Das CVE-Programm zum Aufspüren von Sicherheitslücken im Netz stand in den USA kurz vor dem Aus. Die EU reagierte prompt und hat mit der European Union Vulnerability Database (EUVD) eine eigene Datenbank für Cybersicherheit veröffentlicht.
Am 16. April 2025 wäre in den USA die Finanzierung für das CVE-Programm ausgelaufen. CVE steht für „Common Vulnerabilities and Exposures“ – also zu Deutsch „gemeinsame Schwachstellen und Gefährdungen“. Das System wird von den großen Tech-Konzernen weltweit genutzt, um öffentlich bekannt gewordene Sicherheitslücken im Internet zu identifizieren.
Hinter dem CVE-Programm steht die staatlich finanzierte Organisation Mitre. Diese bestätigte gegenüber The Verge das bevorstehende Auslaufen der Finanzierung. Sie wurde zwar inzwischen abgewendet, da die Cybersecurity and Infrastructure Security Agency (CISA) laut BleepingComputer inzwischen die Finanzierung für weitere elf Monate sichergestellt hat.
Das beinahe Aus zeigt jedoch die derzeit vorherrschenden Unsicherheiten durch die politische Situation in den USA. Aus diesem Grund hat die EU nun eine eigene Datenbank für Cybersicherheit veröffentlicht.
EU veröffentlicht Datenbank für Cybersicherheit
Seit 1999 fungiert das CVE-Programm als Datenbank für Sicherheitslücken im Netz. Dafür werden einheitliche IDs für Sicherheitslücken vergeben, die es Sicherheitsexperten ermöglichen, die jeweiligen Schwachstellen zu überwachen.
Weltweit funktioniert das System einheitlich. So können Entwickler, Tech-Konzerne, Behörden oder Sicherheitsdienste auf der ganzen Welt zusammenarbeiten und Sicherheitslücken melden, überwachen und beheben.
Eine Abschaltung dieses Programms hätte enorme Auswirkungen für die weltweite Cybersicherheit haben können. Denn allein im Jahr 2024 wurden über das CVE-Programm mehr als 40.000 neue ID-Codes für Sicherheitslücken erstellt, wie The Register berichtet.
Bisher war die gemeinnützige US-Organisation Mitre zuständig, die staatlich finanziert ist – und nun erst einmal für weitere elf Monate bleibt. Dennoch hat die EU reagiert und nun ihre Datenbank veröffentlicht.
Europäische Datenbank war schon länger in Planung
Im Juni 2024 hatte European Network and Information Security Agency (ENISA) bereits die eigene Datenbank für Cybersicherheit angekündigt. Diese war Anfang April für wenige Stunden online.
Eine ENISA-Sprecherin bestätigte Heise, dass es sich dabei um einen Funktionstest während der Entwicklung gehandelt habe. Nach der Ankündigung von Mitre, dass es zu einer möglichen Abschaltung des CVE-Programms kommen könnte, wurde die European Union Vulnerability Database dann aber wenige Tage später doch komplett veröffentlicht.
Auch interessant:
