[datensicherheit.de, 22.05.2025] Nach den aufgeregten Diskussionen um die US-amerikanische Schwachstellen-Datenbank (NVD) plant die Europäische Union (EU) mittels einer Initiative der ENISA den Aufbau einer europäischen Variante (EUVD) – dies gilt auch als ein strategischer Schritt hin zu mehr Digitaler Souveränität, Vertrauen und geopolitischer Unabhängigkeit. Anouck Teiller, „CSO“ bei HarfangLab, ordnet diese Initiative in ihrer aktuellen Stellungnahme ein und erläutert, warum europäische Unternehmen auf eigenständige Sicherheitsinfrastruktur setzen sollten – eben nicht als Ersatz, sondern vielmehr als souveräne Ergänzung bestehender Systeme.

Foto: HarfangLab

Anouck Teiller plädiert für europäische Schwachstellen-Datenbank als Katalysator für europäische Zusammenarbeit im Bereich der Cybersicherheit

Initiative der ENISA zur Einrichtung einer europäischen Schwachstellen-Datenbank ein überfälliger und richtungsweisender Schritt

„Eine Schwachstellen-Datenbank ist weit mehr als ein technisches Nachschlagewerk – sie ist ein strategisches Element in der Sicherheitsarchitektur eines souveränen digitalen Europas“, betont Teiller. Die Initiative der ENISA zur Einrichtung einer europäischen Schwachstellen-Datenbank sei daher ein überfälliger und richtungsweisender Schritt.

• Diese stärke nicht nur die Digitale Resilienz der EU, sondern verankere Cybersicherheit in einem europäischen Werte- und Rechtsrahmen.

Eine ihrer aktuellen Umfragen unter 750 IT-Entscheidern aus kleineren und mittleren Unternehmen (KMU) in ganz Europa zeichnet demnach ein deutliches Stimmungsbild: „74  Prozent wünschen sich vorrangig Cybersicherheitslösungen aus Europa. Dieses Votum geht weit über die bloße lokale Nähe von Anbietern hinaus – es zeugt von dem Wunsch nach Lösungen, die regionale Bedrohungslagen verstehen, europäische Gesetzgebung wie die DSGVO oder NIS-2 berücksichtigen und in einem volatilen geopolitischen Umfeld Vertrauen schaffen.“

Souverän verwaltetes Schwachstellen-Verzeichnis als Voraussetzung für Handlungsfähigkeit

Die ENISA gehe hiermit nicht in Konkurrenz zu bestehenden Systemen wie CVE – vielmehr setze sie auf eine sinnvolle Ergänzung, welche auf europäischer „Governance“, Transparenz und Rechtskonformität fuße. „Das ist eine strategische Diversifizierung, die Europa stärkt, nicht spaltet. Zugleich birgt diese Datenbank die Chance, ENISA als neutrale, vertrauenswürdige Vermittlerin zwischen nationalen und privaten CSIRTs zu positionieren – eine Rolle, die im bislang stark fragmentierten europäischen ,Cybersicherheits-Ökosystem’ bislang gefehlt hat.“

• Teiller unterstreicht abschließend: „Gelingt es, das Projekt offen, interoperabel und gemeinschaftsnah umzusetzen, könnte daraus ein echter Katalysator für die europäische Zusammenarbeit im Bereich der Cybersicherheit werden.“

Ein souverän verwaltetes Schwachstellen-Verzeichnis bedeutet laut Teiller: Europa gewinne Kontrolle über Klassifizierungen, Offenlegungszeiträume und kontextbezogene Priorisierungen. In Zeiten zunehmender Bedrohungen – von staatlich gesteuerten Angriffen bis hin zu KI-gestützter Schadsoftware – sei diese Unabhängigkeit „keine Kür“ mehr – „sie ist Voraussetzung für Handlungsfähigkeit!“

Weitere Informationen zum Thema:

enisa
EUROPEAN UNION VULNERABILITY DATABASE

datensicherheit.de, 20.05.2025
EUVD: Zentrale EU-Schwachstellen-Datenbank online verfügbar / „Vulnerability Databases“ sind für Adam Marrè das „Fundament moderner Sicherheitsprozesse“ und er rät zur synergetischen Nutzung der EUVD sowie NVD u.a.

