Nachdem die Finanzierung der CVE-Datenbank von Mitre nur noch bis Mitte März 2026 besteht, kommt der Start der EU-eigenen Datenbank zur Kategorisierung von Schwachstellen gerade rechtzeitig: die European Union Vulnerability Database.
Mit der European Union Vulnerability Database stellt die Enisa eine europäische, zentrale und vertrauenswürdige Datenbank für IT-Schwachstellen bereit.
(Bild: Dall-E / KI-generiert)
Bisher wurden IT-Sicherheitslücken hauptsächlich mit CVE-Nummern (Common Vulnerabilities and Exposures) kategorisiert. Diese wurden in die CVE-Datenbank der US-Organisation Mitre aufgenommen, über die Unternehmen wie auch Privatnutzer Einsicht erhalten, wie schwerwiegend eine Schwachstelle ist, welche Komponenten sie betreffen und welche Informationen es vom Hersteller dazu gibt. Nun hat die EU-Cybersicherheitsagentur Enisa eine eigene Schwachstellendatenbank für die EU gestartet: die European Union Vulnerability Database, kurz EUVD.
Unterschied zwischen CVE und EUVD
Die Enisa erläutert auf der Website der EUVD, dass die neue EU-Datenbank einen ganzheitlichen Ansatz verfolge und auf eine umfassende Vernetzung von Informationsquellen abziele. Dafür setzt sie auf die Open-Source-Software„Vulnerability-Lookup“. Die Software, deren Code seit 2023 öffentlich zugänglich ist, erlaubt es Nutzern, gezielt nach Informationen über bekannte Sicherheitslücken zu suchen.
Neben Bewertungen des Schweregrades und Beschreibungen der Sicherheitslücken, wie sie auch die CVE-Datenbank liefert, erhalten Nutzer der EUVD-Datenbank auch Hinweise dazu, ob eine Schwachstelle bereits ausgenutzt wird und wie hoch die Wahrscheinlichkeit ist, dass sie in den kommenden30 Tagen ausgenutzt wird. Dafür nutzt EUVD das Exploit Prediction Scoring System (EPSS). Zudem gibt es konkrete Abhilfemaßnahmen wie etwa bereits veröffentlichte Sicherheitsupdates. Zusätzliche Informationen zu den Schwachstellen liefern die nationalen CSIRTs mit ihren Hinweisen und Warnungen, Anbieter, die Richtlinien zur Schadensbegrenzung und zum Patchen veröffentlichen, sowie die Kennzeichnungen bereits ausgenutzter Schwachstellen. Für Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitglied im CIRTs-Netzwerk. Somit ist die EUVD auf die europäische Gesetzgebung zugeschnitten. Außerdem kann die Datenbank Unternehmen, die der NIS2-Richtlinie unterliegen, dabei helfen, effiziente Prozesse zur Risiko- und Schwachstellenbewertung zu etablieren.
Die EUVD-Datenbank bietet drei Ansichten für die erfassten Sicherheitslücken:
für kritische Schwachstellen
für bereits aktiv ausgenutzte Schwachstellen
für Schwachstellen, die aus dem EU-Netzwerk der IT-Notfallteams (Computer Incident Response Teams, CIRTs) heraus koordiniert werden
Die katalogisierten Schwachstellen stehen in der EUVD-Datenbank zuerst mit der EUVD-Kennung, also beispielsweise „EUVD-2025-14705“ und dahinter als Alternative mit der CVE-Kennung, also beispielsweise „CVE-2025-32756“.
Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission für Technologiesouveränität, Sicherheit und Demokratie, erklärte: „Die EU-Schwachstellendatenbank ist ein wichtiger Schritt zur Stärkung der Sicherheit und Widerstandsfähigkeit Europas. Indem wir für den EU-Markt relevante Informationen zu Schwachstellen zusammenführen, erhöhen wir die Cybersicherheitsstandards und ermöglichen es Akteuren des privaten und öffentlichen Sektors, unsere gemeinsamen digitalen Räume effizienter und autonomer zu schützen.“
Wer meldet die Schwachstellen?
Für die EUVD-Datenbank kooperiert die Enisa etwa mit der bekannten US-Schwachstellen-Datenbank CVE. Dadurch ist die Enisa berechtigt, CVE-Kennungen für Schwachstellen zu vergeben, die von einem Mitglied des CIRTs-Netzwerks entdeckt oder an dieses Mitglied gemeldet wurden. Koordiniert und organisiert wird das CIRTs-Netzwerk direkt druch Enisa.
