Ein Drama in mehreren Akten, das beinahe in einem echten Bruch geendet hätte, scheint vorerst glimpflich ausgegangen zu sein: Die CVE-Datenbank bleibt erhalten. Gleichzeitig macht Europa ernst mit einer eigenen Alternative.
Noch vor wenigen Tagen war das Szenario kaum vorstellbar: Die zentrale Infrastruktur für IT-Sicherheitslücken – die CVE-Datenbank – stand kurz vor dem Aus. Die USA zögerten mit der Vertragsverlängerung zwischen der Sicherheitsbehörde CISA und dem Betreiber MITRE. Jetzt ist klar: Der Vertrag wurde in letzter Minute verlängert. Doch das Zittern war ein Weckruf. Die EU und andere Akteure haben prompt reagiert – und ihre eigenen Pläne für eine unabhängige Zukunft offengelegt.
CVE bleibt – zumindest vorerst
Das Wichtigste zuerst: Die Common Vulnerabilities and Exposures (CVE) bleiben uns erhalten. Am 16. April wurde bekannt, dass die CISA ihr Optionsrecht genutzt hat und MITRE bis März 2026 weiterhin mit dem Betrieb der Schwachstellendatenbank beauftragt. 20 Millionen US-Dollar fließen für die elfmonatige Verlängerung – ein Aufatmen für die IT-Sicherheitswelt.
Doch der Schatten bleibt: MITRE muss im Juni 2025 über 400 Mitarbeitende entlassen, unter anderem wegen anderer geplatzter Regierungsverträge. Das lässt auch am Fortbestand des aktuellen CVE-Modells Zweifel offen.
Die EUVD: Europas Antwort auf CVE
Fast zeitgleich zur Verlängerung des CVE-Vertrags ließ die EU-Cybersicherheitsbehörde ENISA die eigene Lösung vom Stapel: die European Vulnerability Database (EUVD). Was 2024 noch als Konzept unter der NIS2-Richtlinie angekündigt wurde, ist nun live.
Zwar war der erste Launch Anfang April nur ein Funktionstest – für wenige Stunden –, doch angesichts der CVE-Krise zog ENISA jetzt nach. Die EUVD steht online und will mittelfristig nicht nur Ergänzung, sondern echte Alternative sein.
Der Zeitpunkt könnte günstiger nicht sein: Das Vertrauen in die Abhängigkeit von einem US-zentralisierten System hat Risse bekommen. Und Europa will zeigen, dass es auch im Cyberspace für digitale Souveränität steht.
GCVE: CVE neu gedacht – dezentral und global
Während Europa eigene Wege geht, bringt das Computer Incident Response Center Luxembourg (CIRCL) eine ganz neue Idee auf den Tisch: das Global CVE Allocation System (GCVE). Der Ansatz: Weg von der zentralisierten Zuweisung von Schwachstellenkennungen hin zu einem modularen, dezentralen System.
Statt der klassischen CVE-ID à la CVE-2024-12345 verwendet GCVE ein Format wie GCVE-12-2024-12345, wobei die erste Zahl für die Nummer der Vergabestelle (CNA) steht. So kann jeder CNA unabhängig arbeiten – ohne ständiges Abstimmen mit MITRE.
Der Clou: Das System bleibt rückwärtskompatibel. Klassische CVE-IDs werden einfach als GCVE-0-… dargestellt. Der Innovationsdrang ist spürbar – und dürfte das System deutlich resilienter machen.
Die CVE Foundation: Ein Neustart durch die Community?
Noch mysteriös, aber nicht minder spannend: Unter dem Namen „CVE Foundation“ formiert sich offenbar eine Gruppe langjähriger CVE-Insider, die einen Neustart in Stiftungsform plant. Die Domain ist registriert, erste Ankündigungen gemacht – nur die Namen der Beteiligten fehlen bisher.
Ziel scheint es zu sein, das CVE-System in eine transparente, nicht-kommerzielle Struktur zu überführen – und damit langfristig stabiler und unabhängiger zu machen. Ob das gelingt, hängt nicht zuletzt vom Vertrauen der Community ab.
Das CVE-System lebt – aber nicht mehr allein
Die drohende CVE-Abschaltung hat der Welt vor Augen geführt, wie fragil zentrale Infrastrukturen sein können. Die schnelle Reaktion von EU, CIRCL und zivilgesellschaftlichen Initiativen zeigt: Die Zeit ist reif für Alternativen.
Was bleibt, ist ein Nebeneinander von alten und neuen Wegen – und die Hoffnung, dass daraus ein stärkeres, transparenteres und robusteres System entsteht.
Die zentrale Frage ist nicht mehr, ob CVE bestehen bleibt – sondern wie wir Schwachstellen in Zukunft erfassen und gemeinsam absichern wollen.
