[datensicherheit.de, 20.05.2025] Die Europäische Union (EU) hat am 13. Mai 2025 die „European Union Vulnerability Database“ (EUVD) online gestellt. Diese zentrale Datenbank soll bekannte Schwachstellen auflisten, Behebungsempfehlungen geben – und so vor allem die Cybersicherheit von KRITIS-Unternehmen, IT-Dienstleistern und europäischen Softwareanbietern stärken. Adam Marrè, „CISO“ von Arctic Wolf und ehemaliger FBI-Agent, erörtert in seiner aktuellen Stellungnahme die Bedeutung zentraler Datenbanken und ihre positiven Auswirkungen auf die Cybersicherheit.

Foto: Arctic Wolf

Adam Marrè rät: Organisationen sollten beide Datenbanken (EUVD und NVD) kontinuierlich im Blick behalten!

EUVD ermöglicht Risikopriorisierung

Marrè betont: „Schwachstellen-Datenbanken spielen eine entscheidende Rolle bei ,Security Operations’. Sie dienen als zentrale Sammelstellen für bekannte Sicherheitslücken und liefern standardisierte Informationen, mit denen Unternehmen ihre Systeme gezielt absichern können.“ Durch einheitliche Formate für die Beschreibung der Schwachstellen ermöglichten sie einen effizienten und konsistenten Informationsaustausch – über Organisations- und Ländergrenzen hinweg.

Besonders wichtig sei ihre Funktion bei der Risikopriorisierung: „Bewertungssysteme wie der CVSS-Score – und neuerdings das praxisorientierte EPSS, das insbesondere in der neuen ,EU Vulnerability Database’ (EUVD) zum Einsatz kommt – helfen Sicherheitsteams, ihre Ressourcen auf die kritischsten Schwachstellen zu konzentrieren.“

EUVD-Einführung als europäische Alternative zur „National Vulnerability Database“ (NVD) der USA

Darüber hinaus enthielten die Datenbanken in der Regel konkrete Empfehlungen zur Behebung von Schwachstellen und unterstützten so ein effektives Patch-Management. Nicht zuletzt ermöglichten sie durch standardisierte Datenstrukturen die nahtlose Integration in automatisierte Tools zur Schwachstellenanalyse und -verwaltung.

Mit der EUVD-Einführung stehe nun eine europäische Alternative zur „National Vulnerability Database“ (NVD) der USA zur Verfügung, welche mehrere strategische Vorteile mit sich bringe, denn sie gewichte regionale Besonderheiten stärker.

EUVD stärkt Digitale Souveränität Europas

Marrè führt hierzu aus: „Zum einen ist sie deutlich enger mit europäischen Rechtsrahmen und Cybersecurity-Richtlinien – wie der ,NIS2‘-Richtlinie oder dem ,Cyber Resilience Act’ – verzahnt. Zum anderen stärkt sie die Digitale Souveränität Europas, da sie die Abhängigkeit von US-Infrastrukturen für sicherheitskritische Informationen reduziert.“ Zusätzlich könne sie jene Schwachstellen priorisieren, für welche europäische Branchen, Technologien und IT-Landschaften besonders anfällig sind.

Laut aktuellen Bedrohungsanalysen gehe ein Großteil erfolgreicher Angriffe auf eine sehr kleine Anzahl bekannter Schwachstellen zurück – in manchen Fällen auf nur zehn, teilweise sogar drei Lücken. „So fand der ,Arctic Wolf 2025 Threat Report’ heraus, dass in 76 Prozent der Fälle die Cyberkriminellen eine oder mehrere von zehn spezifischen Schwachstellen ausnutzen. Besonders heikel ist hierbei: Für alle zehn ausgenutzten Schwachstellen stehen Patches zur Verfügung.“

Gezieltes Vorgehen anhand valider Datenbanken wie EUVD und NVD kann Sicherheitslage signifikant verbessern

Solche Zahlen unterstrichen die Notwendigkeit für zentrale Schwachstellen-Datenbanken, welche auch Empfehlungen zur Vorgehensweise bei Sicherheitsrisiken geben könnten. „Selbst wenn eine vollständige Abdeckung aller Schwachstellen nicht immer realistisch ist, kann bereits ein gezieltes Vorgehen anhand valider Datenbanken wie der EUVD und NVD die Sicherheitslage signifikant verbessern.“

Organisationen sollten beide Datenbanken kontinuierlich im Blick behalten, rät Marrè abschließend: „Das erhöht die Resilienz, da die Nutzung unterschiedlicher Quellen nicht nur Transparenz bietet und dadurch gegen Ausfälle absichert, sondern auch unterschiedliche Perspektiven und Bewertungen ermöglicht.“

Weitere Informationen zum Thema:

enisa
EUROPEAN UNION VULNERABILITY DATABASE

ARCTIC WOLF, 2025
2025 THREAT REPORT

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen