Ein neuer Eckpfeiler für die europäische Cyber-Resilienz: Das EUVD von ENISA im Fokus

In einem bedeutenden Schritt zur Stärkung der digitalen Verteidigungsmaßnahmen der Europäischen Union hat die EU-Agentur für Cybersicherheit (ENISA) vor einiger Zeit die Europäische Schwachstellendatenbank (EUVD) offiziell ins Leben gerufen. Diese neue Plattform verspricht, weit mehr zu sein als nur eine weitere Liste von Schwachstellen. Stattdessen hat sie das Potenzial, zu einem strategischen Pfeiler der umfassenden Cybersicherheitsstrategie der EU zu werden, die darauf abzielt, Transparenz, Gegenmaßnahmen, Koordination und Resilienz in allen 27 Mitgliedstaaten zu stärken.

In unserem heutigen Blog gehen wir der EUVD und den Vorteilen, die sie insbesondere für kritische Sektoren bietet, auf den Grund. Wir werfen auch einen Blick auf ihre entscheidende Übereinstimmung mit NIS2, MITRE und darauf, wie sie die wachsende Herausforderung der Sicherheit von Operational Technology (OT) angehen kann.

Bevor wir eintauchen, vergessen Sie nicht, unseren vorherigen Blog zu lesen, wie verzögerte Wiederherstellungszeiten die Gesamtkosten von Cyberangriffen erhöhen.

Was ist die europäische Schwachstellendatenbank (EUVD)?

Einfach ausgedrückt ist die EUVD eine zentralisierte, zuverlässige und umsetzbare Datenbank öffentlich bekannter Cybersicherheits-Schwachstellen, die Informations- und Kommunikationstechnologie (IKT)-Produkte und -Dienstleistungen betreffen, die in der EU verwendet werden. Darüber hinaus kann diese Datenbank von jedem IKT-Nutzer weltweit genutzt werden.

Im Mai 2025 gestartet, wird die EUVD von ENISA gepflegt und bietet eine vertrauenswürdige Informationsquelle zu Schwachstellen. Sie geht über die bloße Auflistung einer Schwachstelle als isoliertes Element hinaus, indem sie den dringend benötigten Kontext und Hintergrund bereitstellt, einschließlich:

• Betroffene Produkte und Dienstleistungen

• Schweregrad der Schwachstelle

• Verfügbare Abhilfemaßnahmen und Patches

• Bekanntes Ausnutzungsstatus (wird dies aktiv von Angreifern genutzt?)

Die Datenbank kombiniert Informationen aus einer Vielzahl von Quellen, einschließlich Anbieter, nationale CSIRTs (Computer Security Incident Response Teams) und andere bestehende Datenbanken, um einen einzigen, angereicherten Überblick zu bieten, der für den europäischen Markt relevant ist.

Um eine ganzheitliche Resilienz für IKT-Nutzer und das breitere Ökosystem zu gewährleisten, bietet die EUVD eine bessere Analyse und erleichtert die Korrelation von Schwachstellen durch die Open-Source-Software Vulnerability-Lookup. Dies ermöglicht eine informierte und verbesserte Cybersicherheits-Risikomanagement. (Sie können auf den Vulnerability-Lookup hier zugreifen)

Die Verwendung des EUVD

Die aggregierten Informationen, die in der Datenbank enthalten sind, werden über verschiedene Dashboards angezeigt. Das EUVD bietet im Wesentlichen drei Arten von Dashboard-Ansichten, nämlich für kritische Schwachstellen, für ausgenutzte und die letzte für EU-koordinierte. Die EU-koordinierte Schwachstellendatenbank listet die Schwachstellen auf, die von europäischen CSIRTs koordiniert werden und umfasst die Mitglieder des EU CSIRTs-Netzwerks.

Die gesammelten und referenzierten Schwachstelleninformationen stammen aus Open-Source-Datenbanken. Unterstützende/zusätzliche Informationen werden durch Hinweise, Beiträge und Warnungen der nationalen CSIRTs ergänzt, Abhilfe- und Patch-Advisories von Anbietern, zusammen mit Kennzeichnungen für ausgenutzte Schwachstellen.  

Wesentliche Vorteile: Warum das EUVD ein Game-Changer ist

Das EUVD kommt zur richtigen Zeit. Als grundlegender Resilienz-Ermöglicher hat es das Potenzial, sich in ein praktisches Instrument mit greifbaren Vorteilen für Organisationen, Forscher, Regierungen und das gesamte Cybersicherheit-Ökosystem zu verwandeln.

Einige Vorteile, die mir einfallen:

• Verbesserte situative Wahrnehmung: Durch die Zentralisierung und Überprüfung von Schwachstelleninformationen bietet das EUVD eine klare, einheitliche Ansicht der Bedrohungen, die für europäische Organisationen am relevantesten sind.

• Schnelleres, intelligenteres Risikomanagement: Organisationen können die zuverlässigen Daten des EUVD nutzen, um ihre Patch- und Abhilfebemühungen zu priorisieren. Die Kenntnis darüber, ob eine Schwachstelle aktiv ausgenutzt wird (ein wichtiger Datenpunkt im EUVD), katapultiert sie an die Spitze jeder „To-do“-Liste.

