Parallel dazu schrieb die Europäische Union fast unbemerkt Geschichte: Die European Vulnerability Database (EUVD), geleitet von ENISA im Rahmen der NIS2-Richtlinie, ging in die öffentliche Betaphase. Sie bietet API-Zugriff, CVSS v3.1- und EPSS-Scores sowie einen koordinierten europäischen Ansatz zur Offenlegung von Schwachstellen.
EUVD gegen NVD: Ein Überblick
| Feature | EUVD (Europa) | NVD (USA) |
|---|---|---|
| Betreiber | ENISA | NIST (CVE Daten von MITRE) |
| Status | Live (Beta) | Voll funktionsfähig |
| API Support | ✅ Ja | ✅ Ja |
| Scoring | CVSS 3.1 + EPSS | CVSS (inklusive 4.0) |
| Beschreibungen | Manchmal sehr kurz | Grundsätzlich detailliert |
| Kompatibilität | CVE ID im Feld „Alternative IDs“ | CVE ID primary |
| Beteiligung der Anbieter | Apache, Mozilla, und EU Hersteller | Breit, weltweite Beteiligung |
| Gesetzlicher Rahmen | Von NIS2 gefordert | Von der Kontinuität der Finanzierung abhängig |
Was die CVE-Krise bedeutet
Die zeitweise Unsicherheit rund um das CVE-Programm zeigt, wie abhängig wir von zentralisierten Systemen sind und wie anfällig diese Systeme gegenüber administrativen oder finanziellen Veränderungen sein können.
Das CVE-System ist die entscheidende „Quelle der Wahrheit“ für die meisten Sicherheitsoperationen: Es bildet die Grundlage für SIEM-Warnungen, Scanner-Signaturen, Ticketsysteme und Patch-Management-Routinen. Eine Störung in diesem Ablauf ist nicht bloß theoretisch, sondern kann die Reaktion auf Schwachstellen verlangsamen, Risikokommunikation verzögern und automatische Verteidigungsmechanismen beeinträchtigen.
Warum die EUVD jetzt wichtiger ist als je zuvor
Während das CVE-Ökosystem Anzeichen von Belastung zeigt, bietet die EUVD sowohl eine Alternative als auch eine Ergänzung:
- Sie unterstützt maschinenlesbare Formate (CSAF), was die Integration erleichtert.
- Sie enthält EPSS-Scores, welche eine wahrscheinlichkeitsbasierte Bewertung der Ausnutzbarkeit bieten.
- Sie folgt einem gesetzlichen Rahmen (NIS2), was regulatorische Stabilität gewährleistet.
- Sie schließt regionale Lücken, insbesondere für europäische Anbieter und Infrastruktursektoren.
- Obwohl die Beschreibungen oft weniger detailliert als die NVD-Einträge sind, wird erwartet, dass sich die EUVD rasch weiterentwickelt, sobald Rückmeldungen aus der Sicherheitsgemeinschaft berücksichtigt werden.
Empfohlene Praxis: Nutzen Sie beide Systeme
- Nutzen Sie die NVD für strukturierte Metadaten und den Support durch ein ausgereiftes Ökosystem
- Nutzen Sie die EUVD für Exploitability Scores (EPSS), europäischen Kontext und Redundanz.
Die beiden Systeme konkurrieren nicht miteinander, sondern fungieren im dynamischen Bedrohungsumfeld als gegenseitige Sicherheitsnetze.
Fazit
Die Beinahe-Stilllegung des CVE-Programms war nicht nur ein bürokratischer Zwischenfall, sondern eine Erinnerung daran, dass globale Cybersicherheit auf wenigen kritischen, oft unterfinanzierten Infrastrukturen beruht. Gleichzeitig markiert der Start der EUVD einen bedeutenden Schritt zur Dezentralisierung und Diversifizierung dieser Infrastruktur.
Während Europa seine Fähigkeiten zur Schwachstellenanalyse weiter ausbaut, haben Organisationen nun mehr Optionen und auch eine größere Verantwortung, sich anzupassen.
Testen Sie die EUVD (Beta): https://euvd.enisa.europa.eu
Wie wir EUVD und EPSS in unsere Dienste integrieren
Bei OSM-S haben wir bereits damit begonnen, EUVD-Schwachstellen-IDs und EPSS-Bewertungen direkt in unsere Tools zur Schwachstellenbewertung und für Penetrationstests zu integrieren. Indem wir unsere Berichte mit Vorhersagen zur Ausnutzbarkeit anreichern und sowohl auf NVD- als auch auf EUVD-Quellen verweisen, bieten wir unseren Kunden mehr umsetzbare Erkenntnisse und ein regionales Compliance-Bewusstsein, insbesondere für Organisationen, die von NIS2 betroffen sind. Dieser Ansatz mit zwei Quellen verbessert unsere Fähigkeit, Schwachstellen sowohl nach ihrem technischen Schweregrad als auch nach der Wahrscheinlichkeit einer Ausnutzung zu priorisieren.
Erfahren Sie mehr über unsere Schwachstellenanalye
Sehen Sie, wie wir Penetrationstests durchführen