Europas eigene Schwachstellendatenbank: Digitale Souveränität oder Doppelstruktur?

Die Mehrheit erfolgreicher Cyberangriffe basiert nicht auf komplexen Zero-Day-Exploits, sondern auf der Ausnutzung längst bekannter Sicherheitslücken. Der Arctic Wolf Threat Report 2025 dokumentiert, dass in 76 Prozent der untersuchten Fälle Angreifer gezielt eine oder mehrere von nur zehn spezifischen Schwachstellen ausnutzten. In einigen Szenarien reichte sogar ein Pool von nur drei bekannten Sicherheitslücken. Fast immer gelangen diese Angriffe, obwohl für alle betroffenen Schwachstellen bereits Patches existierten.

Das Problem liegt häufig nicht in der Technologie, sondern im Risikomanagement. Zentrale Schwachstellendatenbanken wie die neue European Union Vulnerability Database (EUVD) oder die etablierte National Vulnerability Database (NVD) aus den USA sollen dieses Problem adressieren. Sie bieten Informationen über neue Sicherheitslücken und geben konkrete Handlungsempfehlungen für IT-Verantwortliche.

Europäische Souveränität im Fokus

Mit der Einführung der EUVD verfolgt Europa einen strategischen Ansatz zur Stärkung der digitalen Souveränität. Im Unterschied zur NVD setzt die europäische Datenbank eigene Schwerpunkte und Standards. Die European Union Agency for Cybersecurity (ENISA) trägt gemeinsam mit nationalen Computer Emergency Response Teams (CERTs) und dem Open CSAM-Projekt die Verantwortung für die Plattform.

Nicht zuletzt spielt die EUVD auch eine Rolle als Kompensation für bekannte Versorgungsprobleme der NVD: Diese war in der Vergangenheit durch anhaltende Datenpflegeverzögerungen und geringe Aktualität in die Kritik geraten. Für europäische Unternehmen kann die neue Plattform somit auch im Sinne der Versorgungssicherheit ein essenzieller Baustein für das Schwachstellenmanagement werden.

Die wesentlichen Unterschiede zwischen EUVD und NVD lassen sich in mehreren Bereichen erkennen:

Institutionelle Verankerung und Governance

• Die EUVD wird von europäischen Institutionen getragen, insbesondere durch die Zusammenarbeit von ENISA, nationalen CERTs und dem Open CSAM-Projekt. Sie fungiert seit Januar 2024 auch als CVE-Nummerierungsstelle (CNA), was ihr die Möglichkeit gibt, eigene Beiträge zum bestehenden MITRE-CVE-System zu liefern und Identifikatoren für Schwachstellen im europäischen Zuständigkeitsbereich zuzuweisen, wie Morey J. Haber, Chief Security Advisor bei BeyondTrust, in einer aktuellen Stellungnahme betont.
• Die NVD wird vom National Institute of Standards and Technology (NIST) betrieben und steht unter direkter Kontrolle der US-Regierung.

Strategische Zielsetzung

• Die EUVD fokussiert auf europäische Souveränität, die Einbindung europäischer Hersteller und die Integration in europäische Rechtsrahmen wie den Cyber Resilience Act (CRA) und die NIS-2-Richtlinie.
• Die NVD dient primär der globalen Verbreitung von Schwachstelleninformationen mit Schwerpunkt auf US-Standards und -Interessen.

Datenquellen und Integration

• Die EUVD nutzt Common Vulnerabilities and Exposures (CVE)-Daten, erweitert diese jedoch gezielt um europäische Software, Internet-of-Things-(IoT)-Produkte und branchenspezifische Komponenten. Ein wesentlicher Vorteil liegt dabei auch in der technischen Ausgestaltung: Die EUVD unterstützt das maschinenlesbare CSAF-Format und liefert dadurch eine strukturierte Datenbasis für automatisierte IT-Prozesse. Für ISMS-Systeme oder Schwachstellenmanagement-Plattformen, die bereits CSAF-konform arbeiten, bedeutet dies eine unmittelbare Anschlussfähigkeit an ein wachsendes europäisches Ökosystem. Die Europäische Schwachstellendatenbank sammelt Schwachstelleninformationen aus diversen vertrauenswürdigen Quellen, darunter das europäische CSIRTs-Netzwerk, öffentliche Empfehlungen, Anbieterangaben und MITRE CVE. Laut BeyondTrust kategorisiert die Plattform die Ergebnisse anhand umsetzbarer Erkenntnisse und erweiterter Kriterien wie Gefährlichkeit, Ausnutzbarkeit und Minderungsstrategien.

• Die NVD bezieht sich hauptsächlich auf das CVE-System, übernimmt jedoch nicht automatisch alle neuen Einträge und zeigte zuletzt Verzögerungen bei der Datenpfleg.