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 04.04.2025
Cyberangriffe: Threat Intelligence als Schlüssel zur frühzeitigen Erkennung und Abwehr / Bedrohungsdaten verstehen und effektiv nutzen

[datensicherheit.de, 21.02.2025] Kleine und mittlere Unternehmen (KMU) sind offenbar noch immer zu oft durch ungeschützte Systeme, mangelndes Risikobewusstsein und fehlende IT-Expertise geprägt – so werden sie für Cyber-Kriminelle geradezu ein „gefundenes Fressen“. Denn Schwachstellen bleiben demnach zu lange unbemerkt, Sicherheitslücken werden nicht geschlossen und viele Verantwortliche unterschätzen noch immer die Gefahr durch Hacker-Angriffe. Anouck Teiller, „Chief Strategy Officer“ bei HarfangLab, stellt in ihrer aktuellen Stellungnahme fünf Maßnahmen vor, mit denen Mittelständler ihre Cyber-Sicherheit stärken könnten: Sie erörtert die Frage, wie sich KMU effektiv schützen, ihre sensiblen Daten absichern und verhindern können, dass ein Cyber-Angriff zur existenziellen Bedrohung wird:

Foto: HarfangLab

Anouck Teiller: Cyber-Sicherheit ist ein kontinuierlicher Prozess!

Mittelständische Unternehmen rücken zunehmend ins Visier Cyber-Krimineller

Teiller warnt eindringlich: „Cyber-Angriffe nehmen weiterhin zu und rücken zunehmend auch mittelständische Unternehmen ins Visier von Hackern. Und doch sind viele Betriebe immer noch unzureichend geschützt – oft, weil sie die digitale Bedrohungslage unterschätzen.“

Die Digitalisierung biete indes viele Chancen, erhöhe aber zugleich die Anfälligkeit von Unternehmen für Cyber-Angriffe. „Zuletzt gaben in einer Bitkom-Umfrage 81 Prozent der befragten deutschen Unternehmen an, im Vorjahr Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden zu sein – darunter auch zahlreiche kleine und mittlere Unternehmen (KMU).“

Die Mehrheit der betroffenen Unternehmen sei sich zwar über das drohende Ausmaß eines Cyber-Angriffes bewusst, trotzdem fehle es vielen an ausreichender Vorbereitung. Dabei hätten die gezielten Cyber-Angriffe besonders für KMU meist verheerende und existenzgefährdende Folgen. „Wer jedoch frühzeitig in wirksame Schutzmaßnahmen investiert, kann das Risiko erheblich reduzieren und seine digitale Sicherheit stärken“, so Teiller.

1. Cyber-Sicherheitsmaßnahme – IT-Inventur: „Wissen, was geschützt werden muss“

„Ohne eine klare Übersicht über die eigene IT-Infrastruktur bleibt Sicherheit Stückwerk!“ Unternehmen sollten daher regelmäßig ihre Systeme, Zugriffsrechte und Netzwerkschnittstellen analysieren.

Besonders sensible Daten – etwa Kundeninformationen oder Finanzdaten – müssten mit höchsten Standards gesichert werden. Ein geordnetes IT-Management reduziere Schwachstellen und ermögliche gezielte Schutzmaßnahmen.

2. Cyber-Sicherheitsmaßnahme – Simulationen durchführen: „Übung macht den Meister“

Ein Cyber-Angriff sei keine Frage des „Ob“, sondern des „Wann“. Deshalb sollten Unternehmen Notfallpläne in realitätsnahen Szenarien testen. „Denn wer den Ernstfall durchspielt, kann schneller und gezielter reagieren – und damit den Schaden bestmöglich minimieren.“ Dazu gehörten Penetrationstests, „die in der IT-Infrastruktur gezielt nach Schwachstellen suchen, sowie kontinuierliche Schwachstellen-Scans“.

