EU veröffentlicht Alternative zur CVE-Datenbank der USA

Das neue Global CVE (GCVE) der Europäischen Union ist offiziell in Betrieb. Die Datenbank soll europäischen Cybersicherheitsexperten als Alternative dienen, falls das CVE-Programm der USA aufgrund von Unterfinanzierung eingestellt werden sollte.

Am 7. Januar wurde die neue Datenbank der Öffentlichkeit vorgestellt. Die Initiative zur Entwicklung einer europazentrierten Schwachstellen-Beratungsdatenbank war seit vergangenem April in Arbeit. Angekündigt wurde sie zusammen mit dem Start der European Union Vulnerability Database (EUVD) im Mai letzten Jahres.

Das System zielt darauf ab, die Abhängigkeit von US-Datenbanken zu beenden und die digitale Souveränität Europas zu stärken.

William Wright, CEO von Closed Door Security, bezeichnet die Einrichtung des GCVE-Programms als positiven Schritt für die Tech- und Cybersicherheitsbranche, sowohl in der EU als auch international.

Post by @[email protected]

View on Mastodon

„Ein plötzliches Ende des von der US-Regierung geführten CVE-Programms würde Chaos verursachen... öffentliche und private Stellen wären blind, während sie verzweifelt nach einem Ersatz suchen, was Bedrohungsakteuren einen enormen zeitlichen Vorsprung verschaffen würde, in dem sie Schaden anrichten können", betont der CEO.

„Während wir hoffen, dass das CVE-Programm weiter betrieben wird, stärkt eine Alternative die Resilienz der gesamten Cyber- und Tech-Branche", so Wright.

Eine dezentrale Alternative zu MITREs CVE-System

Was das auf Zuweisung fokussierte Framework einzigartig macht, ist, dass es als echte „von der Community getriebene Initiative" gilt, so die GCVE-Website. Die Plattform aggregiere und korreliere Schwachstelleninformationen aus mehr als 25 öffentlichen Quellen, einschließlich des MITRE CVE-Programms.

„Durch das Zusammenführen von Daten dezentraler Herausgeber und bestehender Schwachstellendatenbanken hilft das GCVE, die Fragmentierung zu reduzieren und die Sichtbarkeit in der globalen Schwachstellenlandschaft zu verbessern", heißt es.

Sicherheitsanalysten sagen, der Schritt ziele auch darauf ab, Risiken zu verringern, die mit der Abhängigkeit von nur einem weltweit genutzten Schwachstellen-Infrastruktursystem verbunden sind.

Wright wies zudem auf die „wachsenden Bedenken" über die Geschwindigkeit des bestehenden CVE-Programms hin.

„Es gibt derzeit einen großen Rückstand an Sicherheitslücken, die zentral verifiziert und auf der Plattform erfasst werden müssen, und einige argumentieren, dass MITRE Schwierigkeiten habe, auf die Geschwindigkeit und das Ausmaß der heutigen Bedrohungslandschaft zu reagieren", sagt Wright.

Wright erklärt, dass das neue dezentrale Programm so konzipiert sei, dass es mit CVE kompatibel ist: „Es ergänzt und normalisiert Daten aus mehreren Quellen und ermöglicht es, dass Schwachstellen von designierten GCVE Numbering Authorities (GNAs) dokumentiert und veröffentlicht werden können, ohne dass eine zentrale Genehmigung erforderlich ist."

„Hoffentlich sollte dies einen schnelleren und robusteren Dokumentationsprozess ermöglichen und es Regierungen und Unternehmen erlauben, schneller auf ernsthafte Bedrohungen zu reagieren", sagte er.

Unklare Finanzierung löst Europas Reaktion aus

Obwohl die EUVD bereits seit etwa einem Jahr unter der Agentur der Europäischen Union für Cybersicherheit (ENISA) entwickelt wurde, liegt die Vermutung nahe, dass das Timing der Entstehung beider Datenbanken kein Zufall ist.

Am 16. April 2025 verzögerte das US-Heimatschutzministerium die Finanzierung für das in den USA ansässige CVE-Programm bis zum letzten Moment und löste damit Panik unter CISOs weltweit aus, die auf die kontinuierlich aktualisierte Datenbank angewiesen sind, um ihre Organisationen zu schützen.

Das NIST-Industriestandard-Programm Common Vulnerabilities and Exposures (CVE) ist ein staatlich finanziertes Programm, das von der MITRE Corporation betrieben wird, einer gemeinnützigen Cybersicherheitsorganisation mit Hauptsitz direkt außerhalb von Washington, DC, und in Massachusetts.

Die CVE-Datenbank identifiziert, definiert und katalogisiert öffentlich bekannt gewordene Sicherheitslücken an einem zentralen Ort und ermöglicht es IT-Teams, über die dringendsten Bedrohungen und deren Behebung informiert zu bleiben.

Das gemeinsame Nummerierungsschema, die Schweregrad-Skala und die detaillierten Beschreibungen ermöglichen die schnelle Kommunikation hochgradig technischer Informationen über Organisationen hinweg und rund um die Welt.

Daher beschlossen europäische Cybersicherheitsverantwortliche, die künftige Störungen vermeiden wollten, einfach ihre eigene zu erstellen.

Neben der Bereitstellung offener Datensätze für den Massenzugriff und die Offline-Analyse verfügt die von der EU geförderte Datenbank über eigene GCVE Numbering Authorities (GNAs), die "befugt sind, Schwachstellen-Kennungen unabhängig zuzuweisen und zu veröffentlichen, während sie durch gemeinsame Protokolle und Best Practices interoperabel bleiben".

Kompatibilitätsbedenken bleiben bestehen

Während die GCVE jedoch die globale Abhängigkeit vom US-amerikanischen CVE-Programm verringern könnte, sagt Natalie Page, Leiterin der Bedrohungsanalyse bei Talion, das EU-Datenbanksystem solle darauf abzielen, mit dem US-CVE-Programm kompatibel zu sein und ähnliche Sprache und Bewertungen zu verwenden.

Sein Ziel solle es sein, "Organisationen nicht zu verwirren oder Fehlausrichtungen bei der CVE-Verfolgung zu verursachen", sagte sie.

Obwohl die GCVE nicht darauf ausgelegt ist, das CVE-Programm von MITRE vollständig zu ersetzen, bietet sie Europa eine Notfalloption, falls künftige Finanzierungs- oder sogar politische Störungen die Kontinuität der weltweiten Schwachstellenverfolgung bedrohen.

"Indem wir GNAs und anderen Herausgebern ermöglichen, unabhängig Daten beizutragen und gleichzeitig von der globalen Korrelation zu profitieren, zielt die GCVE darauf ab, einzelne Ausfallpunkte zu reduzieren und Innovationen im Schwachstellenmanagement zu fördern", heißt es auf der GCVE-Website.

---

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.