Die internationale IT-Sicherheitsgemeinschaft ist es gewohnt, flexibel auf neue Bedrohungen zu reagieren. Doch im Frühjahr 2025 sorgte ausnahmsweise mal nicht eine neue Angriffsmethode oder Malware für Unruhe, sondern die Unsicherheit darüber, ob die Datenbasis für das Schwachstellenmanagement in ihrer bisherigen Form bestehen bleibt.
Die EU Vulnerability Database war und ist ein wichtiger Schritt, um sich auch in Sachen IT-Sicherheit von den USA zu emanzipieren.
(Bild: enisa)
Die Ankündigung der US-Regierung, die Finanzierung des Common Vulnerabilities and Exposures Programms (CVE) zum 16. April 2025 einstellen zu wollen, hat die Branche in Aufruhr versetzt. CVE ist die weltweit anerkannte Referenz für die Identifikation und Kategorisierung von Sicherheitslücken. Die darauf basierenden Nummern und Klassifizierungen stellen ein gemeinsames Vokabular dar, das es Herstellern, Sicherheitsverantwortlichen und Forschern weltweit ermöglicht, Schwachstellen eindeutig zu benennen und ihre Risiken einzuschätzen.
Die im April verkündete Entscheidung, das Programm aus finanziellen Gründen nicht mehr zu unterstützen, hätte zur Folge gehabt, dass keine neuen CVE-Nummern mehr vergeben worden wären. Dies hätte gravierende Folgen für die Transparenz und die Vergleichbarkeit von Schwachstellen-Informationen gehabt. Zwar wurde die Entscheidung wenige Wochen später wieder zurückgenommen und die Finanzierung bis März 2026 gesichert. Dennoch bleibt ein schaler Beigeschmack. Das Vertrauen in die Stabilität und politische Unabhängigkeit der Initiative ist seither angeschlagen.
Vor diesem Hintergrund gründeten Mitglieder des CVE-Boards und weitere engagierte Akteure die CVE Foundation. Ihr Ziel ist es, künftig eine breitere und stabilere Finanzierungsbasis zu schaffen, um die Abhängigkeit von US-amerikanischen Regierungsentscheidungen zu verringern. Gleichzeitig sorgt eine weitere Entwicklung für Verunsicherung. Das US National Institute of Standards and Technology (NIST) hat angekündigt, ältere Schwachstellen, die vor 2018 veröffentlicht wurden, in der National Vulnerability Database künftig nur noch eingeschränkt zu pflegen. Angesichts der Tatsache, dass gerade diese älteren Schwachstellen in vielen produktiven IT-Systemen nach wie vor vorhanden sind, entsteht hier ein potenziell riskantes Informationsdefizit.
Europas Weg zur digitalen Souveränität
Während in den USA um die Zukunft der etablierten CVE-Struktur gerungen wird, hat Europa begonnen, eigene Wege zu gehen. Mit dem Start der European Vulnerability Database (EUVD) im Mai 2025 hat die Europäische Union einen wichtigen Schritt unternommen, um ihre digitale Souveränität auch im Bereich der Schwachstellen-Informationen zu stärken.
Die EUVD, entwickelt unter der Federführung der europäischen Cybersicherheitsagentur ENISA, bietet nicht nur die klassischen Informationen zu Schwachstellen, sondern geht in mehreren Punkten darüber hinaus. Neben dem bekannten CVSS-Score, der die Schwere einer Schwachstelle bewertet, stellt die EUVD zusätzliche Informationen bereit. So erfahren Nutzer, ob eine Schwachstelle bereits aktiv ausgenutzt wird, und erhalten eine Einschätzung darüber, mit welcher Wahrscheinlichkeit sie in den kommenden 30 Tagen ausgenutzt werden könnte.
