Am gestrigen 13. Mai hat ein voll funktionelle Variante der European Vulnerability Database (EUVD) den operativen Betrieb aufgenommen. Die Site befindet sich zwar noch in der Betaphase, soll aber weitgehend stehen. Wie Juhan Lepassaar, der Executive Director der European Union Agency for Cybersecurity (Enisa) kommentiert, habe die EU damit nun ein unverzicht­bares Tool, um Security-Schwachstellen und die damit verbundenen Risiken zu dokumentieren und zu managen.

Eigentlich sollte die EUVD überflüssig sein, denn seit vielen Jahren leitet die von der Non-Profit-Organisation Mitre betriebene und von der US-Regierung finanzierte CVE-Datenbank (Common Vulnerabilities and Exposures) der Security-Szene die gleichen Dienste. Deren Zukunft ist aber unsicher. Mitte April wurde bekannt, dass die US-Regierung die Finanzierung beenden wollte. Wenige Tage später krebste sie zwar zurück, die Gelder sind aber nur für ein weiteres Jahr zugesichert.

Zudem haben die plötzlichen und tiefgehenden Stellenstreichungen bei der US-Security-Behörde CISA und anderen Security-Organen sowie die Einstellung mehrerer Security-Projekte deutlich gezeigt, dass Cybersecurity für die Trump-Regierung gegenwärtig eine höchstens geringe Priorität hat.

Die Schaffung einer stabilen CVE-Alternative, die nicht von den Launen der US-Regierung abhängig ist, ist daher ein dringender Wunsch vieler Security-Fachleute. Die EU hat die eigene Vulnerability-Datenbank zwar schon vor einem Jahr angekündigt, aber das Projekt nach den Wirren um CVE stark beschleunigt.

Dabei wurde auch darauf geachtet, die Kompatibilität mit der CVE-Liste aufrechtzuerhalten. Die in der EUVD aufgelisteten Schwachstellen in Soft- und Hardware erhalten sowohl eine EUVD- als auch eine CVE-Nummer. Dies ist unter anderem möglich, weil die Enisa eine offizielle CVE Numbering Authority (CNA) ist. Dadurch darf sie selbstständig gültige CVE-Nummern vergeben und die Offenlegung von neu entdeckten Schwachstellen koordinieren.

Die EUVD enthält eine Einschätzung des Gefährdungsgrads einer Sicherheitslücke, Informationen darüber, ob sie bereits von Hackern angegriffen wird sowie Links zu Advisories und Patches der Hersteller der betroffenen Produkte. Dashboards zeigen die schwerwiegendsten neuen Schwachstellen sowie diejenigen, die von Hackern gegenwärtig aktiv ausgenützt werden.