{"id":3165,"date":"2025-05-14T12:29:46","date_gmt":"2025-05-14T12:29:46","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3165"},"modified":"2025-05-14T12:29:46","modified_gmt":"2025-05-14T12:29:46","slug":"neue-eu-schwachstellen-datenbank-geht-an-den-start","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3165","title":{"rendered":"Neue EU-Schwachstellen-Datenbank geht an den Start"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Die neue EU-Schwachstellen-Datenbank EUVD soll das CVE-Programm erg\u00e4nzen.\n<p class=\"imageCredit\">artjazz \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Seit dieser Woche verf\u00fcgt die Technologiebranche \u00fcber eine neue Datenbank, um die neuesten Sicherheitsl\u00fccken in Software zu \u00fcberpr\u00fcfen: die European Union Vulnerability Database (EUVD). Das Programm wurde von der Europ\u00e4ischen Agentur f\u00fcr Cybersicherheit (ENISA) zur Umsetzung der <a href=\"https:\/\/www.csoonline.com\/article\/574111\/eu-council-adopts-nis2-directive-to-harmonize-cybersecurity-across-member-states.html\" target=\"_blank\" rel=\"noopener\">EU-Cybersicherheitsrichtlinie NIS2<\/a> eingerichtet.<\/p>\n<p>Hier stellt sich die Frage: Warum braucht es ein weiteres System zur Verfolgung von Sicherheitsl\u00fccken, wenn die Branche l\u00e4ngst das weltweit bekannte US-Programm Common Vulnerabilities and Exposures (CVE) als Standard festgelegt hat? Laut ENISA sollen die EUVD und ihr neues Identifizierungssystem das CVE-Programm lediglich erg\u00e4nzen und nicht ersetzen.<\/p>\n<p>Sicherheitsl\u00fccken erhalten einen <a href=\"https:\/\/euvd.enisa.europa.eu\/\" target=\"_blank\" rel=\"noopener\">EUVD-Tracker<\/a>, wenn sie zuerst von europ\u00e4ischen Unternehmen oder CERTs gemeldet werden und in diesem Zusammenhang von Bedeutung sind. Zum Beispiel, wenn sie kritische Infrastrukturen oder Unternehmen in der EU selbst betreffen.<\/p>\n<p>EUVD-Fehler werden jedoch mit einer CVE-Kennung verkn\u00fcpft, sofern eine solche verf\u00fcgbar ist. Wenn keine CVE zugewiesen wurde \u2013 was angesichts der vereinbarten Grunds\u00e4tze f\u00fcr die Koordinierung der Offenlegung vermutlich selten vorkommt, bleibt die EUVD-Kennung eigenst\u00e4ndig bestehen.<\/p>\n<p>Die k\u00fcrzlich gemeldete kritische Sicherheitsl\u00fccke, die den NetWeaver Visual Composer Metadata Uploader von SAP betrifft, kann nun beispielsweise unter <a href=\"https:\/\/euvd.enisa.europa.eu\/enisa\/EUVD-2025-14349\" target=\"_blank\" rel=\"noopener\">EUVD-2025-14349<\/a> oder <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-42999\" target=\"_blank\" rel=\"noopener\">CVE-2025-42999<\/a> nachverfolgt werden.<\/p>\n<h2 class=\"wp-block-heading\"><strong>EUVD-Einf\u00fchrung kommt zum richtigen Zeitpunkt<\/strong><\/h2>\n<p>Obwohl sie schon seit einiger Zeit angek\u00fcndigt war, kommt die Einf\u00fchrung der EUVD gerade zur richtigen Zeit. Im April sah es f\u00fcr einige Stunden so aus, als w\u00fcrde das CVE-Programm nach einem Vierteljahrhundert eingestellt werden. Das US-Heimatschutzministerium (DHS) hatte den Vertrag mit der gemeinn\u00fctzigen Organisation MITRE Corporation, die das Programm betreibt, nicht verl\u00e4ngert.<\/p>\n<p>In Bezug auf die Cybersicherheit w\u00e4re die Einstellung der Finanzierung des weltweit f\u00fchrenden Systems zur Erfassung von Schwachstellen vergleichbar mit der Abschaffung des US-Dollars im Handel. Das Ende konnte nur abgewendet werden, nachdem die Cybersecurity and Infrastructure Security Agency (CISA) <a href=\"https:\/\/www.csoonline.com\/article\/3964670\/cve-finanzierung-weiterhin-gesichert.html\" target=\"_blank\" rel=\"noopener\">eingeschritten war, um die Fortf\u00fchrung des Programms zu finanzieren<\/a>.<\/p>\n<p>Dennoch hat diese Erfahrung die Branche an die Kritik erinnert, die am CVE-Programm ge\u00e4u\u00dfert wurde. Dazu geh\u00f6rt, dass es zu sehr von der Gro\u00dfz\u00fcgigkeit der US-Regierung abh\u00e4ngt. Zudem hilft es Unternehmen nicht dabei, zu verstehen, welche Schwachstellen sie priorisieren sollten, sondern gibt ihnen lediglich eine allgemeine CVSS-Bewertung.