EU stärkt digitale Souveränität: Neue Schwachstellendatenbank als Antwort auf CVE-Unsicherheiten
CVE-Aus abgewendet – doch Europa geht eigene Wege. Mit der neuen Schwachstellendatenbank der ENISA …
17.04.2025
Katrin Peter
•
•
3 Minuten Lesezeit
US-Kürzungen bei CVE: Wenn digitale Sicherheit zur Verhandlungsmasse wird
Die Common Vulnerabilities and Exposures (CVE)-Liste bildet das Rückgrat koordinierter IT-Sicherheitsmaßnahmen weltweit. Sie ist nicht nur ein technischer Standard, sondern ein strategisches Instrument zur kollektiven Cyberabwehr. Nun steht sie vor dem Aus – zumindest in der heutigen Form. Die US-Regierung hat die Finanzierung für das Projekt gestoppt. Und das mit sofortiger Wirkung.
cve
sicherheit
souveränität
europa
compliance
Die US-Finanzierung für die CVE-Liste wird per sofort gestoppt – mit potenziell dramatischen Folgen für globale IT-Sicherheit. Warum Europa jetzt digitale Souveränität beweisen muss.
Ein Weckruf für IT-Sicherheitsverantwortliche in Europa
Die Common Vulnerabilities and Exposures (CVE)-Liste bildet das Rückgrat koordinierter IT-Sicherheitsmaßnahmen weltweit. Sie ist nicht nur ein technischer Standard, sondern ein strategisches Instrument zur kollektiven Cyberabwehr. Nun steht sie vor dem Aus – zumindest in der heutigen Form. Die US-Regierung hat die Finanzierung für das Projekt gestoppt. Und das mit sofortiger Wirkung.
Was auf den ersten Blick nach einem amerikanischen Verwaltungsproblem klingt, hat direkte Auswirkungen auf Unternehmen, Betreiber kritischer Infrastrukturen und IT-Sicherheitsverantwortliche weltweit – und damit auch bei uns in Europa.
Was ist CVE – und warum ist es so wichtig?
Seit 1999 verwaltet die gemeinnützige MITRE Corporation im Auftrag der US-Regierung die CVE-Liste. Diese enthält eindeutig referenzierbare Kennungen für gemeldete Schwachstellen in Software, Hardware und IT-Diensten. CVEs ermöglichen:
- Standardisierte Kommunikation zwischen Sicherheitsforschung, Softwareanbietern, Systemintegratoren und Anwendern
- Automatisierung von Security-Prozessen, etwa bei Patch-Management und SIEM-Systemen
- Risikobewertungen, z. B. über CVSS (Common Vulnerability Scoring System)
- Verknüpfung mit NVD, der National Vulnerability Database, welche CVEs mit Bedrohungsdetails und Empfehlungen anreichert
Kurz: CVEs sind das Bindeglied zwischen technischer Realität und organisatorischer Handlungskompetenz im Bereich Cybersecurity.
Was ist passiert?
Die Finanzierung durch das US-Ministerium für Heimatschutz (DHS) wurde nicht verlängert. Konkret endet der laufende Vertrag – dotiert mit rund 28 Millionen US-Dollar – laut MITRE heute, obwohl offizielle US-Webseiten den kommenden Mittwoch als Enddatum nennen.
Folgen laut MITRE:
- CVE-Vergabe wird eingestellt – neue Schwachstellen werden nicht mehr aufgenommen
- Automatisierte Systeme von Numbering Authorities funktionieren nur temporär weiter
- NVD droht der Zerfall, da sie vollständig auf CVE-Daten aufbaut
- CWE (Common Weakness Enumeration) ist ebenfalls betroffen
Wer ist betroffen?
| Betroffene Akteure | Mögliche Auswirkungen |
|---|---|
| Unternehmen & Behörden | Keine aktuelle Risikoeinschätzung über offizielle CVEs |
| Sicherheitslösungsanbieter | Brüche in Security-Feeds und Bedrohungsdatenbanken |
| Sicherheitsforscher | Keine einheitliche Referenzierung neuer Schwachstellen |
| Betreiber Kritischer Infrastrukturen | Verzögerungen in der Schwachstellen-Analyse und -abwehr |
| Europäische Regulierungsbehörden | Problematische Abhängigkeit von US-Diensten |
Warum das ein europäisches Problem ist
Die Abhängigkeit Europas von US-amerikanischen Sicherheitsstrukturen ist systemisch und gefährlich. Wenn CVE und NVD zusammenbrechen, trifft das auch europäische Unternehmen unmittelbar – nicht nur operativ, sondern auch compliance-relevant, etwa im Rahmen der NIS2-Richtlinie oder bei TISAX/ISO27001-Audits.
Spätestens jetzt stellt sich die Frage: Wie souverän ist unsere digitale Sicherheit wirklich?
Strategische Lehren für Europa
1. Aufbau eigener SicherheitsinfrastrukturEuropa braucht ein eigenes, resilientes Ökosystem für Schwachstellenmanagement. Denkbar wäre ein EU-gefördertes Pendant zur CVE/NVD-Infrastruktur – idealerweise offen, interoperabel und Open Source-basiert.
2. Stärkere Förderung europäischer InitiativenInitiativen wie die OpenSSF, OSV oder das European Union Agency for Cybersecurity (ENISA) Vulnerability Coordination Team müssen gestärkt werden – finanziell, organisatorisch und politisch.
3. Pflicht zur Redundanz in Security-OperationsSicherheitsverantwortliche sollten CVE-Feeds nicht mehr als Single Point of Truth betrachten. Alternative Quellen wie OSV.dev, VulDB, Exploit-DB oder OpenCVE.io gehören in die Toolbox.
4. Aufbau eigener CVE-Vergabestellen in EuropaEs braucht mehr europäische CVE Numbering Authorities (CNAs), damit kritische Branchen und Forschungseinrichtungen auch im Notbetrieb agieren können.
Fazit: Digital Souverän sein heißt vorbereitet sein
Die mögliche Abschaltung der CVE-Infrastruktur durch die US-Regierung ist mehr als ein Budgetproblem. Es ist ein strukturelles Warnsignal für jeden, der IT-Sicherheit nicht nur konsumiert, sondern verantwortet. Wir dürfen unsere Sicherheit nicht länger auslagern.
Bei ayedo arbeiten wir daran, digitale Souveränität konkret zu machen – in der IT-Modernisierung, im Schwachstellenmanagement und in der Sicherheitsarchitektur. Die jetzige Situation ist eine Chance: für neue, resiliente, europäische Ansätze in der Cybersicherheit.
Ähnliche Artikel
Microsoft sperrt das E-Mail-Konto eines Chefanklägers. Europa schaut zu.
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine …
19.05.2025
SBOM und CVE Scanning – warum sichere Artefakte elementar für die Software Supply-Chain sind
Die Sicherheit von Software-Lieferketten ist heute eines der zentralen Themen in der IT-Sicherheit. …
02.09.2025