28. Mai 2026 Die EU Vulnerability Database: Europas zentrale Informationsquelle für Sicherheitslücken

Mit der European Vulnerability Database (EUVD) hat die ENISA ein europäisches Pendant zur weit verbreiteten amerikanischen National Vulnerability Database (NVD) geschaffen. Sie wurde im Zuge der Umsetzung der NIS2-Richtlinie ins Leben gerufen und soll die Souveränität in diesem Bereich stärken.

Im Internet werden seit mehr als zwei Jahrzehnten jährlich Tausende neue Schwachstellen in Software entdeckt, wie auch die Daten unseres Cybermonitors zeigen. Im Jahr 2025 waren es zuletzt 49.920, im Jahr 2024 40.010 und im Jahr 2023 28.817 solcher Schwachstellen. Im Jahr 2004 waren es zum Vergleich nur 2.451 Schwachstellen.

Die Schwachstellen können in allen Bereichen auftreten, etwa in Betriebssystemen, Apps oder smarten Haushaltsgeräten wie Roboterstaubsauger oder ähnlichen weit verbreiteten Produkten. Um diese Risiken besser zu dokumentieren und systematischer zu beheben, hat die Europäische Union mit der European Vulnerability Database (EUVD) eine zentrale, öffentliche Plattform geschaffen, die als Wissensbasis für bekannte ausnutzbare Schwachstellen („Vulnerabilities“) fungiert.

Die Europäische Agentur für Cybersicherheit (ENISA) betreibt die EUVD als verlässliche Informationsquelle für Behörden, Unternehmen, Institutionen sowie auch Endanwender, damit diese einen raschen Überblick über alle relevanten Schwachstellen erhalten.

• Link zur EUVD: https://euvd.enisa.europa.eu

Was ist die EUVD und wofür wird sie verwendet?

Die EUVD ist eine von der ENISA betriebene Datenbank. Darin sind die Informationen über ausnutzbare Sicherheitslücken in IT-Systemen oder in IT-Produkten systematisch gesammelt und strukturiert gespeichert abrufbar. Die EUVD wurde im Zuge der Umsetzung zur NIS2-Richtlinie ins Leben gerufen. Sie stärkt die digitale Souveränität Europas.

Während man sich früher primär auf US-basierte Datenbanken verließ, bietet diese EUVD mittlerweile eine europäische Plattform, die folgendes ermöglicht:

• Zentrale Bündelung: Daten fließen von nationalen Computer Security Incident Response Teams (CSIRTs), Herstellern und internationalen Partnern zusammen.
• Eigene Identifikatoren: Jede gespeicherte Sicherheitslücke erhält eine eindeutige Kennzeichnung („ID“) (z. B. EUVD-2026-11116).
• CVE-Mapping: Falls vorhanden (im obigen Beispiel: CVE-2026-3826), wird die EUVD-ID direkt mit der internationalen CVE-ID (Common Vulnerabilities and Exposures) über die „Alternative ID“ miteinander verknüpft. So bleibt die Datenbank global kompatibel, bietet aber bei Bedarf zusätzliche europäische Kontext-Details.
• CVSS Bewertungsskala: Für jede Schwachstelle in der EUVD wird anhand einer Bewertungsskala (derzeit gemäß CVSS v4.0 – Common Vulnerability Scoring System) die Kritikalität und demzufolge die damit einhergehenden Gefahren bewertet.

Wie funktioniert die Bewertungsskala der Schwachstellen (CVSS 4.0)?

Um die Bedrohungslage anhand von Schwachstellen besser einzuordnen und insbesondere daraus abzuleiten wie dringend ein Update in einem Produkt ist, nützt die EUVD das Common Vulnerability Scoring System (CVSS) in der aktuellen Version 4.0 (CVSS 4.0). Dieses System ordnet einer Schwachstelle gemäß der jeweiligen Kritikalität einen numerischen Wert auf einer Skala von 0 bis 10 zu:

Vereinfacht lässt sich zusammenfassen, dass insbesondere kritische und hoch eingeordnete Schwachstellen raschen Handlungsbedarf erfordern. Bei mittleren und niedrig eingeordneten Schwachstellen ist Handlungsbedarf zwar grundsätzlich ebenfalls gegeben und eine Behandlung der Schwachstelle empfohlen, jedoch ohne akuten Zeitdruck zur Umsetzung. Die konkrete Behandlung hängt jedoch auch immer vom betroffenen Produkt und der jeweiligen Betriebsumgebung ab.

Dashboards für einen raschen Überblick

Die EUVD bietet recht übersichtliche Dashboards. Diese zeigen, inwiefern bei Schwachstellen Handlungsbedarf besteht. Besonders relevant sind:

• Kritische Schwachstellen: Listet die neuesten kritischen Lücken, um eine schnelle Übersicht zu den aktuell dringendsten Schwachstellen zu erhalten.
• Aktiv ausgenutzte Schwachstellen: Hier ist rasche Reaktion geboten, da diese Schwachstellen von Hackern bereits aktiv ausgenützt werden.
• EU-koordiniert gemeldete Schwachstellen: Lücken, die durch die Zusammenarbeit europäischer Behörden aufgedeckt wurden.

Vollständige Übersicht der Schwachstellen

Die EUVD stellt zusätzlich eine interaktive Suchoberfläche bereit, auf der Sie alle erfassten Sicherheitslücken einsehen können. Dort lassen sich Schwachstellen nach EUVD-ID, CVE-ID, Produkt, Hersteller oder Kritikalität filtern. So behalten Interessierte den Überblick, welche Lücken aktuell bestehen und wie dringend ein Update ist.

• Direktlink zur vollständigen Schwachstellenliste: https://euvd.enisa.europa.eu/search

Was ist die Rolle der ENISA?

Die ENISA ist die zentrale Agentur für Cybersicherheit in der EU. Seit 2024 ist sie zudem als CVE Numbering Authority (CNA) autorisiert. Das bedeutet, die ENISA kann eigenständig international gültige Identifikatoren für Schwachstellen vergeben, wodurch die Reaktionszeit bei neuen Bedrohungen verkürzt wird.

Bedeutung für den Alltag

Auch wenn Sie die Datenbank für Schwachstellen nicht selbst regelmäßig durchsuchen, profitieren Sie indirekt davon:

• Schnellere Patches: Hersteller können durch die transparente Dokumentation schneller Sicherheitsupdates bereitstellen.
• Erleichterte Produktauswahl: Offene Schwachstellen und das generelle Sicherheitsniveau von Produkten oder Software kann einfacher eruiert und verglichen werden.
• Bessere Risiko-Einschätzung: Unternehmen, die Ihre Daten verwalten, können ihre Systeme präziser absichern.
• Transparenter Überblick auch für Endanwender: Sie haben einen Überblick über offene und geschlossene Schwachstellen und die generelle Sicherheit der von Ihnen verwendeten Produkte.
• Verbesserte Koordination: Eine zentrale Anlaufstelle für die Speicherung von Schwachstellen die zu deren Behebung beiträgt.