<\/p>\n<p>Das CVE-Programm wird in Verbindung mit der US-amerikanischen National Vulnerability Database (NVD) betrieben und separat vom National Institute of Standards and Technology (NIST) verwaltet.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Vor- und Nachteile der EU-Schwachstellen-Datenbank<\/strong><\/h2>\n<p>Die EUVD versetzt die EU nun in die Lage, dass sie ihre Verpflichtungen aus der <a href=\"https:\/\/www.csoonline.com\/article\/3494286\/nis2-dora-data-act-co-die-wichtigsten-security-gesetze-im-uberblick.html\" target=\"_blank\" rel=\"noopener\">NIS2-Gesetzgebung<\/a> mithilfe eines unabh\u00e4ngigen Systems nachverfolgen kann.<\/p>\n<p>\u201eDie EU-Schwachstellen-Datenbank ist ein wichtiger Schritt zur St\u00e4rkung der Sicherheit und Widerstandsf\u00e4higkeit Europas. Durch die Zusammenf\u00fchrung von f\u00fcr den EU-Markt relevanten Informationen zu Schwachstellen erh\u00f6hen wir die Cybersicherheitsstandards und erm\u00f6glichen es sowohl privaten als auch \u00f6ffentlichen Akteuren, unsere gemeinsamen digitalen R\u00e4ume besser, effizienter und autonomer zu sch\u00fctzen\u201c, erkl\u00e4rte Henna Virkkunen, Exekutiv-Vizepr\u00e4sidentin der Europ\u00e4ischen Kommission f\u00fcr technologische Unabh\u00e4ngigkeit, Sicherheit und Demokratie .<\/p>\n<p>Das bedeutet jedoch nicht, dass alle die Einf\u00fchrung des EUVD begr\u00fc\u00dfen. \u201eDie Schaffung des EUVD hat sowohl positive als auch negative Seiten\u201c, betont Morey J. Haber, Chief Security Advisor beim Sicherheitsanbieter BeyondTrust. \u201eDabei handelt es sich um einen erg\u00e4nzenden Dienst, der die Reaktionszeiten verbessern und L\u00fccken in der CVE-Abdeckung schlie\u00dfen k\u00f6nnte\u201c, erl\u00e4utert der Experte.<\/p>\n<p>Auch wenn es in einer globalisierten Sicherheitsumgebung nicht mehr sinnvoll sei, das CVE-System als \u201eeinzige Quelle der Wahrheit\u201c zu betrachten, k\u00f6nnte die Einf\u00fchrung des EUVD \u201ezu Konflikten bei der Bewertung und Problemen bei der Priorisierung von Risiken f\u00fchren,\u201c, r\u00e4umt Haber ein.<\/p>\n<p>Laut Boris Cipot, Senior Security Engineer bei Black Duck (ehemals Synopsys), bedeutet die Einf\u00fchrung eines neuen Schwachstellensystems auch mehr Arbeit f\u00fcr Sicherheitsexperten. \u201eNun muss eine weitere Datenbank \u00fcberwacht und herangezogen werden. Dies erh\u00f6ht die Komplexit\u00e4t f\u00fcr Unternehmen, die mehrere Quellen im Blick behalten, deren Unterschiede verstehen und eine umfassende Abdeckung sicherstellen m\u00fcssen\u201c, f\u00fchrt der Security-Spezialist aus.<\/p>\n<p>\u201eUnternehmen, die sich ausschlie\u00dflich auf die US-amerikanische National Vulnerability Database verlassen, sollten pr\u00fcfen, wie ihre Tools zur Software-Zusammensetzungsanalyse (SCA) neue Quellen wie die EUVD einbeziehen\u201c, empfiehlt Cipot. \u201eAlternativ m\u00fcssen sie m\u00f6glicherweise manuelle Prozesse einrichten, um die EUVD direkt zu \u00fcberwachen, insbesondere um potenzielle EU-Vorschriften einzuhalten oder die Anforderungen von Kunden und Projekten mit Sitz in der EU zu erf\u00fcllen.\u201c<\/p>\n<p>Die aktuelle <a href=\"https:\/\/euvd.enisa.europa.eu\/\" target=\"_blank\" rel=\"noopener\">EUVD-Website<\/a> befindet sich noch in der Beta-Phase. Wir haben ENISA um eine Klarstellung gebeten, wie lange dies dauern k\u00f6nnte, aber bis zum Redaktionsschluss keine Antwort erhalten. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Die neue EU-Schwachstellen-Datenbank EUVD soll das CVE-Programm erg\u00e4nzen. artjazz \u2013 shutterstock.com Seit dieser Woche verf\u00fcgt die Technologiebranche \u00fcber eine neue Datenbank, um die neuesten Sicherheitsl\u00fccken in Software zu \u00fcberpr\u00fcfen: die European Union Vulnerability Database (EUVD). Das Programm wurde von der Europ\u00e4ischen Agentur f\u00fcr Cybersicherheit (ENISA) zur Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 eingerichtet. Hier stellt sich die [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3166,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3165"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3165"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3166"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}