top of page

🧱 Single Point of Failure? – 🔍 Braucht es eine weitere Schwachstellendatenbank?

  • Autorenbild: Daniel Eberhorn
    Daniel Eberhorn
  • 20. Apr.
  • 8 Min. Lesezeit
Modern 2D digital illustration showing a dark blue brick wall, a magnifying glass inspecting a password field, and a large orange padlock with a warning triangle. The clean, geometric design and deep color contrast highlight cybersecurity concerns and the concept of centralized vulnerability.

Bild generiert durch OpenAI's DALL·E


Warum sind CVEs und Schwachstellen aktuell verstärkt im Gespräch?


Common Vulnerabilities and Exposures (CVEs) sind standardisierte Kennungen zur eindeutigen Identifikation von Schwachstellen in IT-Systemen, Softwareanwendungen und digitalen Infrastrukturen. Sie ermöglichen eine weltweit konsistente und nachvollziehbare Erfassung, Bewertung und Kommunikation von Sicherheitslücken. Ohne dieses System wäre ein strukturierter und koordinierter Umgang mit verwundbaren Komponenten kaum möglich – insbesondere im Hinblick auf Risikoeinschätzung, Patch-Management und Incident Response.


CVEs sind der Standard für Schwachstellenmanagement weltweit – doch was passiert, wenn das System ins Stocken gerät? Genau das ist 2024 geschehen. Die Folge: ein europäischer Gegenentwurf namens EUVD. Dieser Artikel zeigt, warum das relevant ist – und was das für die Zukunft der IT-Sicherheit bedeutet.


Einen detaillierten Einblick in den Aufbau und die Funktionsweise von CVEs bietet dieser Artikel:


Laut dem IBM Security Report 2024 dauert es im Durchschnitt 204 Tage, bis ein erfolgreicher Angriff erkannt und eingedämmt wird. Das zeigt, wie wichtig weltweit einheitliche Systeme wie CVE sind, um diese Zeitspanne zu verkürzen und Schwachstellen schnell und eindeutig zu bewerten.



Aktueller Anlass: Verzögerungen in der US-basierten NVD


Im Frühjahr 2024 gab das NIST (National Institute of Standards and Technology) – eine der zentralen US-Behörden für technologische Standards, Sicherheit und Forschung – bekannt, dass es aufgrund interner Ressourcenengpässe zu erheblichen Verzögerungen in der Pflege der National Vulnerability Database (NVD) kommen werde. Das NIST betreibt die NVD seit über zwei Jahrzehnten und spielt dabei eine Schlüsselrolle in der Bewertung und Veröffentlichung von Schwachstelleninformationen weltweit. Die NVD ist unter anderem verantwortlich für das Anreichern von CVEs mit technischen Details, CVSS-Scores und Referenzen zu Exploits oder Patches.


Die offizielle Mitteilung aus März 2024 verdeutlichte, dass das NIST seine Ressourcen künftig gezielter auf priorisierte Schwachstellen konzentrieren wolle. Diese Neuausrichtung wurde mit internen Reorganisationsmaßnahmen und einem verstärkten Fokus auf strategisch wichtigere Cyber Security Themen begründet. In der Praxis bedeutete das: Tausende neu registrierte CVEs wurden über Wochen hinweg nicht mehr in die NVD eingepflegt oder nur rudimentär ergänzt. Das führte dazu, dass zentrale Informationen wie CVSS-Scores, Referenzen zu Exploits oder Hinweise zu Gegenmaßnahmen fehlten – Informationen, auf die zahlreiche Unternehmen, CERTs und Hersteller in ihren täglichen Arbeitsabläufen angewiesen sind.


Laut einer Analyse von VulnCheck vom September 2024 waren zu diesem Zeitpunkt 72,4 % der seit dem 12. Februar 2024 neu registrierten CVEs in der NVD noch nicht vollständig analysiert. Besonders besorgniserregend ist, dass 46,7 % der als „Known Exploited Vulnerabilities“ (KEVs) eingestuften Schwachstellen ebenfalls noch nicht bewertet wurden. Dies betrifft unter anderem kritische Technologien von Anbietern wie Adobe, Cisco, Microsoft und VMware. Zwar wurde im Mai 2024 ein Vertrag mit dem Unternehmen Analygence abgeschlossen, um den Rückstand aufzuholen, doch der Fortschritt bleibt schleppend. Bis zum 21. September 2024 hatten nur 85,9 % der neuen CVEs einen CVSS-Score erhalten, was bedeutet, dass 14,1 % weiterhin ohne Bewertung sind. In Folge dieser Ankündigung wurden zahlreiche CVEs entweder verspätet oder gar nicht mit detaillierten Informationen angereichert.



