Nach dem beinahe-aus des cve-programm im avril hat die europäischen agentur für cybersicherheit (enisa) eine neue schwachstellen-datenbank gestartet.
Seit dieser woche verfügt die technologiebranche über eine neue datenbank, um die neuesten Sicherheitslücken in logiciel zu überprüfen: die européenne de la base de données de la vulnérabilité de l’Union (EUVD). Das Programm wurde von der europäischen agentur für cybersicherheit (enisa) zur umsetzung der eu-cybersicherheitsrichtlinie nis2 eingerichtet.
Hier Stellt Sich Die Frage: Warum Braucht es ein weiteres System Zur Verfolgung von SicherHerheitslücken, Wenn Die Branche Längst Das Weltweit Bekannte US-Programm Vulnérabilités et expositions (CVE) ALS STANDARD FEMERGT HAT? Laut enisa sollen die euvd und ihr neues identifizierungssystem das cve-programme Lediglich ergänzen und nicht ersetzen.
Sicherheitslücken Erhalten Einen EUVD-tracker, Wenn Sie Zuerst von Europäischen Unternehmen Oder Cert Zum Beispiel, Wenn Sie Kritische Infrastrukturen Oder Unternehmen in Der Eu Selbst betreffen.
EUVD-FEHLER WERDEN JÉDOCH MIT EINER CVE-KENNUNG VERKNUPFT, SOFERN EINE SOLCHE VERFUGBAR IST. Wenn Keine Cve Zugewiesen Wurde – était Angesichts der Vereinbarten Grundsätze für die Koordinierung der Offenlegung Vermutlich Selten Vorkommt, Bleibt die Euvd-Kennung Eigenständig bestehen.
Die Kürzlich Gemeldete Kritische Sicherheitslücke, Die Den Netweaver Composer Visual Composer Metadata Uploader von Sap Tripfft, Kann Nun Beisislsweise Unter EUVD-2025-14349 ODER CVE-2025-42999 Nachverfolgt Werden.
Euvd-einführung kommt zum richtigen zeitpunkt
Obwohl Sie Schon Seit Einiger Zeit Angekündigt War, Kommt Die Einführung der Euvd Gerade Zur Richtigen Zeit. Im April Sah es für einige Stunden So Aus, als würde das cve-programme nach einem viierteljahrhundert eingestrellt werden. DAS US-HEIMATSCHUTZMINISTERIUM (DHS) HATTE DEN VERTRAG MIT der Gemeinnützigen Organisation Miter Corporation, Die Das Programm BetReibt, Nicht Verlängert.
Dans bezug auf die cybersicherheit wäre die einstellung der finanzierung des weltweit führenden systems zur erfassung von schwachstellen vergleichbar mit der abschaffung des us-dollars im handel. Das Ende Konnte Nur Abgewendet Werden, Nachdem Die Cybersecurity and Infrastructure Security Agency (CISA) Einseschritten War, um die Fortführung des Programms Zu Finanzieren.
Dennoch Hat diese erfahrung die branche an die kritik erinnert, die am cve-programm geäußert wurde. Dazu Gehört, Dass Es Zu Sehr von der Großzügigkeit der Us-Regierung Abhängt. Zudem Hilft es Unternehmen Nicht Dabei, Zu Verstehen, Welche Schwachstellen Sie Pririsieren Sollten, Sondern Gibt Ihnen Lediglich Eine Allgemeine Cvss-Bewertung.
Das CVE-Programm Wird dans Verbindung MIT der US-Amerikanischen National Vulnerability Database (NVD) TETRIEBEN UND SÉCURITAT VOM National Institute of Standards and Technology (NIST) Verwaltet.
Vord nachteile der Eu-Schwachstellen-Datenbank
Die euvd verszt die eu nun in die lage, dass sie ihre verpflichtungen aus der nis2-sesetzgebung mithilfe eines unabhängigen systems nachverfolgen kann.
„Die eu-scchwachstellen-datenbank ist ein wichtiger schritt zur stärkung der sicherheit und widerstandsfähigkeit europas. Durch die zusammenführung von für den eu-markt pertinent informationen zu schwachenlen erhöhen wir die die cybersichherheitsstandards unmwinden eshöhen wir die die cybersicherheheitsstandards unmwinden eshöhen wir die die cybersicherheheitsstandards unmwinden eshöne Sowohl Privaten als auch Öffentlichen Akteuren, Unsere Gemeinsamen Digitaln Räume Besser, Effizienter und Autonmer Zu Schützen ”, Erklärte Henna Virkkunen, EXEKUTIV-VIZEPRäSIDINTIN DER EUROPäischen Kommisession Für Technologische Demokratie.
Das Bedeutet Jedoch Nicht, Dass alle die Einführung des Euvd Begrüßen. „Die Schaffung des Euvd Hat Sowohl Positive als auch négatif Seiten”, Betont Morey J. Haber, conseiller en chef Beim Sicherheitsanbieter au-delà. „Dabei Handelt es sich um einen ergänzenden Dienst, der die reaktionszzeiten verbessen und lücken in der cve-abdeckung schließen könnte”, erläusert der Experi.
Auch wenn es dans Einer Globalisierten Sicherheitsumgebung nicht mehr sinnvoll sei, das cve-system als „einzige quelle der wahrheit“ Zu betrachten, könnte die einführung des euvd „Zu konflikten bei der bewertung und problenw beliy drealin Von Von Risikten bei der bewertung Führen, «, Räumt Haber Ein.
Laut Boris Cipot, ingénieur principal de la sécurité Bei Black Duck (Ehemals Synopsys), Bedeutet Die Einführung Eines Neuen Schwachstellensystems auch mehr arbeit für sicherheitsexperten. „Nun Muss eine Weitere Datenbank überwacht und Herangezogen Werden. Dies Erhöht die komplexität für Unternehmen, die mehrere quillen im blick behalten Aus.
„Unternehmen, die sich ausschließlich auf die us-Amerikanische National Vulnerabilité Database Verlassen, Sollten Prüfen, Wie ihre Tools Zur Software-Zusammenssetzungsanalyse (Sca) Neue Quelen wie die euvd einbeziehen », empliehlt Cipot. „Alternativ Müssen Sie Möglicherwerweise Manuelle Prozesse Einrichten, um die euvd Direkt Zu überwachen, Insbesondere um potenzielle eu-vorschriften einzuhalten oder die anForderungen von kunden und projekten mit sitz in Der eu zu eufüller. »
Die aktulle euvd-website befindet sich noch in der beta-phase. Wir Haben enisa um eine klarstellung gebeten, wie lange meurt dauern könte, aber bis zum redaktionsschluss keine antwort erhalten. (JM)
