US-Kürzungen bei CVE: Wenn digitale Sicherheit zur Verhandlungsmasse wird
Die US-Finanzierung für die CVE-Liste wird per sofort gestoppt – mit potenziell dramatischen Folgen …
16.04.2025
Katrin Peter
•
•
3 Minuten Lesezeit
EU stärkt digitale Souveränität: Neue Schwachstellendatenbank als Antwort auf CVE-Unsicherheiten
In der globalen IT-Security-Welt hat sich am 16. April 2025 etwas Entscheidendes bewegt: Die drohende Abschaltung des CVE-Systems (Common Vulnerabilities and Exposures) konnte offenbar abgewendet werden. Laut Berichten wurde der Vertrag zwischen der US-amerikanischen Cybersecurity-Behörde CISA und dem Betreiber MITRE kurzfristig verlängert – eine Maßnahme in buchstäblich letzter Minute.
sicherheit
souveränität
europa
cve
compliance
CVE-Aus abgewendet – doch Europa geht eigene Wege. Mit der neuen Schwachstellendatenbank der ENISA stärkt die EU ihre digitale Souveränität. ayedo zeigt, wie modernes Schwachstellenmanagement funktioniert.
In letzter Minute: CVE bleibt – vorerst
In der globalen IT-Security-Welt hat sich am 16. April 2025 etwas Entscheidendes bewegt: Die drohende Abschaltung des CVE-Systems (Common Vulnerabilities and Exposures) konnte offenbar abgewendet werden. Laut Berichten wurde der Vertrag zwischen der US-amerikanischen Cybersecurity-Behörde CISA und dem Betreiber MITRE kurzfristig verlängert – eine Maßnahme in buchstäblich letzter Minute.
Doch während die internationale Community auf ein offizielles Statement wartet, hat Europa Fakten geschaffen: Die ENISA (European Union Agency for Cybersecurity) bringt ihre eigene Schwachstellendatenbank – die European Vulnerability Database (EVD) – an den Start. Ein Signal, das weit über den sicherheitstechnischen Nutzen hinausgeht: Europa setzt auf digitale Souveränität.
Hintergrund: Warum CVE so wichtig ist
Das CVE-System ist ein Grundpfeiler der globalen IT-Sicherheitsarchitektur. Es standardisiert und katalogisiert Sicherheitslücken, sodass Entwickler, Unternehmen und Sicherheitsanbieter weltweit dieselbe Sprache sprechen, wenn es um Schwachstellen geht. Ohne diese Referenz droht Chaos: unklare Zuordnungen, fehlende Verlässlichkeit – und gefährdete IT-Infrastrukturen.
Die Diskussion über eine potenzielle Abschaltung sorgte daher für Unruhe. Eine zu große Abhängigkeit von einer US-zentrierten, teils privatwirtschaftlich getragenen Struktur – das war vielen ein Dorn im Auge. Die aktuelle Krise hat gezeigt: Es braucht Alternativen, am besten innerhalb eines transparenten, europäischen Rahmens.
Die europäische Antwort: Die EVD der ENISA
Schon seit Juni 2024 arbeitet die ENISA an einer eigenen Schwachstellendatenbank – ein Projekt im Kontext der NIS2-Richtlinie, die europaweit höhere Cybersicherheitsstandards für Unternehmen, Behörden und kritische Infrastrukturen vorschreibt. Anfang April 2025 ging die Plattform überraschend für wenige Stunden online – zunächst als interner Funktionstest. Doch nach den CVE-Turbulenzen handelte ENISA schnell und veröffentlichte die Datenbank öffentlich.
Was wir bisher wissen:
| Merkmal | European Vulnerability Database (EVD) |
|---|---|
| Betreiber | ENISA (EU-Agentur) |
| Zielsetzung | Unabhängige, EU-zentrierte Dokumentation von Schwachstellen |
| Compliance-Rahmen | NIS2-konform, DSGVO-konform |
| Status | In Betrieb, ausbaufähig |
| Zugang | Öffentlich, API-gestützt geplant |
Die EVD setzt nicht nur ein technisches Zeichen, sondern auch ein politisches: Europa will bei der Cybersicherheit nicht länger nur reagieren, sondern gestalten – und das auf Basis von Offenheit, Sicherheit und strategischer Unabhängigkeit.
Ausblick: Pluralität statt Monopol
Auch jenseits der EU formieren sich Alternativen. Verschiedene zivilgesellschaftliche und industrielle Initiativen denken laut über Open-Source-basierte CVE-Alternativen nach. Eine Stiftungslösung für die CVE-Verwaltung ist ebenfalls im Gespräch. Der Markt für Schwachstelleninformationen könnte dadurch vielfältiger, widerstandsfähiger – und letztlich demokratischer werden.
Für Unternehmen in Europa ergibt sich daraus eine wichtige Frage:
Wie integrieren wir neue Schwachstellenquellen wie die EVD in unsere Prozesse – ohne Redundanzen, aber mit maximaler Transparenz?
Hier sind strategische Partnerschaften gefragt, etwa mit Anbietern, die Schwachstelleninformationen aggregieren, bewerten und automatisiert in bestehende SIEM-, CMDB- oder Schwachstellenmanagement-Systeme einspeisen können. Eine souveräne Infrastruktur braucht auch souveräne Tools.
Fazit: Europäische Cybersicherheit im Aufbruch
Die Entwicklungen rund um CVE und die neue europäische Datenbank markieren eine Zäsur: Nicht mehr die Frage nach dem ob, sondern dem wie europäische IT-Sicherheit unabhängig, modern und compliance-konform organisiert werden kann, steht im Zentrum.
Für IT-Entscheider heißt das:
Jetzt ist der richtige Zeitpunkt, Schwachstellenmanagement neu zu denken – resilient, europäisch und interoperabel.
ayedo: Schwachstellenmanagement, das zu Ihrer IT-Strategie passt
Mit ayedo begleiten wir Unternehmen, Behörden und kritische Infrastrukturen dabei, ihre IT-Systeme zukunftssicher aufzustellen. Wir integrieren Schwachstellendaten – ob aus CVE, EVD oder anderen Quellen – direkt in Ihre bestehenden Prozesse und Werkzeuge. Unser Ansatz ist:
- Compliance-ready: NIS2, DSGVO und branchenspezifische Standards fest im Blick
- Souverän und automatisiert: Integration in CMDB, SIEM und Automationsplattformen
- Cloud-nativ oder on-prem: Flexibel, sicher, anpassbar
🔍 Sie möchten wissen, wie Sie EVD und CVE gemeinsam nutzen – ohne Mehraufwand?
💡 Oder Sie suchen eine souveräne Lösung zur Automatisierung Ihres Schwachstellenmanagements?
Dann sprechen Sie mit uns.
Ähnliche Artikel
Microsoft sperrt das E-Mail-Konto eines Chefanklägers. Europa schaut zu.
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine …
19.05.2025
SBOM und CVE Scanning – warum sichere Artefakte elementar für die Software Supply-Chain sind
Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. …
02.09.2025