US-Kürzungen bei CVE: Wenn digitale Sicherheit zur Verhandlungsmasse wird
Die US-Finanzierung für die CVE-Liste wird per sofort gestoppt – mit potenziell dramatischen Folgen …
CVE-Aus abgewendet – doch Europa geht eigene Wege. Mit der neuen Schwachstellendatenbank der ENISA stärkt die EU ihre digitale Souveränität. ayedo zeigt, wie modernes Schwachstellenmanagement funktioniert.
In der globalen IT-Security-Welt hat sich am 16. April 2025 etwas Entscheidendes bewegt: Die drohende Abschaltung des CVE-Systems (Common Vulnerabilities and Exposures) konnte offenbar abgewendet werden. Laut Berichten wurde der Vertrag zwischen der US-amerikanischen Cybersecurity-Behörde CISA und dem Betreiber MITRE kurzfristig verlängert – eine Maßnahme in buchstäblich letzter Minute.
Doch während die internationale Community auf ein offizielles Statement wartet, hat Europa Fakten geschaffen: Die ENISA (European Union Agency for Cybersecurity) bringt ihre eigene Schwachstellendatenbank – die European Vulnerability Database (EVD) – an den Start. Ein Signal, das weit über den sicherheitstechnischen Nutzen hinausgeht: Europa setzt auf digitale Souveränität.
Das CVE-System ist ein Grundpfeiler der globalen IT-Sicherheitsarchitektur. Es standardisiert und katalogisiert Sicherheitslücken, sodass Entwickler, Unternehmen und Sicherheitsanbieter weltweit dieselbe Sprache sprechen, wenn es um Schwachstellen geht. Ohne diese Referenz droht Chaos: unklare Zuordnungen, fehlende Verlässlichkeit – und gefährdete IT-Infrastrukturen.
Die Diskussion über eine potenzielle Abschaltung sorgte daher für Unruhe. Eine zu große Abhängigkeit von einer US-zentrierten, teils privatwirtschaftlich getragenen Struktur – das war vielen ein Dorn im Auge. Die aktuelle Krise hat gezeigt: Es braucht Alternativen, am besten innerhalb eines transparenten, europäischen Rahmens.
Schon seit Juni 2024 arbeitet die ENISA an einer eigenen Schwachstellendatenbank – ein Projekt im Kontext der NIS2-Richtlinie, die europaweit höhere Cybersicherheitsstandards für Unternehmen, Behörden und kritische Infrastrukturen vorschreibt. Anfang April 2025 ging die Plattform überraschend für wenige Stunden online – zunächst als interner Funktionstest. Doch nach den CVE-Turbulenzen handelte ENISA schnell und veröffentlichte die Datenbank öffentlich.
Merkmal | European Vulnerability Database (EVD) |
---|---|
Betreiber | ENISA (EU-Agentur) |
Zielsetzung | Unabhängige, EU-zentrierte Dokumentation von Schwachstellen |
Compliance-Rahmen | NIS2-konform, DSGVO-konform |
Status | In Betrieb, ausbaufähig |
Zugang | Öffentlich, API-gestützt geplant |
Die EVD setzt nicht nur ein technisches Zeichen, sondern auch ein politisches: Europa will bei der Cybersicherheit nicht länger nur reagieren, sondern gestalten – und das auf Basis von Offenheit, Sicherheit und strategischer Unabhängigkeit.
Auch jenseits der EU formieren sich Alternativen. Verschiedene zivilgesellschaftliche und industrielle Initiativen denken laut über Open-Source-basierte CVE-Alternativen nach. Eine Stiftungslösung für die CVE-Verwaltung ist ebenfalls im Gespräch. Der Markt für Schwachstelleninformationen könnte dadurch vielfältiger, widerstandsfähiger – und letztlich demokratischer werden.
Für Unternehmen in Europa ergibt sich daraus eine wichtige Frage:
Wie integrieren wir neue Schwachstellenquellen wie die EVD in unsere Prozesse – ohne Redundanzen, aber mit maximaler Transparenz?
Hier sind strategische Partnerschaften gefragt, etwa mit Anbietern, die Schwachstelleninformationen aggregieren, bewerten und automatisiert in bestehende SIEM-, CMDB- oder Schwachstellenmanagement-Systeme einspeisen können. Eine souveräne Infrastruktur braucht auch souveräne Tools.
Die Entwicklungen rund um CVE und die neue europäische Datenbank markieren eine Zäsur: Nicht mehr die Frage nach dem ob, sondern dem wie europäische IT-Sicherheit unabhängig, modern und compliance-konform organisiert werden kann, steht im Zentrum.
Für IT-Entscheider heißt das:
Jetzt ist der richtige Zeitpunkt, Schwachstellenmanagement neu zu denken – resilient, europäisch und interoperabel.
Mit ayedo begleiten wir Unternehmen, Behörden und kritische Infrastrukturen dabei, ihre IT-Systeme zukunftssicher aufzustellen. Wir integrieren Schwachstellendaten – ob aus CVE, EVD oder anderen Quellen – direkt in Ihre bestehenden Prozesse und Werkzeuge. Unser Ansatz ist:
🔍 Sie möchten wissen, wie Sie EVD und CVE gemeinsam nutzen – ohne Mehraufwand?
💡 Oder Sie suchen eine souveräne Lösung zur Automatisierung Ihres Schwachstellenmanagements?
Dann sprechen Sie mit uns.
Die US-Finanzierung für die CVE-Liste wird per sofort gestoppt – mit potenziell dramatischen Folgen …
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine …
Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. …