Doch auch Hersteller, Sicherheitsforscher, Open-Source-Projektmitwirkende, Bug-Bounty-Anbieter und andere koordinierte Stellen können sogenannte IDs vergeben. Dafür müssen sie von Mitre zur CVE Numbering Authority (CNA) ernannt werden. Ihre Aufgabe ist es dann, aktiv Sicherheitslücken zu identifizieren, zu analysieren und CVE-Kennungen zu vergeben. Dabei müssen sich die CNAs an die CNA-Richtlinien von Mitre halten. Mittlerweile gibt es 23 Unternehmen aus Deutschland, die sich als CNA engagieren. Zuletzt konnte sich das IT-Sicherheitsberatungsunternehmen Schutzwerk als CNA akkreditieren.
Finanzierung der CVE-Datenbank – Wie geht es weiter?
Zwar kooperieren die Enisa und Mitre für die Kategorisierung der Schwachstellen, doch die EUVD-Datenbank könnte möglicherweise schon in weniger als einem Jahr eine wichtige Alternative zum CVE-Urgestein sein. Die CVE-Datenbank gibt es seit 1999 und wird seither vom US-Heimatschutzministerium finanziert. Seit ihrer Gründung im Jahr 2018 ist die Cisa, die Teil des Heimatschutzministeriums ist, die operative Stelle, die das CVE-Programm finanziert und operativ steuert.
Doch im April 2025 kündigten die Cisa und das Heimatschutzministerium kurzfristig an, die Finanzierung des CVE-Systems zum 16. April 2025 zu stoppen. Kurz darauf ruderte das Ministerium jedoch zurück und bestätigte die Freigabe der Fördermittel bis Mitte März 2026. Als Reaktion darauf gründeten ebenfalls im April 2025 Mitglieder des CVE-Boards von Mitre sowie weitere Akteure der Security-Community die CVE Foundation. Ihr Ziel ist eine langfristige Unabhängigkeit, Stabilität sowie die globale Zugänglichkeit für das CVE-Programm sicherzustellen. Um dies zu erreichen will die gemeinnützige Organisation weg von der Finanzierung durch einen einzigen staatlichen Sponsor und hin zu einem diversifizierten Finanzierungsmodell. Dieses soll Beiträge von Regierungen, Unternehmen und anderen Organisationen aus der ganzen Welt umfassen. Dabei sollen externe politische und wirtschaftliche Einflüsse außenvor bleiben, damit die Integrität und Objektivität des CVE-Programms gestärkt wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Doch nicht überall wird die europäische Schwachstellendatenbank gefeiert. Denn ihr langfristiger Erfolg hängt von der regelmäßigen und zuverlässigen Pflege der Daten ab. An dieser Stelle ist noch offen, ob die Open-Source-Community oder Sicherheitsforschende die Meldungen von Sicherheitslücken verarbeiten werden. Ob sich die EUVD überhaupt als Alternative zur schon lange bestehenden und beliebten CVE-Datenbank eignet, oder sich als unnötiger Zeit- und Verwaltungsaufwand entpuppt, wird sich zeigen.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/09/01098c52b88c8298ee8bf2f780af6eb5/0128800268v2.jpeg "Mit neuen leistungsfähigen Alltags-Computern erweitert Asus auf der CES 2026 das KI-Portfolio. (Bild: Asus)")
:quality(80)/p7i.vogel.de/wcms/65/e9/65e9691bb1f542b515a931e0f22d3273/0128745989v2.jpeg "KI für den Datenaustausch zwischen Endgeräten: Lenovo Qira ist eine geräteübergreifende und personalisierte Umgebungsintelligenz. (Bild: © Lenovo)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/68/c9/68c918220f44b/pfe-jubilaeumslogo-ch-de-rgb-lores.png "pfe-jubilaeumslogo-ch-de-rgb-lores (peoplefone)")
:fill(fff,0)/p7i.vogel.de/companies/63/eb/63ebaaef7016b/echo-logo.png "echo-logo (ECHO eG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/af/63/af6337a44ad9574fb93f7ab3e5a4707c/0124251793v1.jpeg "Ist das das Ende des Common Vulnerabilities and Exposures (CVE)-Programms? Die US-Regierung lies den Finanzierungsvertrag auslaufen. Eine Verlängerung ist nicht in Sicht. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/f5/b2f5f0ddc7d85451c165510f36628a5e/0124251793v1.jpeg "Ist das das Ende des Common Vulnerabilities and Exposures (CVE)-Programms? Die US-Regierung lies den Finanzierungsvertrag auslaufen. Eine Verlängerung ist nicht in Sicht. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/e0/b4e028832cec05998f6f6cf3aa24b5e2/0127023279v2.jpeg "Google hat Cyberattacken über eine gefährliche Sicherheitslücke beobachtet und entsprechende Sicherheitsupdates veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")