Die CVE-Krise und Europas Stunde der digitalen

Am Morgen des 16. April 2025 hielten viele Sicherheitsforscher, CERT-Mitarbeitende und Compliance-Verantwortliche weltweit den Atem an. Was nach Jahren als selbstverständlich galt, drohte plötzlich zu verschwinden: Die zentrale Schwachstellendatenbank der westlichen Welt, das CVE-System, stand vor dem Aus. Was nunmehr temporär abgewendet ist.

Ohne CVEs kein koordinierter Patch Tuesday, keine verbindliche Zuweisung von Schwachstellen, keine Grundlage für SIEMs, keine Warnungen in Echtzeit – und keine Klarheit darüber, ob verschiedene Sicherheitsmeldungen überhaupt vom gleichen Problem sprechen. Mitten in einer Zeit geopolitischer Spannungen, von KI-getriebenen Exploits und wachsender Systemkomplexität wackelte plötzlich das Fundament.

Genau an diesem Punkt beginnt Europas Chance – und Verantwortung.

Was war passiert?

Die Non-Profit-Organisation MITRE, seit 1999 Betreiberin der Common Vulnerabilities and Exposures (CVE)-, erhielt keine rechtzeitige Vertragsverlängerung von der US-Regierung. Trotz monatelanger Warnungen wurde die Finanzierung für das wohl wichtigste Register digitaler Schwachstellen auf Eis gelegt. Am Abend des 15. April war klar: Der Vertrag läuft in wenigen Stunden aus. Es gibt keinen neuen. Und keine Garantie für eine Fortsetzung.

In sozialen Netzwerken und Fachmedien verbreitete sich Panik – eine Art „digitaler Systemkollaps auf Raten“ wurde befürchtet. Und das zurecht: Sicherheitsforscher wie Patrick Garrity kündigten an, notfalls selbst CVEs zu vergeben. CISA, die US-Behörde für Cybersecurity, ließ in letzter Minute verlauten, man wolle die Lücke schließen. Doch selbst das konnte die Unsicherheit kaum dämpfen. Erst am 17. April wurde klar: Der Vertrag mit MITRE wird bis März 2026 verlängert – um Haaresbreite.

Cybersecurity in den USA: Zukunft zwischen Chaos und Konsolidierung
Neue US-Strategie gegenüber russischen Cyberbedrohungen

Warum betrifft uns das alle?

Die CVE-Datenbank ist das Rückgrat der globalen Schwachstellenkommunikation. Ob ein kritischer Bug in einem Mailserver, eine Zero-Day-Schwachstelle in IoT-Kameras oder ein neuer Exploit in einem Framework wie Log4j: Ohne einheitliche Identifikatoren herrscht sprachliche und organisatorische Kakophonie.

Und es ist nicht nur ein technisches Problem. Denn auch -Richtlinien, regulatorische Pflichten (z.B. nach NIS2, CRA oder dem BSI-Gesetz) und branchenspezifische Audits referenzieren häufig auf CVEs. Wer eine CVE nicht kennt, kann keinen Patchprozess einleiten, keine Kunden informieren und keine Verteidigungsmaßnahmen dokumentieren.

Ohne CVE kein systematisches Schwachstellenmanagement. Punkt.

Der europäische Moment: Die EUVD wird Realität

Was in den USA wackelte, nutzte ENISA – die EU-Agentur für Cybersicherheit – als Gelegenheit. Bereits 2024 angekündigt, wurde die European Vulnerability Database (EUVD) mitten in der CVE-Krise live geschaltet.

Und diese Datenbank ist weit mehr als eine Notlösung:

  • Sie integriert Daten aus CVE, Herstelleradvisories, GitHub, JVN iPedia und nationalen CSIRTs.
  • Sie nutzt Standardformate wie CSAF, Scoring-Systeme wie CVSS und EPSS.
  • Sie weist nicht nur CVE-IDs aus, sondern vergibt eigene EUVD-Identifikatoren, um unabhängig referenzierbar zu sein.
  • Sie dokumentiert kritische Schwachstellen, aktiv ausgenutzte Exploits und koordinierte Offenlegungen in Europa.

Technisch gesehen ist die EUVD also nicht nur redundant – sie ist ein Mehrwert, ein Kontextgeber, ein Werkzeug zur Souveränität.