Kollaboration und Beteiligung

• Die EUVD fördert aktiv die Zusammenarbeit mit europäischen Herstellern, Sicherheitsforschern und Open-Source-Communities. Ziel ist ein transparentes und kollaboratives Schwachstellen-Ökosystem.
• Die NVD zeigt sich weniger offen für die Beteiligung außerhalb der USA. Die Integration neuer Datenquellen gestaltet sich oft schwerfällig.

Technische Standards und Formate

• Die EUVD verwendet moderne, maschinenlesbare Formate nach dem Common-Security-Advisory-Framework-(CSAF)-Standard und setzt auf interoperable Schnittstellen für automatisierte Sicherheitstools.
• Die NVD nutzt ebenfalls maschinenlesbare Formate, ist jedoch teilweise nicht vollständig mit europäischen Plattformen kompatibel.

Regulatorische Relevanz

• Die EUVD wurde mit Blick auf die Anforderungen europäischer Regulierungen wie NIS-2, dem Cyber Resilience Act, CE-Kennzeichnung und branchenspezifischen EU-Vorschriften entwickelt.
• Die NVD spielt in der EU nur eine indirekte Rolle und ist nicht auf europäische Gesetzgebung abgestimmt.

Expertenmeinung: Zentrale Rolle für moderne Cybersicherheit

Adam Marrè, Chief Information Security Officer beim Sicherheitsanbieter Arctic Wolf und ehemaliger FBI-Agent, betont die Bedeutung zentraler Schwachstellendatenbanken für effektive Security Operations. Nach seiner Einschätzung bündeln sie nicht nur bekannte Sicherheitslücken, sondern liefern Unternehmen standardisierte, verwertbare Informationen über Länder-und Branchengrenzen hinweg.

„Einheitliche Formate und Bewertungssysteme wie der Common-Vulnerability-Scoring-System- (CVSS)-Score oder das praxisnahe Exploit Prediction-Scoring-System-(EPSS)-Modell, das in der neuen EUVD Anwendung findet, ermöglichen es Sicherheitsteams, sich auf die wirklich kritischen Schwachstellen zu konzentrieren“, erklärt Marrè. „Dazu kommen konkrete Empfehlungen zur Behebung – eine enorme Hilfe für ein strukturiertes Patch-Management.“

Besonders wichtig ist laut Marrè die Möglichkeit zur Integration in automatisierte Tools. „Gerade angesichts knapper Ressourcen und steigender Komplexität ist diese Automatisierbarkeit ein enormer Hebel für die Cybersicherheit in Unternehmen“, so der Experte.

Die EUVD bietet zudem strategische Vorteile für europäische Organisationen: Sie ist eng an europäische Regelwerke gekoppelt und ermöglicht eine gezielte Bewertung von Schwachstellen, die für europäische Infrastrukturen, Technologien und Branchen besonders relevant sind. Gleichzeitig profitieren Organisationen von der wachsenden regulatorischen Verankerung. Der Cyber Resilience Act (CRA) und die NIS-2- Richtlinie verlangen künftig nachvollziehbares Schwachstellenmanagement – in vielen Fällen inklusive Nachweispflichten. Die EUVD kann hier als primäre Referenzdatenbank dienen, um regulatorisch abgesicherte Informationen zentral und aktuell bereitzustellen.

Marrè empfiehlt Organisationen, sowohl die EUVD als auch die NVD kontinuierlich zu beobachten. „Der Abgleich verschiedener Quellen erhöht nicht nur die Transparenz und Resilienz, sondern bietet auch wertvolle Perspektivvielfalt bei der Risikobewertung. Im Ernstfall kann das entscheidend sein.“

Die jüngsten Diskussionen um die Finanzierung des CVE-Programms in den USA unterstreichen die Bedeutung einer unabhängigen europäischen Lösung. „Die EUVD dient nicht nur als Backup, sondern erweitert die Strategie zur hochverfügbaren Bereitstellung kritischer Risikodaten“, erklärt Morey J. Haber von BeyondTrust. Sie adressiert dabei bekannte Kritikpunkte am CVE-System wie inkonsistente Aktualisierungszyklen, fehlende öffentliche Rückmeldungsoptionen und mangelnde Dokumentation für Schadensbegrenzungsstrategien. Auch Haber sieht in der EUVD einen ergänzenden Dienst, der die Reaktionszeiten verbessern und Lücken in der CVE-Abdeckung schließen kann.

Fazit: Ergänzung statt Konkurrenz

Im Unterschied zur NVD ist die EUVD keine bloße Kopie, sondern eine strategisch und technisch eigenständige Weiterentwicklung mit Fokus auf europäische Anforderungen. Sie soll Lücken der NVD schließen, europäische Hersteller besser integrieren und eine zentrale Rolle im europäischen Cybersicherheitsökosystem übernehmen.

In Summe stärkt die EUVD nicht nur die digitale Souveränität Europas, sondern unterstützt auch die operative Resilienz einzelner Unternehmen – vorausgesetzt, sie wird konsequent in bestehende IT- und Sicherheitsprozesse eingebunden.