Europäische Antwort: Die European Vulnerability Database (EUVD)


Parallel zur Diskussion um Verzögerungen in der NVD hat die europäische Cybersicherheitsagentur ENISA im März 2024 die European Vulnerability Database (EUVD) als öffentlich zugängliche Beta-Version ins Leben gerufen. Die EUVD ist Teil einer strategischen Initiative der Europäischen Union, digitale Souveränität zu stärken und kritische Abhängigkeiten von US-basierten Infrastrukturen zu reduzieren. Die Plattform soll eine zentrale europäische Anlaufstelle für Schwachstelleninformationen bieten, insbesondere für Produkte und Systeme mit hoher Relevanz für den europäischen Markt.


Inhaltlich basiert die EUVD aktuell größtenteils auf Daten aus dem bestehenden CVE-System. Es handelt sich also nicht um ein vollständig unabhängiges System, sondern um eine Plattform, die bestehende CVEs aufgreift, kontextualisiert und gezielt mit zusätzlichen Informationen für europäische Stakeholder anreichert. Die EUVD verweist auf CVE-IDs, fügt jedoch eigene Metadaten hinzu – etwa zur betroffenen europäischen Infrastruktur, zur Bedeutung für kritische Sektoren (wie Energie, Transport oder Gesundheit) oder zu verfügbaren regulatorischen Maßnahmen.


Betrieben wird die EUVD von ENISA in enger Kooperation mit CERT-EU und weiteren europäischen Partnern. Eine gesetzlich verpflichtende Meldung an die EUVD besteht derzeit nicht, doch das langfristige Ziel ist es, eine stabile, interoperable und vertrauenswürdige europäische Ergänzung zu CVE/NVD zu schaffen.



EUVD: Eine neue Chance oder zusätzliche Komplikation?


Aktuell verweist die EUVD lediglich auf bestehende CVE-Nummern und erweitert diese um europaspezifische Informationen. Es gibt derzeit keine parallelen Nummerierungen. Doch perspektivisch könnte die Einführung eines eigenen Identifikationsformats (z.B. "EUV-XXXX") zu parallelen Strukturen führen, was zu Informationsredundanz und potenziellen Konflikten führt.


Redundanz und Zuständigkeit

Momentan existieren bereits Überschneidungen zwischen NVD und EUVD. Während die NVD historisch als schneller galt – insbesondere bei der Anreicherung von CVEs mit CVSS-Scores und technischen Referenzen – hat sie seit Anfang 2024 spürbare Verzögerungen verzeichnet. Die EUVD wiederum punktet mit gezielten Ergänzungen für europäische Nutzer, darunter Angaben zu kritischen Infrastrukturen oder regulatorischen Kontexten (z. B. im Rahmen der NIS2-Richtlinie).

Ein konkretes Beispiel ist die Schwachstelle CVE-2024-3094, die eine Hintertür in einer weit verbreiteten Open-Source-Bibliothek betraf. Während die NVD mehrere Tage benötigte, um den CVSS-Wert und relevante Referenzen zu ergänzen, hatte die EUVD bereits frühzeitig Informationen über europäische Auswirkungen sowie Handlungsempfehlungen für Betreiber kritischer Infrastrukturen veröffentlicht. Ein anderes Beispiel ist CVE-2024-4572, die zwar in der NVD gelistet wurde, dort aber ohne Hinweise auf einen aktiven Exploit blieb – Informationen, die von CERT-EU über die EUVD kommuniziert wurden.


Langfristig sind klare Verantwortlichkeiten notwendig, um solche Informationslücken systematisch zu vermeiden. Bisher bleibt MITRE die zentrale Vergabestelle für CVE-Nummern, während die EUVD – in enger Zusammenarbeit mit CERT-EU – ausschließlich aufbereitende und kontextualisierende Funktionen übernimmt. Eine gesetzliche Verpflichtung zur Meldung an die EUVD existiert derzeit nicht, was die flächendeckende Nutzung durch Hersteller und CERTs bislang einschränkt.


Auswirkungen für Unternehmen und IT-Security-Teams

Für Unternehmen ergeben sich hieraus potenziell doppelte Kommunikationswege bei Schwachstellenmeldungen und Unsicherheiten bezüglich regulatorischer Anforderungen (z.B. durch die NIS2-Richtlinie). Analysten und CERTs stehen vor erhöhtem Aufwand, da Daten aus mehreren Quellen konsolidiert und mögliche Abweichungen bewertet werden müssen.


