GCVE-Datenbank: Europas Antwort auf IT-Sicherheitslücken

Ein neues europäisches System zur Erfassung von Sicherheitslücken ist voll einsatzbereit. Die Plattform db.gcve.eu soll die Abhängigkeit von US-Datenbanken beenden und die digitale Souveränität stärken.

Die Fragmentierung im Cybersicherheitssektor war lange ein Problem. IT-Compliance-Teams mussten sich auf ein Sammelsurium unterschiedlicher Datenbanken verlassen. Die wichtigste Quelle, die US-amerikanische National Vulnerability Database (NVD), kämpfte 2024 und 2025 mit erheblichen Betriebsproblemen und Rückständen. Dies offenbarte die Risiken einer globalen Abhängigkeit von einer einzigen Instanz.

Die neue GCVE-Datenbank (Global Cybersecurity Vulnerability Enumeration) setzt genau hier an. Sie konsolidiert seit dem 18. Januar 2026 Informationen aus über 25 öffentlichen Quellen zu einer einzigen, frei zugänglichen Referenz. Die Architektur ist auf Interoperabilität und Automatisierung ausgelegt. Eine kostenlose, offene API ermöglicht die nahtlose Integration in bestehende Compliance-Tools und Risikomanagement-Systeme.

Die jüngsten Ausfälle und Rückstände in etablierten Schwachstellendatenbanken zeigen: Viele Unternehmen sind für koordinierte Vulnerability‑Disclosure‑Szenarien nicht ausreichend gerüstet. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt, wie Sie neue Quellen wie db.gcve.eu sinnvoll in Ihre Patch‑Priorisierung und Automatisierung einbinden, welche Pflichten unter CRA und DORA jetzt relevant werden und welche Sofortmaßnahmen wirkungsvoll sind. Inklusive Checkliste zur Priorisierung aktiver Exploits. Jetzt kostenlosen Cyber‑Security‑Report anfordern

Dezentralisierung als Kerninnovation

Ein zentraler Durchbruch des GCVE-Ökosystems ist das GCVE Numbering Authority (GNA)-Modell. Es löst die traditionelle, zentrale Vergabe von Schwachstellen-Kennungen (CVE IDs) ab, die bei größeren Sicherheitsvorfällen oft zum Flaschenhals wurde.

Unter dem neuen, föderalen Ansatz können unabhängige Organisationen – von Softwareherstellern bis zu Forschungsinstituten – als GNAs agieren. Sie sind befugt, Schwachstellen-Kennungen autonom zu vergeben und zu veröffentlichen, ohne auf eine zentrale Freigabe warten zu müssen. Dies soll den Offenlegungsprozess beschleunigen und dafür sorgen, dass kritische Sicherheitsupdates schneller öffentlich werden.

Die Initiative wird vom Computer Incident Response Center Luxembourg (CIRCL) und der Europäischen Union im Rahmen des FETTA-Projekts mitfinanziert. Diese Unterstützung unterstreicht die strategische Bedeutung für die digitale Souveränität der EU.

Entlastung für IT-Compliance in Europa

Für in der EU tätige Unternehmen hat der Start von db.gcve.eu direkte Auswirkungen auf die IT-Compliance. Vor dem Hintergrund des Cyber Resilience Act (CRA) und des Digital Operational Resilience Act (DORA) sind strenge Meldepflichten und ein rigoroses Risikomanagement für Drittanbieter vorgeschrieben.

Eine schnelle, dezentrale Schwachstellendatenbank vereinfacht diesen Compliance-Aufwand erheblich. Die Möglichkeit, Daten aus mehreren Quellen in einer einzigen Schnittstelle abzugleichen, ermöglicht es Teams:
1. Schnellere Priorisierung: Betroffene Systeme bei neuen Bedrohungen rasch zu identifizieren.
2. Überprüfung von Herstellerangaben: Sicherheitshinweise von Anbietern mit unabhängigen Forschungsdaten abzugleichen.
3. Automatisierte Berichterstattung: Echtzeit-Daten direkt in regulatorische Compliance-Reports einzuspeisen.

Die Plattform unterstützt zudem das „Known Exploited Vulnerability“ (KEV)-Format. Dies hilft Unternehmen, Patches basierend auf aktiver Bedrohungsanalyse und nicht nur theoretischem Risiko zu priorisieren.

Positive Resonanz und Ausblick

Die Reaktionen der Cybersicherheits-Community auf den operativen Start sind positiv. Forscher betonen den offenen Charakter der Daten, der sich vorteilhaft von zunehmend geschlossenen oder kommerzialisierten Threat-Intelligence-Diensten abhebt.

Experten sehen den Erfolg von db.gcve.eu in der Akzeptanz des GNA-Modells durch große Softwareanbieter und der weiteren Ausweitung der Datenquellen. Die Roadmap des GCVE-Initiativs sieht eine verbesserte, automatisierte Korrelation von Sicherheitshinweisen über verschiedene Ökosysteme hinweg vor – von Open-Source-Bibliotheken bis zu proprietärer Unternehmenssoftware.

PS: Sie wollen sicherstellen, dass Ihre Compliance‑Teams CRA/DORA‑Anforderungen dauerhaft erfüllen und gleichzeitig die Vorteile neuer Quellen wie GCVE nutzen? Das Gratis‑E‑Book liefert konkrete Schritte zur Integration offener APIs, Vorlagen für automatisierte Reporting‑Pipelines und einfache Awareness‑Checks, mit denen Sie Ihre Patch‑Priorisierung sofort verbessern können — ganz ohne große Investitionen. Gratis E‑Book “Cyber Security Awareness Trends” herunterladen