Juristisch-regulatorische Dimension

Regulatorisch ist dieser Schritt ein Meilenstein. Denn mit der (geltend ab Oktober 2024) und dem Cyber Resilience Act (voll anwendbar ab Dezember 2027) schreibt Europa ein umfassendes Schwachstellenmanagement fest – mit ENISA und CSIRTs als zentralen Akteuren. Die EUVD bietet dabei die notwendige technische Infrastruktur:

  • Art. 12 NIS2 verpflichtet wesentliche Einrichtungen zur Schwachstellenanalyse.
  • Art. 17 CRA verpflichtet Hersteller zur Offenlegung aktiv ausgenutzter Schwachstellen – deren Daten werden über das Single Reporting Platform zukünftig in die EUVD eingespeist.
  • ENISA agiert seit 2024 als CNA (CVE Numbering Authority) und kann eigene IDs vergeben – ein weiterer Schritt zur Autonomie.

Die Rechtsverbindlichkeit dieser Infrastruktur wächst also stetig. Unternehmen und Behörden tun gut daran, nicht nur auf CVE, sondern auch auf die EUVD zu setzen – schon jetzt. Mit der Veröffentlichung der European Vulnerability Database (EUVD) durch ENISA​ verfügt die EU damit erstmals über eine eigene, zentral gepflegte Schwachstellendatenbank. Die rechtliche Grundlage findet sich u.a. in:

  • Art. 7 lit. h NIS2-: Verpflichtet ENISA zur Förderung des Informationsaustauschs über Schwachstellen.
  • Art. 12 NIS2 i.V.m. Anhang I/II: Verpflichtet Betreiber wesentlicher Dienste zu Schwachstellenmanagementprozessen.
  • Cyber Resilience Act (CRA): Ab 2027 verpflichtend für Hersteller zur Meldung aktiv ausgenutzter Schwachstellen über die Single Reporting Platform – deren Ergebnisse ebenfalls in die EUVD einfließen sollen​.

Technisch basiert die EUVD übrigens auf einem multi-source-Modell: Neben CVE-Einträgen werden Advisories von Herstellern, CSIRTs und anderen Stakeholdern eingebunden, angereichert und über standardisierte Formate wie CSAF ausgegeben. Die eigene EUVD-ID ergänzt bestehende CVE-Einträge – eine Art regulatorische Absicherung und Notfallplan zugleich

Die Stunde der Entscheidung war gekommen – und die Welt ist knapp an einem Desaster vorbeigeschrammt. Die Lehre daraus ist eindeutig: Kritische Infrastrukturen – ob analog oder digital – brauchen Verfügbarkeit, Redundanz und Unabhängigkeit. Die EUVD ist ein erster Schritt in diese Richtung. Ein zweiter muss folgen: der breite institutionelle und rechtliche Rückhalt für diese neue Säule der Cybersicherheit.

Was bedeutet das für Unternehmen?

Für Unternehmen – insbesondere KRITIS-Betreiber und Hersteller digitaler Produkte – ergibt sich eine doppelte Handlungspflicht:

  • Technisch-organisatorisch: Die EUVD sollte als ergänzende Quelle zu CVE implementiert und in das Schwachstellenmanagement integriert werden. Das betrifft insbesondere SOCs, CERTs und GRC-Abteilungen.
  • Rechtlich-regulatorisch: Compliance-Programme müssen um die Anforderungen der CRA (ab 2027) und der NIS2 (ab Oktober 2024) erweitert werden – wobei ENISA-Publikationen als Auslegungshilfe dienen können.

Ein europäisches Narrativ – oder: die Moral von der Schwachstelle

Die CVE-Krise war real. Und sie war knapp. Was als technischer Vorgang erscheint, war in Wahrheit ein geopolitischer Lackmustest: Was passiert, wenn eine global essenzielle Komponente des digitalen Sicherheitsgefüges plötzlich in den Händen haushaltspolitischer Launen liegt?

Europa hat nicht gezögert (wobei man ja schon seit langem darangearbeitet hat) … sondern gehandelt: Die nun spontan online gegangene EUVD ist Ausdruck digitaler Resilienz. Sie ist ein Werkzeug, um Cybersecurity nicht mehr nur zu konsumieren, sondern mitzugestalten. Und sie ist – das sollten wir nicht vergessen – ein demokratischer Dienst an einer digital vernetzten Gesellschaft, die immer verletzlicher wird.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.