Diese zusätzlichen Informationen sollen die oft statische Bewertung von Risiken deutlich dynamisieren und helfen, priorisierte und fundierte Sicherheitsentscheidungen zu treffen. Ergänzt werden die Daten der EUVD durch Informationen aus den nationalen Computer Security Incident Response Teams (CSIRTs) der Mitgliedsstaaten, in Deutschland vertreten durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Seit Januar 2024 ist die ENISA zudem berechtigt, selbstständig CVE-Nummern zu vergeben. Damit stärkt Europa seine Unabhängigkeit im internationalen Geflecht der Schwachstellenverwaltung.
Doch so sinnvoll und notwendig dieser Schritt ist, er steht auch vor Herausforderungen. Der langfristige Erfolg der EUVD wird maßgeblich davon abhängen, ob die Datenbank regelmäßig gepflegt und aktuell gehalten wird. Ebenso entscheidend wird sein, ob die Open Source Community und die Sicherheitsforscher bereit sind, die bereitgestellten Informationen aktiv zu nutzen und durch eigenes Feedback zu verbessern. Erst wenn die Industrie in großem Maßstab eigene Informationen und Hinweise einspeist und diese mit den bestehenden Daten zusammengeführt werden, kann die EUVD ihr volles Potenzial entfalten.
Globale Perspektive
Neben CVE und EUVD existieren weltweit weitere Datenquellen, die wertvolle ergänzende Informationen liefern. In China betreiben die nationalen Behörden mit der China National Vulnerability Database (CNVD) und der geheimdienstlich geprägten China National Vulnerability Database of Information Security (CNNVD) eigene Schwachstellendatenbanken, die insbesondere für lokal relevante Produkte wichtige Einblicke bieten. In Japan wiederum leistet die Japan Vulnerability Notes Plattform (JVN) wertvolle Dienste.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Hinzu kommt, dass viele große Softwarehersteller wie Microsoft, Cisco oder Google eigene Sicherheits-Advisories veröffentlichen, die oft schneller und detaillierter sind als zentrale Datenbanken. All diese Entwicklungen machen deutlich, dass sich Unternehmen nicht mehr auf eine einzige Quelle für Schwachstelleninformationen verlassen können.
Vielfalt und Aktualität
Um stets aktuelle und umfassende Informationen zu erhalten, bietet es sich wie im Falle von Qualys an, White-Hat-Forscher und unterschiedliche Threat-Intelligence-Feeds in Analyse und Reporting mit einzubeziehen. Die Verarbeitung von Herstellerhinweisen und Computer Emergency Response Team (CERT)-Advisories sollte unmittelbar, also ohne Verzögerung durch Drittquellen, gewährleistet sein. Nur so lassen sich relevante Sicherheitslücken identifizieren, die noch nicht offiziell als CVE registriert sind.
Ein praktisches Beispiel für diese Arbeitsweise liefert die kürzlich identifizierte Schwachstelle CVE-2025-3619, ein Heap Buffer Overflow in Google Chrome. Qualys hatte entsprechende Erkennungen bereits implementiert, bevor die Schwachstelle in offiziellen Datenbanken gelistet war. Im Zusammenspiel mit einer zentralen Plattform, die sämtliche relevanten Bedrohungsinformationen konsolidiert und anreichert, entsteht mithilfe maschinellen Lernens und fundierter Expertenanalysen ein stets aktuelles und umfassendes Lagebild.
Fazit
Die Ereignisse der vergangenen Monate haben eines deutlich gemacht. Sicherheit im digitalen Raum erfordert heute eine breite und diversifizierte Informationsbasis. Blindes Vertrauen in einzelne Datenbanken kann gefährlich werden. Unternehmen, die ihre Sicherheitsstrategie auf mehrere belastbare Quellen stützen und eigene Analysekompetenz aufbauen, sind besser gewappnet, um auf neue Bedrohungen schnell und wirksam zu reagieren.
Jörg Vollmer ist General Manager Field Operations DACH & CEE bei Qualys.
