EU startet eigene Schwachstellendatenbank – Reaktion auf Finanzierungsprobleme bei CVE

14. Mai 2025

Die Europäische Union geht beim Thema Cybersicherheit neue Wege: Die EU-Agentur für Cybersicherheit (ENISA) hat im Rahmen der NIS2-Richtlinie eine eigene Schwachstellendatenbank ins Leben gerufen. Die neue Plattform, offiziell als Europäische Schwachstellendatenbank (EUVD) bezeichnet, ist mittlerweile vollständig funktionsfähig. Hintergrund für diesen Schritt sind unter anderem anhaltende Schwierigkeiten bei der Finanzierung des bisher weltweit etablierten Common Vulnerabilities and Exposures (CVE)-Systems.

Die Datenbank enthält aggregierte, zuverlässige und verwertbare Informationen wie Abhilfemaßnahmen und den Ausnutzungsstatus von Cybersicherheitslücken, die Produkte und Dienste der Informations- und Kommunikationstechnologie (IKT) betreffen.

Juhan Lepassaar, Exekutivdirektor der ENISA, erklärte: „Mit der Umsetzung der Anforderung der NIS-2-Richtlinie zur Einrichtung einer Schwachstellendatenbank erreicht die ENISA einen Meilenstein. Die EU verfügt nun über ein wichtiges Instrument, mit dem das Management von Schwachstellen und den damit verbundenen Risiken erheblich verbessert werden kann. Die Datenbank gewährleistet Transparenz für alle Nutzer der betroffenen IKT-Produkte und -Dienstleistungen und wird als effiziente Informationsquelle für die Suche nach Abhilfemaßnahmen dienen.“

Warum eine europäische Schwachstellendatenbank (EUVD)?

Das Ziel der EUVD ist es, ein hohes Maß an Vernetzung öffentlich zugänglicher Informationen aus verschiedenen Quellen wie CSIRTs, Anbietern und bestehenden Datenbanken sicherzustellen. Um dieses Ziel zu erreichen, verfolgt die Plattform einen ganzheitlichen Ansatz. Als vernetzte Datenbank ermöglicht die EUVD eine bessere Analyse und erleichtert die Korrelation von Schwachstellen durch die Bereitstellung der Open-Source-Software „Vulnerability-Lookup“, die vom luxemburgischen CIRCL betrieben wird, und ermöglicht so ein verbessertes Cybersicherheits-Risikomanagement.

Die EUVD bietet somit eine vertrauenswürdige, transparentere und umfassendere Informationsquelle und verbessert die Lageerkennung bei gleichzeitiger Begrenzung der Gefährdung.

Für wen ist die EUVD gedacht?

Die Datenbank ist für die breite Öffentlichkeit zugänglich, um Informationen über Schwachstellen in IT-Produkten und -Diensten abzurufen. Sie richtet sich auch an Anbieter von Netz- und Informationssystemen und Einrichtungen, die deren Dienste nutzen. Die in der EUVD dokumentierten Informationen sind auch für zuständige nationale Behörden wie das EU-CSIRT-Netzwerk sowie für private Unternehmen und Forscher bestimmt.

Wie wird sie genutzt?

Die aggregierten Informationen der Datenbank werden über Dashboards angezeigt. Das EUVD bietet drei Dashboard-Ansichten: für kritische Schwachstellen, für ausgenutzte Schwachstellen und für von der EU koordinierte Schwachstellen. Die EU-koordinierten Schwachstellen listen die von den europäischen CSIRTs koordinierten Schwachstellen auf und umfassen die Mitglieder des EU-CSIRT-Netzwerks.

Die gesammelten und referenzierten Informationen zu Schwachstellen stammen aus Open-Source-Datenbanken. Zusätzliche Informationen werden über Hinweise und Warnmeldungen der nationalen CSIRTs, von Anbietern veröffentlichte Richtlinien zur Risikominderung und zum Patchen sowie Kennzeichnungen ausgenutzter Schwachstellen hinzugefügt. EUVD-Datensätze können Folgendes enthalten:

• eine Beschreibung der Schwachstelle
• betroffene IKT-Produkte oder IKT-Dienste und/oder betroffene Versionen, Schweregrad der Schwachstelle und wie sie ausgenutzt werden könnte
• Informationen über vorhandene relevante Patches oder Leitlinien der zuständigen Behörden, einschließlich CSIRTs, die sich an die Nutzer richten und ihnen erklären, wie sie Risiken mindern können.

Die Rolle der ENISA im Ökosystem der Schwachstellen

Um die Anforderungen der NIS2-Richtlinie zu erfüllen, hat die ENISA eine Zusammenarbeit mit verschiedenen EU- und internationalen Organisationen, darunter das CVE-Programm von MITRE, aufgenommen. Die ENISA steht in Kontakt mit MITRE, um die Auswirkungen und die nächsten Schritte nach der Ankündigung der Finanzierung des Programms für gemeinsame Schwachstellen und Gefährdungen zu verstehen.

