Compliance-Lexikon · CRA
Vulnerability Disclosure
auch: Coordinated Vulnerability Disclosure (CVD), verantwortungsvolle Offenlegung
Vulnerability Disclosure (Coordinated Vulnerability Disclosure, CVD) ist der strukturierte Prozess, durch den Sicherheitsforscher entdeckte Schwachstellen verantwortungsvoll an den Hersteller melden - mit einer vereinbarten Frist zur Behebung vor der oeffentlichen Bekanntgabe - und nach dem Cyber Resilience Act eine Pflichtanforderung an Hersteller, einen entsprechenden Meldekanal bereitzustellen.
Warum ein CVD-Prozess Pflicht und nicht Kuer ist
Ohne definierten Meldekanal melden Sicherheitsforscher entdeckte Schwachstellen entweder gar nicht, oeffentlich ohne Vorwarnung (Full Disclosure) oder an Dritte, die sie missbrauchen koennten. Der CRA macht einen strukturierten CVD-Prozess zur Pflicht: Hersteller muessen einen klaren Meldeweg bereitstellen und auf gemeldete Schwachstellen angemessen reagieren, einschliesslich der Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden.
Wo Vulnerability Disclosure gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| CRA | Art. 14 | Meldepflichten: Hersteller muessen einen Coordinated-Vulnerability-Disclosure-Prozess implementieren. |
| CRA | Art. 11 | Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden. |
| ISO 29147 | vollstaendig | Internationaler Standard fuer Vulnerability Disclosure als Implementierungsrahmen. |
| ISO 30111 | vollstaendig | Vulnerability Handling Processes: Ergaenzender Standard fuer interne Schwachstellenbearbeitung. |
| BSI CERT-Bund | CVD-Koordination | BSI koordiniert Vulnerability-Disclosure-Prozesse fuer deutsche Unternehmen. |
BAM-Objektreferenz
Haeufige Fehler
- Kein dedizierter Meldekanal (z.B. security@unternehmen.de) eingerichtet
- Keine definierten Reaktionsfristen fuer eingehende Schwachstellenmeldungen
- Sicherheitsforscher werden rechtlich bedroht statt kooperativ einbezogen
- Kein Prozess fuer die 24-Stunden-Meldung aktiv ausgenutzter Schwachstellen an ENISA
Aufbau eines CVD-Prozesses
Ein wirksamer CVD-Prozess umfasst: einen klar kommunizierten Meldekanal mit PGP-verschluesselter Kommunikationsoption, eine definierte Responsible-Disclosure-Policy mit Reaktionsfristen (typisch: Bestaetigung innerhalb 48 Stunden, Erstbewertung innerhalb 5 Tagen), einen vereinbarten Patch-Zeitraum vor oeffentlicher Bekanntgabe (typisch 90 Tage) und gegebenenfalls ein Bug-Bounty-Programm zur Incentivierung verantwortungsvoller Meldungen.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur CRA-Meldepflicht-Bereitschaft.