Im April 2025 stand die IT-Sicherheitswelt kurz vor einem Chaos: Die Finanzierung des CVE-Programms durch die US-Regierung wurde nicht wie erwartet verlängert. Erst in letzter Minute sprang die US-Behörde CISA ein und verhinderte den Stillstand. Doch die Unsicherheit bleibt. Dieses Ereignis hat einmal mehr verdeutlicht, wie fragil die globale Sicherheitsinfrastruktur ist, wenn sie auf einem einzigen staatlich finanzierten System basiert.
CVE-Krise als Weckruf für Europa
Das CVE-Programm, betrieben von MITRE im Auftrag der US-Regierung, ist seit Jahrzehnten die zentrale Datenquelle zur Identifikation von IT-Schwachstellen. Doch als im Frühjahr 2025 bekannt wurde, dass ausgerechnet dieses System ohne Budget dastehen könnte, wurden die Risiken eines Single Point of Failure offensichtlich. IT-Experten weltweit warnten: Ohne CVE-IDs brächen Sicherheitsprozesse, Patch-Management und automatisierte Schwachstellenanalysen zusammen.
Die Abhängigkeit von einem US-basierten System, dessen Fortbestehen politisch unsicher ist, zeigt: Europa muss eigene Wege gehen. Und genau hier setzt die European Union Vulnerability Database (EUVD) an.
EUVD: Souveränität durch eigene Schwachstellen-Intelligenz
Die EUVD wurde im Juni 2024 als Teil der NIS2-Umsetzung angekündigt (https://digital-strategy.ec.europa.eu/de/news/eu-launches-european-vulnerability-database-boost-its-digital-security ) und ging im Mai 2025 offiziell in den Vollbetrieb (https://euvd.enisa.europa.eu/ ). Ihr Ziel: Eine zentrale, europäische Plattform für IT-Schwachstelleninformationen zu schaffen, die unabhängig von Drittstaaten betrieben wird. Sie liefert:
Eigene EUVD-IDs, ergänzt um CVE-Verweise
Aktuelle Informationen zu betroffenen Produkten, Exploit-Status, CVSS-Scores und Patch-Verfügbarkeit
Datenaggregation aus CVE, CERTs, Hersteller-Advisories und CISA-Listen
Automatisierte, nahezu in Echtzeit aktualisierte Einträge
Dabei ersetzt die EUVD nicht das CVE-System, sondern ergänzt es sinnvoll: Sie bietet Redundanz, regionale Relevanz und höhere Resilienz.
Warum die EUVD jetzt unterstützt werden muss
Die CVE-Finanzierungskrise hat gezeigt, wie schnell ein global genutztes Sicherheitssystem ins Wanken geraten kann. Für Europa ergibt sich daraus eine klare Handlungsaufforderung:
Investitionen in EUVD ausbauen, um langfristige Unabhängigkeit zu sichern
Integration in europäische Gesetzgebung (z. B. Cyber Resilience Act) beschleunigen
Unternehmen sensibilisieren, ihre Systeme auch auf EUVD-Daten auszurichten
Nur mit einer starken EUVD kann Europa sicherstellen, dass kritische Sicherheitsinformationen auch dann verfügbar sind, wenn das CVE-System temporär ins Wanken gerät. Eine vertrauenswürdige, von europäischen Interessen getragene Datenbank für Schwachstellen ist keine Alternative mehr – sie ist eine strategische Notwendigkeit.
Fazit: EUVD ist mehr als ein Projekt – sie ist ein Sicherheitsversprechen
Europa kann und sollte die Lehren aus der CVE-Krise ziehen. Mit der EUVD steht eine funktionierende, transparente und unabhängige Infrastruktur bereit, die gestärkt und weiterentwickelt werden muss. Sie ist nicht nur ein Instrument der technischen Sicherheit, sondern ein Symbol für digitale Souveränität. Wer heute in die EUVD investiert, investiert in die Resilienz der digitalen Zukunft Europas.
Dieser Text entstand im Rahmen unserer Arbeit am europäischen Forschungsprojekt CRACoWI Cyber Resilience Act Compliance Wizard). Ziel des Projekts ist es, Unternehmen – insbesondere KMU – mit digitalen Werkzeugen bei der Umsetzung des EU Cyber Resilience Act zu unterstützen. Dabei wurde schnell klar: Ohne verlässliche Informationen über aktuelle Schwachstellen lässt sich keine fundierte Sicherheitsbewertung durchführen. Genau hier kommt die European Union Vulnerability Database (EUVD) ins Spiel. Als europäisch betriebene, unabhängige Schwachstellendatenbank liefert sie die Grundlage für viele der sicherheitsrelevanten Prozesse, die CRACoWI automatisieren und erleichtern will. Unsere Auseinandersetzung mit der EUVD zeigt, wie wichtig solche Infrastrukturen für eine eigenständige, resiliente Cybersicherheitsstrategie in Europa sind – und wie stark technische Werkzeuge wie CRACoWI davon profitieren.