CVE-Daten, Daten von IKT-Anbietern, die Schwachstelleninformationen über Hinweise offenlegen, und relevante Informationen wie der CISA-Katalog bekannter ausgenutzter Schwachstellen werden automatisch in das EUVD übertragen. Dies wird auch mit Unterstützung der Mitgliedstaaten erreicht, die nationale Richtlinien für die koordinierte Offenlegung von Schwachstellen (CVD) festgelegt und eines ihrer CSIRTs als Koordinator benannt haben, wodurch das EUVD letztlich zu einer vertrauenswürdigen Quelle für ein besseres Lagebild in der EU wird.

Als CVE-Nummerierungsstelle (CNA) kann die ENISA seit Januar 2024 Schwachstellen registrieren und deren Offenlegung unterstützen, und zwar in Bezug auf

• Schwachstellen in IT-Produkten, die von den EU-CSIRTs selbst entdeckt wurden, und
• Schwachstellen, die den EU-CSIRTs zur koordinierten Offenlegung gemeldet wurden, sofern sie nicht in den Zuständigkeitsbereich einer anderen CVE-Nummerierungsstelle fallen.

Was ist der Unterschied zwischen dem EUVD und der einheitlichen Meldeplattform der CRA?

Die Meldung aktiv ausgenutzter Schwachstellen wird für Hersteller bis September 2026 verpflichtend. Dieser Meldeprozess gilt für Schwachstellen, die Hardware- und Softwareprodukte mit digitalen Elementen betreffen. Das dafür vorgesehene Instrument ist die einheitliche Meldeplattform (Single Reporting Platform, SRP) gemäß dem Cyber Resilience Act (CRA). Es ist wichtig zu betonen, dass sich die SRP daher von der durch die NIS2-Richtlinie eingerichteten EUVD unterscheidet.

Was kommt als Nächstes?

Das Jahr 2025 wird der weiteren Verbesserung und Entwicklung des EUVD und aller damit verbundenen Dienste gewidmet sein. Zu diesem Zweck wird die ENISA Rückmeldungen einholen.

 

Hintergrundinformationen

Koordinierte Offenlegung von Sicherheitslücken (CVD)

CVD kann als ein Modell zur Offenlegung von Schwachstellen beschrieben werden, das versucht, die Gefahr der Ausnutzung von Schwachstellen zu begrenzen, indem sichergestellt wird, dass Schwachstellen erst dann öffentlich bekannt gegeben werden, nachdem den verantwortlichen Parteien ausreichend Zeit eingeräumt wurde, um eine Korrektur, einen Patch oder Abhilfemaßnahmen zu entwickeln.

Programm „Common Vulnerabilities and Exposures“ (CVE)

Die Aufgabe des CVE-Programms besteht darin, öffentlich bekannt gegebene Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren. Für jede Schwachstelle im Katalog gibt es einen CVE-Eintrag. Die Schwachstellen werden entdeckt und dann von Organisationen aus aller Welt, die mit dem CVE-Programm zusammenarbeiten, zugeordnet und veröffentlicht. Die Partner veröffentlichen CVE-Einträge, um einheitliche Beschreibungen der Schwachstellen zu kommunizieren. Fachleute aus den Bereichen Informationstechnologie und Cybersicherheit verwenden CVE-Einträge, um sicherzustellen, dass sie über dasselbe Problem sprechen, und um ihre Bemühungen zur Priorisierung und Behebung der Schwachstellen zu koordinieren.

CVE-Nummerierungsstellen (CNAs)

CNAs sind Organisationen, die für die regelmäßige Vergabe von CVE-IDs an Schwachstellen sowie für die Erstellung und Veröffentlichung von Informationen über die Schwachstelle im zugehörigen CVE-Eintrag verantwortlich sind. Jede CNA hat einen bestimmten Zuständigkeitsbereich für die Identifizierung und Veröffentlichung von Schwachstellen. Die ENISA ist nun befugt, CVE-Kennungen (CVE-IDs) zu vergeben und CVE-Einträge für Schwachstellen zu veröffentlichen, die von EU-CSIRTs entdeckt oder gemeldet wurden, entsprechend ihrer Rolle als Koordinierungsstelle.

Gemeinsamer Rahmen für Sicherheitshinweise (CSAF)

CSAF ist ein Standard für maschinenlesbare Sicherheitshinweise. Ein solches standardisiertes Format für die Aufnahme von Informationen zu Sicherheitslücken vereinfacht die Triage- und Behebungsprozesse für Asset-Eigentümer. Durch die Veröffentlichung von Sicherheitshinweisen unter Verwendung von CSAF reduzieren Anbieter die Zeit, die Unternehmen benötigen, um die Auswirkungen auf ihre Organisation zu verstehen und zeitnah Abhilfemaßnahmen zu ergreifen.

Further Information

EU Vulnerability Database

Vulnerability Disclosure — ENISA (europa.eu)

ENISA Added as CNA | CVE News Item

Developing National Vulnerabilities Programmes — ENISA (europa.eu)

GitHub – enisaeu/CNW: Advisories, guidance, best practice documents and more issued by members of the EU CSIRTs network, a network composed of EU Member States’ appointed CSIRTs and CERT-EU.

---

Bild/Quelle: https://depositphotos.com/de/home.html