artjazz – shutterstock.com
Seit dieser Woche verfügt die Technologiebranche über eine neue Datenbank, um die neuesten Sicherheitslücken in Software zu überprüfen: die European Union Vulnerability Database (EUVD). Das Programm wurde von der Europäischen Agentur für Cybersicherheit (ENISA) zur Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 eingerichtet.
Hier stellt sich die Frage: Warum braucht es ein weiteres System zur Verfolgung von Sicherheitslücken, wenn die Branche längst das weltweit bekannte US-Programm Common Vulnerabilities and Exposures (CVE) als Standard festgelegt hat? Laut ENISA sollen die EUVD und ihr neues Identifizierungssystem das CVE-Programm lediglich ergänzen und nicht ersetzen.
Sicherheitslücken erhalten einen EUVD-Tracker, wenn sie zuerst von europäischen Unternehmen oder CERTs gemeldet werden und in diesem Zusammenhang von Bedeutung sind. Zum Beispiel, wenn sie kritische Infrastrukturen oder Unternehmen in der EU selbst betreffen.
EUVD-Fehler werden jedoch mit einer CVE-Kennung verknüpft, sofern eine solche verfügbar ist. Wenn keine CVE zugewiesen wurde – was angesichts der vereinbarten Grundsätze für die Koordinierung der Offenlegung vermutlich selten vorkommt, bleibt die EUVD-Kennung eigenständig bestehen.
Die kürzlich gemeldete kritische Sicherheitslücke, die den NetWeaver Visual Composer Metadata Uploader von SAP betrifft, kann nun beispielsweise unter EUVD-2025-14349 oder CVE-2025-42999 nachverfolgt werden.
EUVD-Einführung kommt zum richtigen Zeitpunkt
Obwohl sie schon seit einiger Zeit angekündigt war, kommt die Einführung der EUVD gerade zur richtigen Zeit. Im April sah es für einige Stunden so aus, als würde das CVE-Programm nach einem Vierteljahrhundert eingestellt werden. Das US-Heimatschutzministerium (DHS) hatte den Vertrag mit der gemeinnützigen Organisation MITRE Corporation, die das Programm betreibt, nicht verlängert.
In Bezug auf die Cybersicherheit wäre die Einstellung der Finanzierung des weltweit führenden Systems zur Erfassung von Schwachstellen vergleichbar mit der Abschaffung des US-Dollars im Handel. Das Ende konnte nur abgewendet werden, nachdem die Cybersecurity and Infrastructure Security Agency (CISA) eingeschritten war, um die Fortführung des Programms zu finanzieren.
Dennoch hat diese Erfahrung die Branche an die Kritik erinnert, die am CVE-Programm geäußert wurde. Dazu gehört, dass es zu sehr von der Großzügigkeit der US-Regierung abhängt. Zudem hilft es Unternehmen nicht dabei, zu verstehen, welche Schwachstellen sie priorisieren sollten, sondern gibt ihnen lediglich eine allgemeine CVSS-Bewertung.
Das CVE-Programm wird in Verbindung mit der US-amerikanischen National Vulnerability Database (NVD) betrieben und separat vom National Institute of Standards and Technology (NIST) verwaltet.
Vor- und Nachteile der EU-Schwachstellen-Datenbank
Die EUVD versetzt die EU nun in die Lage, dass sie ihre Verpflichtungen aus der NIS2-Gesetzgebung mithilfe eines unabhängigen Systems nachverfolgen kann.
„Die EU-Schwachstellen-Datenbank ist ein wichtiger Schritt zur Stärkung der Sicherheit und Widerstandsfähigkeit Europas. Durch die Zusammenführung von für den EU-Markt relevanten Informationen zu Schwachstellen erhöhen wir die Cybersicherheitsstandards und ermöglichen es sowohl privaten als auch öffentlichen Akteuren, unsere gemeinsamen digitalen Räume besser, effizienter und autonomer zu schützen“, erklärte Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission für technologische Unabhängigkeit, Sicherheit und Demokratie .
Das bedeutet jedoch nicht, dass alle die Einführung des EUVD begrüßen. „Die Schaffung des EUVD hat sowohl positive als auch negative Seiten“, betont Morey J. Haber, Chief Security Advisor beim Sicherheitsanbieter BeyondTrust. „Dabei handelt es sich um einen ergänzenden Dienst, der die Reaktionszeiten verbessern und Lücken in der CVE-Abdeckung schließen könnte“, erläutert der Experte.
Auch wenn es in einer globalisierten Sicherheitsumgebung nicht mehr sinnvoll sei, das CVE-System als „einzige Quelle der Wahrheit“ zu betrachten, könnte die Einführung des EUVD „zu Konflikten bei der Bewertung und Problemen bei der Priorisierung von Risiken führen,“, räumt Haber ein.
Laut Boris Cipot, Senior Security Engineer bei Black Duck (ehemals Synopsys), bedeutet die Einführung eines neuen Schwachstellensystems auch mehr Arbeit für Sicherheitsexperten. „Nun muss eine weitere Datenbank überwacht und herangezogen werden. Dies erhöht die Komplexität für Unternehmen, die mehrere Quellen im Blick behalten, deren Unterschiede verstehen und eine umfassende Abdeckung sicherstellen müssen“, führt der Security-Spezialist aus.
„Unternehmen, die sich ausschließlich auf die US-amerikanische National Vulnerability Database verlassen, sollten prüfen, wie ihre Tools zur Software-Zusammensetzungsanalyse (SCA) neue Quellen wie die EUVD einbeziehen“, empfiehlt Cipot. „Alternativ müssen sie möglicherweise manuelle Prozesse einrichten, um die EUVD direkt zu überwachen, insbesondere um potenzielle EU-Vorschriften einzuhalten oder die Anforderungen von Kunden und Projekten mit Sitz in der EU zu erfüllen.“
Die aktuelle EUVD-Website befindet sich noch in der Beta-Phase. Wir haben ENISA um eine Klarstellung gebeten, wie lange dies dauern könnte, aber bis zum Redaktionsschluss keine Antwort erhalten. (jm)
No Responses