Digitale Souveränität vs. globaler Standard

Die EUVD lässt sich in eine umfassendere europäische Cyber-Security-Strategie einordnen, deren übergeordnetes Ziel der Aufbau digitaler Souveränität ist. In einer Zeit, in der zentrale Sicherheitsinfrastrukturen wie die NVD von Engpässen, Verzögerungen und politischen Rahmenbedingungen einzelner Staaten abhängig sind, stellt sich die grundlegende Frage: Sollte das Management global relevanter Schwachstelleninformationen dauerhaft in den Händen eines einzigen Landes liegen – oder braucht es verteilte, resiliente Systeme mit regionaler Verantwortung und globaler Zusammenarbeit?


Die Debatte erinnert an ähnliche Entwicklungen im Bereich Cloud-Infrastrukturen, Halbleiterproduktion oder KI-Governance, wo Europa zunehmend versucht, technologische Abhängigkeiten abzubauen. Der Aufbau der EUVD ist deshalb mehr als nur eine technische Maßnahme – es ist ein politisches Signal: Europa will nicht mehr nur Empfänger, sondern auch aktiver Gestalter globaler Cyber-Sicherheitsstrukturen sein.


Gleichzeitig darf digitale Souveränität nicht mit technischer Isolation verwechselt werden. Die Herausforderung liegt darin, die internationale Interoperabilität und Standardisierung – z. B. durch CVE-IDs oder CVSS-Scores – aufrechtzuerhalten, ohne bei einem Ausfall oder Rückzug einzelner Akteure wie dem NIST oder MITRE den Zugang zu essenziellen Informationen zu verlieren. Die EUVD könnte hier ein dezentrales Backup-System darstellen, aber auch ein regulativer Korrektivraum für die besonderen Anforderungen europäischer Infrastrukturen – etwa im Energie-, Verkehrs- oder Gesundheitssektor.


Die Einführung eigener Identifikationsformate wie „EUVD-YYYY-NNNNN“ steht exemplarisch für dieses Spannungsfeld. Es geht dabei nicht nur um technische Fragen der Formatierung oder Datenpflege – sondern um eine zentrale strategische Entscheidung: Muss das weltweite Schwachstellenmanagement weiterhin nahezu vollständig von einem US-dominierten System getragen werden – oder ist es an der Zeit, alternative Strukturen zu schaffen, die europäische Interessen stärker abbilden?


Das CVE-System, betrieben von MITRE und ergänzt durch die NVD unter Kontrolle des NIST, ist zwar de facto Standard – aber nicht per se überlegen. Seine Dominanz resultiert historisch aus der frühen Entwicklung und Verfügbarkeit, nicht notwendigerweise aus funktionaler Überlegenheit. Die jüngsten Probleme in der NVD – etwa massive Verzögerungen bei der CVSS-Bewertung und fehlende Exploit-Verweise – haben gezeigt, wie anfällig dieses Monopol ist. Laut VulnCheck wurden Mitte 2024 über 70 % der neu vergebenen CVEs nicht vollständig in der NVD verarbeitet, viele davon mit bestätigten aktiven Exploits.


Die Einführung eigener EUVD-IDs kann daher als ein Versuch verstanden werden, nicht nur Redundanz aufzubauen, sondern auch Kontrolle über Relevanz und Bewertung zurückzugewinnen. Doch ohne saubere Interoperabilität zum CVE-System drohen Inkonsistenzen: Was passiert, wenn eine Schwachstelle in EUVD als kritisch, in NVD aber als moderat bewertet wird? Welche Quelle gilt regulatorisch? Welche Empfehlung folgt ein Hersteller oder ein CERT?


Für Unternehmen und CERTs bedeutet das konkret: Sie müssten künftig ihre Prozesse erweitern, Datenströme aus mehreren Quellen gleichzeitig überwachen und gegebenenfalls Tools um zusätzliche Parser, Matching-Engines und Bewertungsvergleiche ergänzen. Zwar ist dies bislang nicht zwingend erforderlich – da die EUVD aktuell noch keine eigenen IDs vergibt und stark auf das CVE-System aufbaut – doch mit zunehmender Eigenständigkeit der Plattform dürfte der Druck wachsen, beide Quellen gleichwertig zu berücksichtigen. Der damit verbundene Mehraufwand könnte sich jedoch lohnen, wenn dadurch kritische Lücken schneller erkannt und geschlossen werden, bevor sie global ausgenutzt werden.


Ob CVE das „bessere“ System ist, ist nicht die zentrale Frage. Die zentrale Frage lautet: Ist es zukunftsfähig, wenn ein einzelner, national gebundener Akteur über die vollständige technische Aufbereitung und Priorisierung globaler Schwachstellen entscheidet? Die EUVD stellt diese Frage – und liefert mit ihren eigenen Identifikatoren möglicherweise den ersten Schritt zur Antwort.


