GCVE: EU startet eigene Schwachstellendatenbank
Die Europäische Union hat mit dem Global CVE Allocation System, kurz GCVE, eine eigene Datenbank für IT-Sicherheitslücken eingeführt. Sie versteht sich als Alternative zum bisherigen CVE-System, das von der US-Organisation MITRE betrieben wird, und ist als offene sowie dezentral organisierte Plattform konzipiert.
GCVE ist seit dem 7. Januar öffentlich zugänglich und Ergebnis der Bemühungen, die Abhängigkeit vom US-amerikanischen CVE-System zu verringern. Hintergrund sind Unsicherheiten bei der Finanzierung dieses zentralen Registers und die damit verbundenen Risiken für seine dauerhafte Funktionsfähigkeit.
Finanzierungsrisiken als Auslöser für GCVE-Sicherheitsdatenbank
Im April des vergangenen Jahres hatte das US-Heimatschutzministerium die Weiterfinanzierung von MITRE erst in letzter Minute genehmigt. Sicherheitsexperten warnten daraufhin mehrfach, dass eine Unterbrechung oder Verlangsamung des CVE-Programms die globale IT-Sicherheitsgemeinschaft ohne verlässliche Informationsquelle über bekannte Schwachstellen zurücklassen könnte.
Diese Unsicherheit gilt als zentraler Auslöser für den Aufbau eines alternativen europäischen Systems. Ziel ist es, die Verfügbarkeit und Stabilität von Informationen zu Sicherheitslücken langfristig abzusichern und Abhängigkeiten von einzelnen staatlichen Akteuren zu reduzieren.
Dezentrale Struktur statt zentraler Vergabe
GCVE basiert auf einem dezentralen Modell, bei dem unabhängige Organisationen als sogenannte GCVE Numbering Authorities eigene Schwachstellenkennungen vergeben können. Dadurch sollen flexiblere Prozesse, schnellere Veröffentlichungen und eine höhere Widerstandsfähigkeit gegenüber zentralen Ausfallpunkten erreicht werden.
Das neue System ersetzt das bestehende CVE-System jedoch nicht vollständig. Vielmehr bleibt es kompatibel mit dem etablierten CVE-Ökosystem und integriert vorhandene Kennungen in seine Struktur, um Parallelstrukturen und Informationsverluste zu vermeiden.
Zusammenführung zahlreicher Datenquellen
Die neue Plattform gcve.eu bündelt Daten aus mehr als 25 öffentlichen Quellen. Dazu zählen Informationen aus dem CVE-System ebenso wie aus weiteren offenen Schwachstellen-Datenbanken, die bislang getrennt ausgewertet werden mussten.
Adressaten sind vor allem IT-Sicherheitsfachleute, Forscher, nationale Computer Security Incident Response Teams sowie Softwareanbieter. Durch die Zusammenführung und Korrelation der Daten soll die Transparenz erhöht und die Analyse von Sicherheitsrisiken erleichtert werden.
Technische Ausgestaltung und Zielsetzung
Nach Angaben der Initiatoren bietet GCVE mehrere technische Vorteile. Die dezentrale Verwaltung soll Engpässe reduzieren, während die Kompatibilität mit dem CVE-Standard einen reibungslosen Übergang zwischen beiden Systemen ermöglicht. Bestehende CVE-Kennungen lassen sich innerhalb des GCVE-Formats abbilden und weiterverwenden.
Darüber hinaus ist das Identifikationsformat von GCVE so angelegt, dass es klar strukturiert und langfristig erweiterbar bleibt. Insgesamt verfolgt das Projekt das Ziel, die digitale Souveränität Europas zu stärken und die Abhängigkeit von einem einzelnen globalen Referenzsystem zu verringern.
Europäische Ergänzung durch bestehende Datenbank
Bereits im vergangenen Jahr hatte die Europäische Union mit der European Vulnerability Database eine eigene regionale Schwachstellen-Datenbank eingeführt. Diese wurde von der EU-Agentur für Cybersicherheit ENISA im Rahmen der Umsetzung der NIS-2-Richtlinie entwickelt.
Die EUVD fungiert als zentralisierte europäische Plattform, die globale Informationsquellen ergänzt und die Widerstandsfähigkeit gegenüber digitalen Bedrohungen erhöhen soll. Sie sammelt und veröffentlicht ebenfalls Daten zu Sicherheitslücken und ist damit Teil einer breiter angelegten europäischen Sicherheitsarchitektur.
Bedeutung für deutsche Unternehmen und Behörden
Für Deutschland gewinnt der Aufbau dieser europäischen Strukturen besondere Relevanz, da Wirtschaft und öffentliche Verwaltung zunehmend von stabilen und verlässlichen Informationen zu IT-Sicherheitsrisiken abhängig sind. Mit GCVE und EUVD entstehen zusätzliche, politisch unabhängige Quellen, die insbesondere für kritische Infrastrukturen und mittelständische Unternehmen von Bedeutung sind.
Angesichts wachsender Cyberrisiken und steigender regulatorischer Anforderungen könnten diese europäischen Datenbanken dazu beitragen, Sicherheitsanalysen zu verbessern und Reaktionszeiten zu verkürzen. Damit stärken sie nicht nur die digitale Resilienz der EU, sondern auch die Handlungssicherheit deutscher Akteure im digitalen Raum.