Besonders kritisch: „Viele Cyber-Angriffe entstehen durch Phishing und menschliche Fehler, was sie zu einem großen Risikofaktor für KMUs macht.“ Nicht nur die IT-Teams sollten sich also vorbereiten, sondern auch Mitarbeiter müssten aktiv geschult und getestet werden. „Phishing-Simulationen und interaktive Sicherheits-Trainings helfen, gefährliche E-Mails zu erkennen und richtig zu reagieren.“

3. Cyber-Sicherheitsmaßnahme – Alternative Strategien einbeziehen: „Externe Unterstützung und Automatisierung nutzen“

„KMUs stehen vor einer doppelten Herausforderung: Während Cyber-Angriffe immer ausgefeilter werden, fehlt es oft an qualifizierten Cyber-Spezialisten, um angemessen darauf zu reagieren.“ Doch die IT-Sicherheit könne nicht darauf warten, bis offene Stellen besetzt sind.

Unternehmen müssten alternative Strategien nutzen, um ihre IT-Abwehr trotz Personalmangels zu stärken. Dazu gehörten automatisierte Sicherheitslösungen, der Einsatz externer Experten oder „Managed Security Service Provider“ (MSSPs) sowie gezielte Schulungen für bestehende Teams. „KMUs sollten ihre Cyber-Strategie so aufstellen, dass sie auch mit begrenzten personellen Ressourcen widerstandsfähig bleiben!“

4. Cyber-Sicherheitsmaßnahme – Über den Tellerrand hinaus: „Lieferkette als Sicherheitsrisiko“

„Cyber-Angriffe treffen nicht nur das eigene Unternehmen – auch unsichere Partner und Lieferanten können zur Schwachstelle werden“, unterstricht Teiller. Ransomware-Angriffe oder Datenlecks bei Zulieferern könnten auch KMUs infizieren und zu erheblichen Schäden führen.

Unternehmen sollten daher Mindestanforderungen an die IT-Sicherheit ihrer Partner stellen, beispielsweise Multi-Faktor-Authentifizierung (MFA), regelmäßige Audits oder Sicherheitszertifizierungen. Eine einfache Sicherheits-Checkliste könne helfen, Risiken frühzeitig zu erkennen und Schwachstellen zu minimieren. „Denn Cyber-Sicherheit ist eine Gemeinschaftsaufgabe – der Schutz der eigenen IT reicht nicht aus, wenn Zulieferer zur Schwachstelle werden!“

5. Cyber-Sicherheitsmaßnahme – Cyber-Versicherung: „Der Rettungsanker in der Krise“

Ein Cyber-Angriff könne immense Kosten verursachen. Ob Betriebsunterbrechung, Datenverlust oder Erpressung durch Ransomware – eine Cyber-Versicherung können helfen, finanzielle Schäden abzufedern.

Viele Policen böten zudem Unterstützung durch IT-Forensiker, Rechtsberatung und Krisenkommunikation. Unternehmen sollten prüfen, welche Risiken für sie besonders relevant sind, und sich entsprechend absichern.

Proaktiver Ansatz zum Schutz vor Cyber-Angriffen empfohlen

Ein proaktiver Ansatz mit IT-Inventur, regelmäßige Tests und die Expertise von beispielsweise MSSPs könne Unternehmen wirksam vor Cyber-Angriffen schützen. Cyber-Versicherungen, Schulungen und Simulationen stärkten außerdem die Abwehrfähigkeit.

Zudem sollten Schwachstellen frühzeitig erkannt und behoben werden. Teiller gibt abschließend zu bedenken: „Cyber-Sicherheit ist ein kontinuierlicher Prozess – nur wer sich rechtzeitig vorbereitet, kann im Ernstfall schnell und effektiv handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 21.04.2021
Mitarbeiter im deutschen Mittelstand: G DATA sieht Belastungsprobe für IT-Sicherheit / Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar