{"id":10664,"date":"2026-07-03T13:28:04","date_gmt":"2026-07-03T11:28:04","guid":{"rendered":"https:\/\/erminas.com\/?p=10664"},"modified":"2026-07-03T13:28:31","modified_gmt":"2026-07-03T11:28:31","slug":"cvd-so-gehen-sie-professionell-mit-sicherheitsluecken-um","status":"publish","type":"post","link":"https:\/\/erminas.com\/de\/blog\/cvd-so-gehen-sie-professionell-mit-sicherheitsluecken-um\/","title":{"rendered":"CVD: So gehen Sie professionell mit Sicherheitsl\u00fccken um"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"10664\" class=\"elementor elementor-10664\" data-elementor-post-type=\"post\">\n\t\t\t\t<div class=\"elementor-element elementor-element-3998f27 e-flex e-con-boxed e-con e-parent\" data-id=\"3998f27\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-62ab317 elementor-widget elementor-widget-text-editor\" data-id=\"62ab317\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"1206\" data-local-id=\"55874563a022\">Sicherheitsl\u00fccken lassen sich nie vollst\u00e4ndig vermeiden. Das gilt f\u00fcr Webanwendungen ebenso wie f\u00fcr vernetzte Ger\u00e4te, APIs, Cloud-Dienste, IoT-Plattformen oder Gateways. Entscheidend ist deshalb nicht nur, wie sicher Systeme entwickelt werden, sondern auch, wie ein Unternehmen reagiert, wenn eine Schwachstelle entdeckt wird. Genau hier setzt ein professioneller <strong data-renderer-mark=\"true\">CVD-Prozess<\/strong> an.<\/p><p data-renderer-start-pos=\"1587\" data-local-id=\"246ef75deae6\">Unter Coordinated-Vulnerability-Disclosure (CVD) versteht man den systematischen und koordinierten Umgang mit gemeldeten Sicherheitsl\u00fccken. F\u00fcr ein Unternehmen hei\u00dft das konkret, einen transparenten Kanal bereitzustellen, \u00fcber den externe Entdecker Schwachstellen melden k\u00f6nnen. Intern folgen daraufhin vordefinierte Prozesse, um diese Meldungen zu pr\u00fcfen, zu priorisieren, zu beheben und entsprechend dar\u00fcber zu kommunizieren.<\/p><p data-renderer-start-pos=\"2016\" data-local-id=\"5c77e4352af7\">Gerade in der IoT-Sicherheit spielt CVD eine tragende Rolle. Da Schwachstellen hier meist nicht auf eine einzelne Anwendung beschr\u00e4nkt sind, betreffen sie oft komplexe \u00d6kosysteme: Ger\u00e4te im Einsatz, Schnittstellen, Backend-Systeme, Portale sowie Integrationen von Drittanbietern. Ein verl\u00e4sslicher, strukturierter Umgang mit solchen L\u00fccken ist deshalb das Fundament einer jeden modernen Sicherheitsorganisation.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-17c48ff elementor-widget elementor-widget-heading\" data-id=\"17c48ff\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Was ein CVD Prozess leistet\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-364b255 elementor-widget elementor-widget-text-editor\" data-id=\"364b255\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"2458\" data-local-id=\"e666b9c3f97a\">Ein <strong data-renderer-mark=\"true\">CVD-Prozess<\/strong> sorgt daf\u00fcr, dass eine gemeldete Schwachstelle nicht irgendwo im Unternehmen versandet, sondern strukturiert bearbeitet wird. Im Idealfall meldet eine entdeckende Person das Problem vertraulich an das betroffene Unternehmen, \u00fcber einen transparenten, aber sicheren Kanal. Dort wird die Meldung gepr\u00fcft, technisch eingeordnet und priorisiert. Danach folgen Bewertung, Behebung und \u2014 falls sinnvoll \u2014 eine koordinierte Ver\u00f6ffentlichung.<\/p><p data-local-id=\"9d15b9023fb3\" data-prosemirror-content-type=\"node\" data-prosemirror-node-name=\"paragraph\" data-prosemirror-node-block=\"true\" data-pm-slice=\"1 1 []\">Eine Vulnerability Disclosure Policy ist keine interne Prozessbeschreibung, sondern eine \u00f6ffentlich kommunizierte Richtlinie. Sie legt fest, unter welchen Rahmenbedingungen externe Personen Sicherheitsl\u00fccken melden k\u00f6nnen: \u00fcber welchen Kontakt, mit welchen Informationen, innerhalb welchen Scopes, unter welchen Verhaltensregeln und mit welcher grunds\u00e4tzlichen R\u00fcckmeldung sie rechnen k\u00f6nnen.<\/p><p data-local-id=\"ec63097a07d3\" data-prosemirror-content-type=\"node\" data-prosemirror-node-name=\"paragraph\" data-prosemirror-node-block=\"true\">Der CVD-Prozess beginnt dort, wo eine Meldung eingeht. Er umfasst die internen Abl\u00e4ufe zur Annahme, Pr\u00fcfung, Priorisierung, Behebung, Nachverfolgung und gegebenenfalls koordinierten Ver\u00f6ffentlichung einer Schwachstelle.<\/p><p data-renderer-start-pos=\"3196\" data-local-id=\"b17566f75398\">Wer sich an etablierten Standards orientieren m\u00f6chte, findet in <a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 29147<\/strong><\/a> und <a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 30111<\/strong><\/a> einen bew\u00e4hrten Rahmen. <a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 29147<\/strong><\/a> beschreibt, wie Schwachstellenmeldungen von au\u00dfen angenommen und kommuniziert werden sollten. <a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 30111<\/strong><\/a> regelt die interne Seite \u2014 also Bewertung, Priorisierung, Behebung und Nachverfolgung. F\u00fcr den deutschen Markt bietet das <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/CVD\/CVD-Leitlinie.pdf?__blob=publicationFile&amp;v=4\"><strong data-renderer-mark=\"true\">BSI<\/strong> <\/a>zus\u00e4tzlich praxisnahe Orientierung zum professionellen <strong data-renderer-mark=\"true\">Schwachstellenmanagement<\/strong>.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-bd80d8a elementor-widget elementor-widget-heading\" data-id=\"bd80d8a\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Warum Unternehmen einen klaren Prozess brauchen\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-5a466a2 elementor-widget elementor-widget-text-editor\" data-id=\"5a466a2\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"3695\" data-local-id=\"6b00456a833e\">Viele Organisationen investieren bereits in technische Schutzma\u00dfnahmen wie H\u00e4rtung, Monitoring, Zugriffskontrollen, Segmentierung oder Penetrationstests. Das ist sinnvoll \u2014 beantwortet aber noch nicht die organisatorische Frage: Was passiert konkret, wenn Dritte <strong data-renderer-mark=\"true\">Sicherheitsl\u00fccken melden<\/strong>?<\/p><p data-renderer-start-pos=\"3985\" data-local-id=\"c274765e1f99\">Genau hier entstehen in der Praxis h\u00e4ufig Probleme. Eine Meldung landet im allgemeinen Support, wird als Standard-Ticket behandelt oder erreicht nie die richtigen Ansprechpersonen. Die meldende Person erh\u00e4lt keine R\u00fcckmeldung. Intern ist unklar, wer zust\u00e4ndig ist. Und wertvolle Zeit geht verloren.<\/p><p data-renderer-start-pos=\"4285\" data-local-id=\"0248977da661\">Ein funktionierender <strong data-renderer-mark=\"true\">CVD-Prozess<\/strong> verhindert genau das. Er stellt sicher, dass Hinweise an der richtigen Stelle ankommen, fachlich bewertet und strukturiert bearbeitet werden. Unternehmen, die <strong data-renderer-mark=\"true\">Sicherheitsl\u00fccken professionell behandeln<\/strong>, reduzieren nicht nur Risiken \u2014 sie st\u00e4rken auch Vertrauen bei Kunden, Partnern und in der Security-Community.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-2ef070c elementor-widget elementor-widget-heading\" data-id=\"2ef070c\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Warum der CVD Prozess im IoT-Bereich besonders wichtig ist<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-e240315 elementor-widget elementor-widget-text-editor\" data-id=\"e240315\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p class=\"isSelectedEnd\">Gerade in der IoT-Sicherheit sind Schwachstellen oft besonders kritisch. Ein Problem bleibt selten auf eine einzelne Komponente begrenzt. Wenn beispielsweise ein Ger\u00e4tezugang unzureichend abgesichert ist, eine API Schw\u00e4chen aufweist oder die Update-Funktion angreifbar ist, kann das Auswirkungen auf die gesamte Systemarchitektur haben.<\/p><p class=\"isSelectedEnd\">Hinzu kommt, dass viele IoT-L\u00f6sungen \u00fcber Jahre hinweg in produktiven Betriebsumgebungen laufen. Eine Schwachstelle ist dann nicht nur ein IT-Thema, sondern kann Verf\u00fcgbarkeit, Datensicherheit, Betriebsabl\u00e4ufe oder im Extremfall physische Prozesse betreffen.<\/p><p class=\"isSelectedEnd\">Der Standard<a href=\"https:\/\/www.etsi.org\/deliver\/etsi_en\/303600_303699\/303645\/\"> ETSI EN 303 645<\/a> adressiert genau diesen Bereich. Er sieht f\u00fcr Hersteller vernetzter Ger\u00e4te eine Vulnerability Disclosure Policy vor. Damit ist keine interne Prozessbeschreibung gemeint, sondern eine \u00f6ffentlich kommunizierte Richtlinie, die beschreibt, wie Sicherheitsl\u00fccken gemeldet werden k\u00f6nnen, welche Informationen daf\u00fcr hilfreich sind und unter welchen Rahmenbedingungen eine Meldung bearbeitet wird.<\/p><p class=\"isSelectedEnd\">Dazu kommt der wachsende regulatorische Druck durch den Cyber Resilience Act. F\u00fcr Hersteller von Produkten mit digitalen Elementen wird der Umgang mit Schwachstellen k\u00fcnftig deutlich verbindlicher.<a href=\"https:\/\/cyber-resilience-act.de\/anhaenge\/anhang-ii\/\"> Annex I, Part II<\/a> des CRA adressiert Anforderungen an das Vulnerability Handling w\u00e4hrend des Supportzeitraums. Dazu geh\u00f6rt unter anderem, Schwachstellen zu identifizieren, zu dokumentieren, zu beheben und einen Rahmen f\u00fcr Coordinated Vulnerability Disclosure vorzusehen.<\/p><p>F\u00fcr IoT-Unternehmen ist ein professioneller Umgang mit Schwachstellen damit l\u00e4ngst keine rein freiwillige Best Practice mehr. Eine klare Vulnerability Disclosure Policy, definierte interne Zust\u00e4ndigkeiten und ein belastbarer CVD-Prozess werden zu wichtigen Bausteinen regulatorischer und operativer Sicherheit.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-6de20b3 elementor-widget elementor-widget-heading\" data-id=\"6de20b3\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Wie ein Schwachstellen melden Prozess in der Praxis aussieht\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-f7b5825 elementor-widget elementor-widget-text-editor\" data-id=\"f7b5825\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"6138\" data-local-id=\"e2d3c87c234f\">Am Anfang steht ein klarer Meldeweg. Wer eine Schwachstelle entdeckt, muss ohne Umwege erkennen k\u00f6nnen, wo und wie sie gemeldet werden kann.<\/p><p data-renderer-start-pos=\"6280\" data-local-id=\"85ffddc7afd8\">Technisch bew\u00e4hrt hat sich hier die <strong data-renderer-mark=\"true\">security.txt<\/strong> \u2014 eine standardisierte Datei, die Unternehmen unter \/.well-known\/security.txt\u00a0bereitstellen. <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc9116.html\"><strong data-renderer-mark=\"true\">RFC 9116<\/strong><\/a> definiert diesen Standard und legt fest, welche Felder eine security.txt enthalten sollte: unter anderem einen Sicherheitskontakt, eine Verkn\u00fcpfung zur Disclosure Policy und optionale Angaben zu PGP-Schl\u00fcsseln und Ablaufdatum. Wer <strong data-renderer-mark=\"true\">security.txt einrichten<\/strong> m\u00f6chte, findet in RFC 9116 die ma\u00dfgebliche technische Grundlage.<\/p><p data-renderer-start-pos=\"6752\" data-local-id=\"6b95e647f606\">Beispiel einer security.txt:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-2077af9 elementor-widget elementor-widget-image\" data-id=\"2077af9\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<img fetchpriority=\"high\" decoding=\"async\" width=\"711\" height=\"1024\" src=\"https:\/\/erminas.com\/wp-content\/uploads\/2026\/06\/93f24fa3-608c-41e9-be4c-6067f987d397-711x1024.png\" class=\"attachment-large size-large wp-image-10736\" alt=\"security.txt Beispiel\" srcset=\"https:\/\/erminas.com\/wp-content\/uploads\/2026\/06\/93f24fa3-608c-41e9-be4c-6067f987d397-711x1024.png 711w, https:\/\/erminas.com\/wp-content\/uploads\/2026\/06\/93f24fa3-608c-41e9-be4c-6067f987d397-208x300.png 208w, https:\/\/erminas.com\/wp-content\/uploads\/2026\/06\/93f24fa3-608c-41e9-be4c-6067f987d397.png 769w\" sizes=\"(max-width: 711px) 100vw, 711px\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-4124c1d elementor-widget elementor-widget-text-editor\" data-id=\"4124c1d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"6786\" data-local-id=\"7e6d7b9eabea\">Wenn eine Meldung eingeht, z\u00e4hlt die Reaktionsgeschwindigkeit. Eine Eingangsbest\u00e4tigung sollte innerhalb von 24 bis 48 Stunden erfolgen. Daf\u00fcr braucht es noch keine fertige Bewertung \u2014 eine kurze Best\u00e4tigung, eine Ansprechperson und ein grober Hinweis auf den weiteren Ablauf reichen in vielen F\u00e4llen aus.<\/p><p data-renderer-start-pos=\"7093\" data-local-id=\"a22143432bd8\">Danach beginnt die eigentliche Pr\u00fcfung: Ist die Meldung plausibel? Welche Systeme oder Produkte sind betroffen? Wie hoch ist das Risiko? F\u00fcr die Risikobewertung hat sich das <a href=\"https:\/\/www.first.org\/cvss\/\"><strong data-renderer-mark=\"true\">Common-Vulnerability-Scoring-System (CVSS)<\/strong><\/a> etabliert, das von <strong data-renderer-mark=\"true\">FIRST<\/strong> gepflegt wird und eine standardisierte Einsch\u00e4tzung des Schweregrads erm\u00f6glicht.<\/p><p data-renderer-start-pos=\"7417\" data-local-id=\"bbc79947208a\">Dann folgen Priorisierung und Behebung. Nicht jede Schwachstelle ist automatisch kritisch, aber jede Meldung sollte nachvollziehbar bewertet werden. Als grober Richtwert gelten h\u00e4ufig bis zu 90 Tage f\u00fcr die Behebung \u2014 bei kritischen Schwachstellen deutlich weniger.<\/p><p data-renderer-start-pos=\"7684\" data-local-id=\"b61782bf5d86\">Ist eine Schwachstelle behoben, kann eine koordinierte Ver\u00f6ffentlichung sinnvoll sein. Daf\u00fcr steht unter anderem das <a href=\"https:\/\/www.cve.org\/\"><strong data-renderer-mark=\"true\">CVE-Programm<\/strong><\/a> zur Verf\u00fcgung. Ein CVE-Eintrag schafft eine eindeutige, \u00f6ffentlich referenzierbare Kennung f\u00fcr eine Schwachstelle und erleichtert die Kommunikation gegen\u00fcber Kunden, Partnern und der Security-Community.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-e55d0f2 elementor-widget elementor-widget-heading\" data-id=\"e55d0f2\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Was zu einer guten Vulnerability Disclosure Policy geh\u00f6rt\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-9c69d44 elementor-widget elementor-widget-text-editor\" data-id=\"9c69d44\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"8077\" data-local-id=\"7d76ad6fecde\">Ein wirksamer <strong data-renderer-mark=\"true\">CVD-Prozess<\/strong> braucht nicht nur interne Abl\u00e4ufe, sondern auch eine klare externe Kommunikation. Dazu geh\u00f6rt eine <strong data-renderer-mark=\"true\">Vulnerability-Disclosure-Policy<\/strong>. Wer eine <strong data-renderer-mark=\"true\">Vulnerability-Disclosure-Policy erstellen<\/strong> will, sollte darin mindestens festhalten:<\/p><ul class=\"ak-ul\" data-local-id=\"7618ca71-e4e1-47a1-b1e5-40507dc6efea\" data-indent-level=\"1\"><li><p data-renderer-start-pos=\"8331\" data-local-id=\"013e19bb59d6\">wie externe Personen <strong data-renderer-mark=\"true\">Sicherheitsl\u00fccken melden<\/strong> k\u00f6nnen,<\/p><\/li><li><p data-renderer-start-pos=\"8388\" data-local-id=\"de7079ae88a6\">welche Informationen in einer Meldung hilfreich sind,<\/p><\/li><li><p data-renderer-start-pos=\"8445\" data-local-id=\"020c5b95ddfb\">wie das Unternehmen mit eingehenden Meldungen umgeht,<\/p><\/li><li><p data-renderer-start-pos=\"8502\" data-local-id=\"350a3847d958\">welche Reaktionszeiten angestrebt werden,<\/p><\/li><li><p data-renderer-start-pos=\"8547\" data-local-id=\"a05408657b5e\">und unter welchen Bedingungen eine koordinierte Ver\u00f6ffentlichung erfolgt.<\/p><\/li><\/ul><p data-renderer-start-pos=\"8624\" data-local-id=\"280470655c33\"><a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 29147<\/strong><\/a> gibt hier konkrete Hinweise, wie eine solche Policy strukturiert sein sollte und welche Kommunikationsprozesse zwischen Unternehmen und meldenden Personen sinnvoll sind. Eine gute <strong data-renderer-mark=\"true\">Vulnerability-Disclosure-Policy<\/strong> schafft Verl\u00e4sslichkeit f\u00fcr beide Seiten.<\/p><p data-renderer-start-pos=\"8893\" data-local-id=\"c002812bc305\">Technisch erg\u00e4nzt wird das durch eine erreichbare <strong data-renderer-mark=\"true\">security.txt<\/strong> gem\u00e4\u00df <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc9116.html\"><strong data-renderer-mark=\"true\">RFC 9116<\/strong><\/a> \u2014 idealerweise mit einem dedizierten Sicherheitskontakt wie <code class=\"_ca0qyh40 _u5f3m5ip _n3tdyh40 _19bvm5ip _2rkofajl _11c819w5 _1reo1wug _18m91wug _1dqoglyw _1e0c1nu9 _bfhk187e _16d9qvcn _syazi7uo _vwz41kw7 _1i4q1hna _o5721jtm\" data-renderer-mark=\"true\">security@unternehmen.de<\/code> und einem PGP-Schl\u00fcssel f\u00fcr vertrauliche Kommunikation.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-8fbf5bc elementor-widget elementor-widget-heading\" data-id=\"8fbf5bc\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Warum Safe Harbor dazugeh\u00f6rt\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-68688af elementor-widget elementor-widget-text-editor\" data-id=\"68688af\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"9142\" data-local-id=\"c0fcdfc7497f\">Ein Punkt, den viele Unternehmen untersch\u00e4tzen: Ein <strong data-renderer-mark=\"true\">CVD Prozess<\/strong> funktioniert nur dann gut, wenn externe Personen \u00fcberhaupt bereit sind, Schwachstellen verantwortungsvoll zu melden.<\/p><p data-renderer-start-pos=\"9324\" data-local-id=\"9e66637868a0\">Genau daran hapert es h\u00e4ufig. Sicherheitsforschende sind oft unsicher, ob ihnen eine Meldung sp\u00e4ter rechtlich ausgelegt werden k\u00f6nnte. Ohne eine klare Zusicherung des Unternehmens bleibt ein Risiko \u2014 das viele dazu bringt, eine Meldung zu unterlassen oder auf eine \u00f6ffentliche Offenlegung auszuweichen.<\/p><p data-renderer-start-pos=\"9628\" data-local-id=\"1f7c11c7ac4f\">Deshalb ist eine <strong data-renderer-mark=\"true\">Safe Harbor Schwachstellenmeldung<\/strong>-Klausel in der Disclosure Policy sinnvoll. Sie stellt klar, dass das Unternehmen keine rechtlichen Schritte gegen Personen einleitet, die in gutem Glauben handeln und sich an die festgelegten Regeln halten. Dazu geh\u00f6rt typischerweise, dass Schwachstellen vertraulich gemeldet, keine Daten missbraucht und keine destruktiven Tests durchgef\u00fchrt werden.<\/p><p data-renderer-start-pos=\"10031\" data-local-id=\"11c1c8520cd2\">Eine solche Klausel ist kein Freifahrtschein \u2014 aber sie senkt die Hemmschwelle f\u00fcr verantwortungsvolle Meldungen deutlich und macht das Melden von Schwachstellen f\u00fcr externe Personen verl\u00e4sslicher und sicherer.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-ebbb6f5 elementor-widget elementor-widget-heading\" data-id=\"ebbb6f5\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Bug Bounty vs CVD: Was ist der Unterschied?\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-0121ac9 elementor-widget elementor-widget-text-editor\" data-id=\"0121ac9\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p class=\"isSelectedEnd\">Wer sich mit dem Thema besch\u00e4ftigt, begegnet h\u00e4ufig auch dem Begriff Bug Bounty. Dabei handelt es sich jedoch nicht um ein Gegenmodell zu Coordinated Vulnerability Disclosure, sondern in der Regel um eine m\u00f6gliche Erweiterung davon.<\/p><p class=\"isSelectedEnd\">Ein CVD-Prozess beschreibt den strukturierten organisatorischen Umgang mit gemeldeten Sicherheitsl\u00fccken. Dazu geh\u00f6ren die Annahme einer Meldung, die technische Pr\u00fcfung, die Risikobewertung, die Priorisierung, die Behebung und gegebenenfalls die koordinierte Ver\u00f6ffentlichung. Eine finanzielle Verg\u00fctung ist daf\u00fcr nicht zwingend vorgesehen.<\/p><p class=\"isSelectedEnd\">Ein Bug-Bounty-Programm setzt meist auf solchen CVD-Abl\u00e4ufen auf. Auch dort werden Schwachstellen koordiniert gemeldet, bewertet und behoben. Zus\u00e4tzlich kommen jedoch weitere Elemente hinzu: definierte Scopes, Teilnahmebedingungen, Plattformprozesse und finanzielle Belohnungen f\u00fcr g\u00fcltige Schwachstellenmeldungen.<\/p><p>F\u00fcr viele Unternehmen ist es deshalb sinnvoll, zun\u00e4chst eine verst\u00e4ndliche Vulnerability Disclosure Policy und belastbare interne CVD-Abl\u00e4ufe zu etablieren. Erst danach stellt sich die Frage, ob ein Bug-Bounty-Programm organisatorisch, technisch und finanziell sinnvoll ist. Gerade f\u00fcr KMU kann ein gut umgesetzter CVD-Prozess zun\u00e4chst ausreichend sein, ohne direkt ein eigenes Bug-Bounty-Programm aufzusetzen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-b81ff7d elementor-widget elementor-widget-heading\" data-id=\"b81ff7d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Ist ein CVD Prozess nur etwas f\u00fcr gro\u00dfe Unternehmen?\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-ecc0d5e elementor-widget elementor-widget-text-editor\" data-id=\"ecc0d5e\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"11331\" data-local-id=\"bf7e71f63222\">Nein. F\u00fcr KMU ist ein CVD-Prozess sogar besonders wertvoll. Da hier <strong data-renderer-mark=\"true\">oft keine Vertretungskapazit\u00e4ten <\/strong>f\u00fcr Spezialisten vorhanden sind, hilft ein klarer Leitfaden dabei, Sicherheitsl\u00fccken auch unter personellem Zeitdruck strukturiert abzuarbeiten.<\/p><p data-renderer-start-pos=\"11578\" data-local-id=\"f72b6c98daa8\">Auch kleinere Anbieter sind heute Teil komplexer digitaler Wertsch\u00f6pfungsketten. Sie betreiben Kundenportale, Cloud-Dienste, Ger\u00e4temanagement oder Schnittstellen zu Partnern. Entsprechend kann auch dort eine Schwachstelle weitreichende Auswirkungen haben. Wer fr\u00fchzeitig einen <strong data-renderer-mark=\"true\">CVD-Prozess im Unternehmen aufbauen<\/strong> will, st\u00e4rkt damit die eigene Reaktionsf\u00e4higkeit, Professionalit\u00e4t und Zukunftsf\u00e4higkeit.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-565c46d elementor-widget elementor-widget-heading\" data-id=\"565c46d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">CVD als Teil moderner Sicherheitsorganisation\n<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-634dc87 elementor-widget elementor-widget-text-editor\" data-id=\"634dc87\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"12029\" data-local-id=\"b075a2f0a6d0\">Ein <strong data-renderer-mark=\"true\">CVD Prozess<\/strong> ist mehr als eine Richtlinie auf der Website. Er zeigt, wie professionell ein Unternehmen mit Schwachstellen umgeht. Niemand erwartet absolute Fehlerfreiheit. Entscheidend ist, ob Hinweise strukturiert aufgenommen, bewertet, priorisiert und gel\u00f6st werden.<\/p><p data-renderer-start-pos=\"12302\" data-local-id=\"03454f0ff6ff\">Das <strong data-renderer-mark=\"true\">BSI<\/strong> empfiehlt im Rahmen seines <strong data-renderer-mark=\"true\">Schwachstellenmanagement<\/strong>-Ansatzes genau das: klare Prozesse f\u00fcr den Empfang, die Bewertung und die Behebung von Schwachstellenmeldungen. Kombiniert mit Standards wie <a href=\"https:\/\/www.cyber-regulierung.de\/normen-standards\/iso-iec-29147-und-30111\/\"><strong data-renderer-mark=\"true\">ISO\/IEC 29147<\/strong>, <strong data-renderer-mark=\"true\">ISO\/IEC 30111<\/strong><\/a>, <a href=\"https:\/\/www.etsi.org\/deliver\/etsi_en\/303600_303699\/303645\/\"><strong data-renderer-mark=\"true\">ETSI EN 303 645<\/strong><\/a> und technischen Grundlagen wie <a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc9116.html\"><strong data-renderer-mark=\"true\">RFC 9116<\/strong><\/a> ergibt sich ein solider Rahmen, den Unternehmen jeder Gr\u00f6\u00dfe umsetzen k\u00f6nnen.<\/p><p data-renderer-start-pos=\"12667\" data-local-id=\"14389317a4f3\">Wer <strong data-renderer-mark=\"true\">Sicherheitsl\u00fccken professionell behandeln<\/strong> m\u00f6chte, braucht deshalb:<\/p><ul class=\"ak-ul\" data-local-id=\"c8e009bd-3df6-42ad-9294-9d57f7c65a32\" data-indent-level=\"1\"><li><p data-renderer-start-pos=\"12741\" data-local-id=\"2a3fecd09729\">einen klar sichtbaren Sicherheitskontakt,<\/p><\/li><li><p data-renderer-start-pos=\"12786\" data-local-id=\"64da0ce8b665\">eine verst\u00e4ndliche <strong data-renderer-mark=\"true\">Vulnerability-Disclosure-Policy<\/strong>,<\/p><\/li><li><p data-renderer-start-pos=\"12841\" data-local-id=\"0d43bb5d6680\">eine \u00f6ffentlich erreichbare <strong data-renderer-mark=\"true\">security.txt<\/strong> gem\u00e4\u00df RFC 9116,<\/p><\/li><li><p data-renderer-start-pos=\"12901\" data-local-id=\"fb9c621290d4\">definierte interne Zust\u00e4ndigkeiten,<\/p><\/li><li><p data-renderer-start-pos=\"12940\" data-local-id=\"ad1d5b8c2fff\">eine nachvollziehbare Risikobewertung auf Basis von <strong data-renderer-mark=\"true\">CVSS<\/strong>,<\/p><\/li><li><p data-renderer-start-pos=\"13001\" data-local-id=\"0a55a4156a75\">und eine klare Linie zur koordinierten Ver\u00f6ffentlichung \u00fcber das <strong data-renderer-mark=\"true\">CVE-Programm<\/strong>.<\/p><\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-c16eaf7 elementor-widget elementor-widget-heading\" data-id=\"c16eaf7\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h2 class=\"elementor-heading-title elementor-size-default\">Fazit<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-0237107 elementor-widget elementor-widget-text-editor\" data-id=\"0237107\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-renderer-start-pos=\"13090\" data-local-id=\"f4419518d311\">Ein professioneller <strong data-renderer-mark=\"true\">CVD Prozess<\/strong> hilft Unternehmen dabei, <strong data-renderer-mark=\"true\">Sicherheitsl\u00fccken<\/strong> strukturiert zu melden, zu bewerten, zu beheben und kontrolliert zu kommunizieren. Statt auf Zufall, Improvisation oder informelle Wege angewiesen zu sein, schafft ein <strong data-renderer-mark=\"true\">Coordinated-Vulnerability-Disclosure-Prozess<\/strong> einen nachvollziehbaren Rahmen f\u00fcr den sicheren <strong data-renderer-mark=\"true\">Umgang mit Sicherheitsl\u00fccken<\/strong>.<\/p><p data-renderer-start-pos=\"13457\" data-local-id=\"902643dd2e2a\">Besonders im Bereich <strong data-renderer-mark=\"true\">IoT Sicherheit<\/strong> ist das heute ein wesentlicher Bestandteil professioneller Sicherheitsorganisation \u2014 nicht nur wegen der technischen Komplexit\u00e4t, sondern auch wegen wachsender regulatorischer Anforderungen wie <a href=\"https:\/\/www.etsi.org\/deliver\/etsi_en\/303600_303699\/303645\/\"><strong data-renderer-mark=\"true\">ETSI EN 303 645<\/strong><\/a> und dem <strong data-renderer-mark=\"true\">Cyber Resilience Act<\/strong>.<\/p><p data-renderer-start-pos=\"13734\" data-local-id=\"a345ce25ecb0\">Wer einen <strong data-renderer-mark=\"true\">CVD-Prozess im Unternehmen aufbauen<\/strong> und eine passende <strong data-renderer-mark=\"true\">Vulnerability-Disclosure-Policy erstellen<\/strong> will, verbessert damit nicht nur die eigene Reaktionsf\u00e4higkeit. Er st\u00e4rkt auch Compliance, Vertrauen und die langfristige Zukunftsf\u00e4higkeit seiner Sicherheitsorganisation.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Sicherheitsl\u00fccken lassen sich nie vollst\u00e4ndig vermeiden. Das gilt f\u00fcr Webanwendungen ebenso wie f\u00fcr vernetzte Ger\u00e4te, APIs, Cloud-Dienste, IoT-Plattformen oder Gateways. Entscheidend ist deshalb nicht nur, wie sicher Systeme entwickelt werden, sondern auch, wie ein Unternehmen reagiert, wenn eine Schwachstelle entdeckt wird. Genau hier setzt ein professioneller CVD-Prozess an. Unter Coordinated-Vulnerability-Disclosure (CVD) versteht man den systematischen [&hellip;]<\/p>\n","protected":false},"author":8,"featured_media":10728,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"CVD: So gehen Sie professionell mit Sicherheitsl\u00fccken um","_seopress_titles_desc":"Coordinated Vulnerability Disclosure: Wie Unternehmen einen CVD-Prozess aufbauen, bearbeiten und die Anforderungen erf\u00fcllen.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"148","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","_seopress_news_disabled":"","_seopress_video_disabled":"","_seopress_video":[],"_seopress_pro_schemas_manual":[],"_seopress_pro_rich_snippets_disable_all":"","_seopress_pro_rich_snippets_disable":[],"_seopress_pro_schemas":[],"iawp_total_views":1,"footnotes":""},"categories":[1,221],"tags":[240,233,223,229,236,237,228,238,234,230,224,227,235,226,239,232,225,231],"class_list":["post-10664","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-erminas","category-it-sicherheit","tag-bug-bounty-vs-cvd-unterschied","tag-coordinated-vulnerability-disclosure-iot","tag-cvd-prozess","tag-cvd-prozess-unternehmen-aufbauen","tag-cyber-resilience-act-schwachstellen","tag-etsi-en-303-645-vulnerability-disclosure","tag-iot-sicherheit","tag-iso-29147-iso-30111-unternehmen","tag-safe-harbor-schwachstellenmeldung","tag-schwachstellen-melden-prozess","tag-schwachstellenmanagement","tag-security-txt","tag-security-txt-einrichten","tag-sicherheitsluecken-melden","tag-sicherheitsluecken-professionell-behandeln","tag-umgang-mit-sicherheitsluecken-unternehmen","tag-vulnerability-disclosure-policy","tag-vulnerability-disclosure-policy-erstellen"],"_links":{"self":[{"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/posts\/10664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/comments?post=10664"}],"version-history":[{"count":31,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/posts\/10664\/revisions"}],"predecessor-version":[{"id":10775,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/posts\/10664\/revisions\/10775"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/media\/10728"}],"wp:attachment":[{"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/media?parent=10664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/categories?post=10664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/erminas.com\/de\/wp-json\/wp\/v2\/tags?post=10664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}