:quality(80)/p7i.vogel.de/wcms/2f/3b/2f3b8786c5f08f24411805165ad83718/0129164624v2.jpeg "Stromnetze, Flughäfen, Krankenhäuser und Kommunen – die kritische Infrastruktur sowie sensible Daten müssen im Fall eines Angriffs besser geschützt werden. (Bild: © Robert – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/20/59205bd98654a24dfa2d570575bf9a5c/0129092644v2.jpeg "Eva Weber ist seit 1. Mai 2020 Oberbürgermeisterin der Stadt Augsburg. (Bild: Stadt Augsburg)")
:quality(80)/p7i.vogel.de/wcms/ab/8b/ab8bc181d73780160b3ec5cd42d07fa0/0129185631v2.jpeg "Ein verantwortungsvoller Umgang mit Smartphones und anderen Medien ist Teil digitaler Bildung an Schulen. (Bild: © LincB – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/f6/bef62e597e41e9b5beedb4a479b98472/0129096954v2.jpeg "Behördengang per Klick: Digitale Services werden in München stetig verbessert und ausgebaut. (Bild: © engel.ac – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/fc/b6fc1d32194466a5b67548c19c2f76f5/0129131184v1.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/d5/35d5dbf783acb3b3e8e5705673546cbb/0129197918v2.jpeg "Ein Schlüsselprojekt der DVC ist der Aufbau von Betriebsplattformen durch die öffentlichen IT-Dienstleister bei europäischen souveränen Cloud-Anbietern. Dafür wurden zunächst Stackit und IONOS ausgewählt. (Bild: © CHONCHANOK PHOTO - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/9e/d49eec271624b4eed3e4b8ba1d4a6f4b/0129251516v2.jpeg "Der neue CTO des DigitalService, Erik Dörnenburg, hat in den vergangenen sechs Monaten eine berufliche Auszeit genommen. Dabei ist er unter anderem bis ans Mittelmeer mit dem Fahrrad gereist. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/15/70/15700165dd721e9f1ee2832275b02241/0128568293v2.jpeg "Die Stadthalle Bielefeld bietet den Besuchern der KommDigitale eine 3.000 Quadratmeter große Ausstellungsfläche sowie drei digitale Werkbänke und sechs Kongressräume. (Bild: © KommDIGITALE, Databund)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe4f075bc20/logo-ibykus-ag.png "logo-ibykus-ag (IBYKUS AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/ab/66ab44afc2a68/secunet-logo-rgb-schwarzrot-100mm.jpeg "secunet-logo-rgb-schwarzrot-100mm (secunet Security Networks AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/87/68874393f3705/fab-fabasoft-rgb-blau-1000-screen-web.png "fab-fabasoft-rgb-blau-1000-screen-web (Fabasoft)")
:quality(80)/p7i.vogel.de/wcms/ed/8d/ed8d4483cffc6bd241eaaaeed4ac7ce9/0124732333v1.jpeg "Für ihre Schwachstellendatenbank „EUVD“ kooperiert die Enisa unter anderem mit dem bekannten US-Äquivalent CVE (Common Vulnerabilities and Exposures). (Bild: https://euvd.enisa.europa.eu)")
:quality(80)/p7i.vogel.de/wcms/12/12/1212b577d1c5b51a020e361ae16c9d59/0122197105v1.jpeg "Ina Scharrenbach, Ministerin für Heimat, Kommunales, Bau und Digitalisierung in NRW. (© MHKBD/NRW)")
:quality(80)/p7i.vogel.de/wcms/ed/8d/ed8d4483cffc6bd241eaaaeed4ac7ce9/0124732333v1.jpeg "Für ihre Schwachstellendatenbank „EUVD“ kooperiert die Enisa unter anderem mit dem bekannten US-Äquivalent CVE (Common Vulnerabilities and Exposures). (Bild: https://euvd.enisa.europa.eu)")
:quality(80)/p7i.vogel.de/wcms/f1/a2/f1a20edeba11d73531a9674fc90593ce/0126620056v2.jpeg "Bei der Einweihung des Supercomputers „Jupiter“ im Forschungszentrum Jülich sind u. a. Bundeskanzler Friedrich Merz, Astrid Lambrecht, Vostandsvorsitzende des Forschungszentrums Jülich, und Bundesdigitalminister Karsten Wildberger vor Ort. (Bild: © Forschungszentrum Jülich/Jenö Gellinek)")