Thought Leadership
In Europa ist mit GCVE (Global CVE Allocation System) eine neue Plattform zur Erfassung von IT-Sicherheitslücken an den Start gegangen.
Daten aus über 25 Quellen
Das vom luxemburgischen CIRCL (Computer Incident Response Center Luxembourg) betriebene System versteht sich als dezentrale Ergänzung zum etablierten CVE-Programm der US-Organisation MITRE. GCVE aggregiert Schwachstelleninformationen aus mehr als 25 öffentlichen Quellen, darunter auch das MITRE-CVE-Programm. Die Plattform soll nach eigenen Angaben dazu beitragen, die Fragmentierung in der Schwachstellenerfassung zu reduzieren.
Als “Community-getriebene Initiative” konzipiert, ermöglicht das System autorisierten Stellen (GCVE Numbering Authorities, GNAs) die direkte Veröffentlichung von Schwachstellen ohne zentrale Freigabe. “Das Ziel von db.gcve.eu ist es, der Community eine einzige, einheitliche und offen zugängliche Referenzquelle für Informationen zu Sicherheitslücken zur Verfügung zu stellen, damit Verteidiger, Forscher, CSIRTs, Anbieter und Open-Source-Projekte Sicherheitshinweise über verschiedene Ökosysteme hinweg leichter verfolgen, korrelieren und analysieren können”, heißt es auf der Website.
Hosting im eigenen Rechenzentrum
Die Plattform db.gcve.eu wird von CIRCL in einem eigenen Rechenzentrum im Großherzogtum Luxemburg betrieben. Dies gewährleistet nach Angaben der Betreiber die vollständige Kontrolle über Infrastruktur, Daten und Betrieb. Das Projekt wird gemeinsam von CIRCL und der Europäischen Union (ECCC) im Rahmen des FETTA-Projekts finanziert, das die Entwicklung offener und widerstandsfähiger EU-Cyber-Threat-Intelligence unterstützt.
CIRCL verweist darauf, dass die Kombination aus Open-Source-Software, offenen Daten und europäisch kontrollierter Infrastruktur zur digitalen Souveränität und strategischen Autonomie beitrage. Die Hardware stammt allerdings aus der globalen Lieferkette und umfasst damit auch außereuropäische Komponenten. Betrieb, Administration und Governance erfolgen jedoch vollständig innerhalb Europas durch CIRCL.
Hintergrund: Finanzierungsunsicherheit in den USA
Anlass für die Initiative waren Zweifel an der künftigen Finanzierung des US-CVE-Programms. Im April 2024 verlängerte das US-Heimatschutzministerium die Förderung erst in letzter Minute. Das sorgte international für Unruhe. Bereits im Mai 2024 hatte die EU daraufhin die European Union Vulnerability Database (EUVD) unter ihrer Cybersicherheitsagentur ENISA ins Leben gerufen.
Ergänzung statt Ersatz
GCVE ist explizit nicht als Ersatz für das MITRE-CVE-Programm konzipiert, sondern als Absicherung für den Fall von Finanzierungs- oder anderen Unterbrechungen. Die Plattform soll durch ihre dezentrale Struktur zur Resilienz der globalen Schwachstellenerfassung beitragen.