Langfristig stellt sich daher nicht nur die Frage nach dem technischen Nutzen der EUVD, sondern nach ihrer konzeptionellen Ausrichtung: Soll sie nur „Fallback“ sein, wenn NVD schwächelt? Oder eigenständig, robust und mit klarer Zuständigkeit operieren – mit oder ohne CVE-Abhängigkeit? Klar ist: Ein abgestimmtes, internationales Vorgehen wäre ideal. Doch dazu braucht es verbindliche Governance-Strukturen, offene Schnittstellen und einen gemeinsamen politischen Willen auf beiden Seiten des Atlantiks.



Weitere Perspektiven: Governance, Technik, Markt und internationale Entwicklungen


Aktuell ist die EUVD vor allem eine ergänzende Informationsquelle, die spezifische Lücken füllen kann. Dennoch fehlt es derzeit an einer klaren Abgrenzung und geregelten Verantwortlichkeiten. Um langfristig einen Mehrwert zu bieten, müsste ENISA eng mit internationalen Strukturen kooperieren, technische Synchronisierungen zuverlässig gestalten und klar definieren, wie parallele Systeme vermieden werden.


Im Idealfall würde EUVD zu einer robusten, ergänzenden und souveränen Informationsquelle werden, die globale Standards ergänzt, ohne sie zu fragmentieren.


Internationale Governance – Wer entscheidet über Schwachstellen?

Eine zentrale Herausforderung ist die Frage nach der Governance: Wer sollte künftig die Verantwortung für die Klassifikation und Kommunikation von Schwachstellen übernehmen? Bislang obliegt dies primär MITRE (als Betreiber des CVE-Systems) und NIST (als Herausgeber der NVD). Doch ein global einheitlicher, politisch unabhängiger Rahmen – etwa unter dem Dach einer internationalen Organisation analog zur IANA – könnte langfristig Vertrauen und Stabilität sichern.


Die Idee: ein vernetztes Modell mit klar verteilten Zuständigkeiten, in dem regionale Plattformen wie EUVD autonom handeln, jedoch über gemeinsame Protokolle, Formate und Eskalationsverfahren miteinander verzahnt sind. So könnten Widersprüche bei Bewertungen oder Einträgen reduziert und zugleich nationale Interessen berücksichtigt werden.


Technische Herausforderungen bei parallelen Systemen

Die Koexistenz mehrerer Plattformen wie CVE/NVD und EUVD stellt Unternehmen und Hersteller vor neue technische Hürden:


  • Unterschiede bei CVSS-Scores und Bewertungen erfordern mehrschichtige Analysen.

  • Tools wie Qualys, Rapid7 oder Tenable setzen auf NVD – für EUVD fehlt bislang eine vergleichbare Integration.

  • Automatisierung wird schwieriger: APIs, Formate und Aktualisierungsfrequenzen müssen harmonisiert werden, damit Security-Teams nicht mit unterschiedlichen Datenständen operieren.

Rolle der Industrie und privater Akteure

Ein nicht zu unterschätzender Aspekt ist die Rolle kommerzieller Plattformen, Bug-Bounty-Programme und Hersteller. Viele melden Schwachstellen direkt an MITRE – ohne Einbindung europäischer Stellen. Die EUVD muss daher Wege finden, um als gleichwertiger Akteur akzeptiert zu werden, etwa durch Kooperationen mit Sicherheitsforschern, Programmier-Communities und Plattformen wie HackerOne oder Bugcrowd.


Compliance und Regulierung

Mit der Umsetzung der NIS2-Richtlinie und ähnlicher Gesetze steigt der Druck auf Unternehmen, Schwachstellen nicht nur zu erkennen, sondern regulatorisch korrekt zu behandeln. Unklar ist, ob künftig auch EUVD-Einträge als verpflichtende Grundlage für Risikobewertungen gelten. Ohne rechtliche Klarheit drohen Unsicherheiten bei Auditierungen und Zertifizierungen (z. B. ISO 27001, TISAX oder BSI IT-Grundschutz).


Internationale Beispiele und Lehren

Auch andere Staaten bauen eigene Systeme auf: In China existiert mit der CNNVD (China National Vulnerability Database) ein paralleles System mit staatlicher Kontrolle. Dort entscheidet eine Regierungsstelle, wann Schwachstellen veröffentlicht werden.


Dieses und weitere Modelle zeigen: Nationale Eigeninteressen stehen oft im Konflikt mit Transparenz und Reaktionsgeschwindigkeit. Es gibt eine Chance, einen Mittelweg zu gehen (wie z.B. IANA) – mit Offenheit, aber auch Kontrolle. Die EUVD könnte so zum Vorbild für eine multilaterale, ausgewogene Schwachstellenpolitik werden.

Logo of SecurityWho - A fingerprint and the slogon IT-Security made simple

Contact me

über LinkedIN

© Daniel Eberhorn - SecurityWho

Impressum
Datenschutz
bottom of page