ITK-Produkte. Die Informatioen sind sowohl für die zuständigen nationalen Behörden des EU-CSIRT-Netzwerks wie auch private Unternehmen und Sicherheitsforscher bestimmt.
Was steht in der EUVD (European Union Vulnerabiltity Database)?
In der Datenbank finden sich die Beschreibung der Schwachstelle, die betroffenen Produkte oder Dienste sowie Versionen, die Schwere der Schwachstelle und wie sie ausgenutzt werden kann. Zusätzlich finden sich gegebenenfalls Informationen über vorhandene relevante Patches oder Leitlinien, die von den zuständigen Behörden bereitgestellt, um die Risiken mindern zu können.
Die Website EUVD zeigt die Informationen der Datenbank in Dashboards. Jeweils für kritische Schwachstellen, ausgenutzte Schwachstellen und für EU-koordinierte Schwachstellen. Letztere listen die von den europäischen CSIRTs koordinierten Schwachstellen auf.
„Mit der Umsetzung der Anforderung der NIS-2-Richtlinie zur Einrichtung einer Schwachstellendatenbank erreicht die ENISA einen Meilenstein. Die EU verfügt nun über ein wichtiges Instrument, mit dem das Management von Schwachstellen und den damit verbundenen Risiken erheblich verbessert werden kann. Die Datenbank gewährleistet Transparenz für alle Nutzer der betroffenen IKT-Produkte und -Dienste und wird als effiziente Informationsquelle für die Suche nach Abhilfemaßnahmen dienen.“, so Juhan Lepassaar, Excecutive Director der der ENISA,
CVE-Daten werden in die EUVD integriert
Um der NIS2-Richtlinie zu entsprechend, hat die ENISA eine Zusammenarbeit mit verschiedenen EU- und internationalen Organisationen, darunter dem CVE-Programm von Mitre, initiiert. Die ENISA steht in Kontakt mit Mitre, um die Auswirkungen und die nächsten Schritte nach der Ankündigung der Finanzierung des CVE-Programms zu analysieren.
In der Cybersicherheit ist das von der Non-Profit-Organisation Mitre betriebene CVE-System (Common Vulnerabilities and Exposures, CVE) in vielerlei Hinsicht ein wichtiger Baustein. Das CVE-System dient mehr oder minder weltweit als Referenz und Archiv für bekannte Sicherheitslücken und wurde Ende der 1990er-Jahre eingeführt. Inzwischen hat das System erheblichen Einfluss auf die weltweite Sicherheitsforschung. Finanziert wird das System durch die finanzielle Unterstützung der US-Regierung über die National Cyber Security Division des US-Heimatschutzministeriums. Und eben dies sorgte im April 2025 für erhebliche Diskussionen in der Security-Gemeinschaft, denn diese Unterstützung schien auf der Kippe zu stehen, womit eine Weiterführung des Systems gefährdet schien.
Das Zusammenspiel mit der EUVD wird von der ENISA wie folgt beschrieben: CVE-Daten, die Daten von den Anbietern, die Schwachstelleninformationen über Sicherheitshinweise offenlegen sowie der Katalog bekannter ausgenutzter Schwachstellen der CISA werden automatisch in die EUVD übertragen.