• Unterstützung bei der Compliance: Das EUVD ist ein wichtiger Ermöglicher zur Erfüllung der strengen Anforderungen neuer EU-Gesetzgebung. Dies führt uns zu seiner wichtigsten Übereinstimmung.

• Stärkung der digitalen Souveränität und Eigenständigkeit der EU: Es reduziert die Abhängigkeit der EU von Schwachstellendatenbanken, die von anderen Nationen verwaltet werden, und bietet damit eine Ressource, die direkt auf europäische Politik und Prioritäten ausgerichtet ist.

Übereinstimmung mit NIS2, MITRE und dem Cyber Resilience Act

Das EUVD existiert nicht im Vakuum. Es ist eine kritische Komponente, die nahtlos mit der wegweisenden Cybersicherheitsgesetzgebung der EU und bestehenden globalen Standards arbeiten soll.

Die NIS2-Direktive

Das EUVD ist ein direktes Produkt der NIS2-Direktive. Die Direktive verpflichtet, dass wesentliche und wichtige Organisationen in 18 kritischen Sektoren (wie Energie, Transport, Gesundheit und digitale Infrastruktur) geeignete Maßnahmen ergreifen, um Cybersicherheitsrisiken zu managen, einschließlich Schwachstellenbehandlung und -offenlegung.

Das EUVD ist das offizielle Werkzeug, das ENISA bereitgestellt hat, um diesen Organisationen dabei zu helfen, diese gesetzliche Verpflichtung zu erfüllen. Es bietet ihnen eine vertrauenswürdige, autoritative Quelle, um die Schwachstellen zu identifizieren, die sie angehen müssen, um NIS2 zu entsprechen.

Der Cyber Resilience Act (CRA)

Das EUVD wird auch eine wichtige Ressource für die Umsetzung des Cyber Resilience Act (CRA). Der CRA konzentriert sich auf "Security-by-Design" für Produkte mit digitalen Elementen (von Smart-TVs bis zu industriellen Steuerungen). Wenn eine Schwachstelle gefunden wird, haben Hersteller die gesetzliche Pflicht, sie zu melden. Das EUVD dient als zentrales Register für diese Informationen, um Transparenz im gesamten EU-Markt zu gewährleisten.

MITREs CVE-Programm

Das EUVD ist kein Ersatz für das CVE-Programm (Common Vulnerabilities and Exposures) von MITRE. Es ist vielmehr ein Partner, ein Unterstützer und ein Beschleuniger. Dies ist ein wichtiger Punkt, den es zu verstehen gilt.

• Es ist komplementär: Das EUVD aggregiert Daten aus vielen Quellen, einschließlich der globalen CVE-Liste.

• ENISA ist eine CNA: ENISA selbst wurde als CVE Numbering Authority (CNA) bezeichnet. Das bedeutet, dass sie offiziell CVE-IDs neuen in Europa entdeckten Schwachstellen zuweisen kann, die in das globale System einfließen.

• Angereicherte Daten: Das EUVD fügt Schwachstellen seine eigene EUVD-ID hinzu, die es ermöglicht, zusätzliche EU-spezifische Kontexte (wie NIS2-Anwendbarkeit) bereitzustellen und sie mit der entsprechenden CVE-ID zu verknüpfen.

Der „OT-Geschmack“: Warum das EUVD für Betreiber kritischer Infrastruktur von Bedeutung ist

Hier wird es besonders interessant für die industrielle Welt. Das Mandat des EUVD umfasst ausdrücklich Schwachstellen in IT-, IoT- und Operational Technology (OT)-Produkten.

Dies ist ein massiver Fortschritt. Jahrelang wurden Schwachstellen in industriellen Steuerungssystemen (ICS), speicherprogrammierbaren Steuerungen (PLCs) und anderen OT-spezifischen Hardware und Software unzureichend gemeldet oder schwer zu verfolgen.

Durch die offizielle Einbeziehung von OT in seinen Umfang bietet das EUVD einen enormen Vorteil für die genau die Sektoren, die NIS2 schützen soll (Energie, Wasser, Transport, Fertigung).

Zum Beispiel: Ein Energieversorger kann jetzt eine einzige, vertrauenswürdige, aktualisierte und verfügbare, EU-gestützte Datenbank abfragen, um zu sehen, ob eine Schwachstelle für ihre spezifische Marke eines Industrie-Schalters oder SCADA-Software offengelegt wurde. Sie können den Ausnutzungsstatus sehen und Abhilfehinweise finden, alles innerhalb desselben Rahmens, den sie zur Verwaltung ihrer IT-Schwachstellen verwenden.

Dies überbrückt die berüchtigte IT/OT-Lücke auf politischer Ebene und gibt industriellen Sicherheitsteams die autoritativen Daten, die sie benötigen, um ihre kritischen Prozesse zu verteidigen.

Das EUVD ist ein klarer und notwendiger Schritt zur Weiterentwicklung der kollektiven Verteidigung Europas, indem es einige entscheidende Lücken adressiert. Es ist auch ein praktisches Werkzeug, ein rechtlicher Ermöglicher und ein strategischer Vermögenswert, der das Cybersicherheitsmanagement in der EU in den kommenden Jahren prägen wird.

Erfahren Sie mehr über das Management von Schwachstellen durch eine dedizierte Sitzung.

Ein wenig mehr über unsere OT-Sicherheitsplattform hier.