DE/EN Kostenlos testen
CVD

Coordinated Vulnerability Disclosure

Externe Sicherheitsforscher melden Schwachstellen — ob Sie vorbereitet sind oder nicht. TrustSource CVD gibt Ihnen den strukturierten Prozess, die Werkzeuge und im Notfall die Unterstützung, die eine ordnungsgemäße Koordination verlangt.

Jetzt einfachen Weg wählen — Kontakt aufnehmen →
Coordinated Vulnerability Disclosure

Auf einen Blick

Strukturierter Eingang

Dedizierte Eingangsadresse unter YOURDOMAIN.cvd.trustsource.io — per security.txt für Sicherheitsforscher auffindbar und CRA-konform.

Vultron-Prozessmodell

Automatisierter CVD-Workflow nach dem CERT/CC-Vultron-Standard — klare Zustände, klare Verantwortlichkeiten, kein manueller Koordinationsaufwand.

Audit-Trail

Jeder Schritt im CVD-Prozess wird protokolliert — von der ersten Meldung bis zur koordinierten Veröffentlichung. Jederzeit auditfähig.

Team-Koordination

Zuweisung, Statusverfolgung und interne Kommunikation direkt in TrustSource — keine Suche in Ticketsystemen, keine Zuweisungsverluste.

Koordinierte Veröffentlichung

Embargo-Management und termingerechte Veröffentlichung von Advisories — abgestimmt mit dem Meldenden, automatisiert per CSAF.

EACG PSIRT-Backup

Kein eigenes PSIRT? Kein Problem. Das EACG-PSIRT-Team übernimmt die Koordination im Ernstfall als externe Unterstützung.

Die Herausforderung

Coordinated Vulnerability Disclosure (CVD) bezeichnet den Prozess, durch den Sicherheitsforscher gefundene Schwachstellen verantwortungsvoll an den Hersteller melden — bevor sie öffentlich bekannt werden. Der Gedanke dahinter ist einfach: dem Hersteller Zeit geben, das Problem zu beheben, bevor Angreifer davon erfahren.

In der Praxis ist CVD komplex. Eine eingehende Meldung muss bewertet, priorisiert und intern zugewiesen werden. Der Meldende erwartet Rückmeldung. Embargo-Fristen müssen eingehalten werden. Ein Advisory muss formuliert, koordiniert und zum richtigen Zeitpunkt veröffentlicht werden. Ohne einen strukturierten Prozess entstehen Kommunikationslücken, Fristen werden übersehen, und im schlimmsten Fall veröffentlicht der Meldende die Schwachstelle einseitig — ohne dass ein Patch bereit ist.

Der CRA macht CVD zur Pflicht: Hersteller von Produkten mit digitalen Elementen müssen einen zugänglichen Meldeweg für Schwachstellen bereitstellen und eingehende Meldungen nachvollziehbar koordinieren.

TrustSource CVD — die Lösung

TrustSource hat den CVD-Prozess des Carnegie Mellon CERT/CC als Grundlage für seine Automatisierungslösung genutzt. Das zugrundeliegende Modell — Vultron — beschreibt CVD als drei parallele Zustandsmaschinen: Report Management, Embargo Management und Coordinated Disclosure. TrustSource bildet diesen Prozess vollständig ab und automatisiert jeden Schritt, der automatisierbar ist.

Der TrustSource CVD-Hauptprozess — basierend auf dem Vultron-Modell des CERT/CC

Ein strukturierter CVD-Prozess bringt 3 Vorteile:

  • Handbuch und klare Verantwortlichkeiten

    Jeder im Team weiß, was wann zu tun ist. Rollen sind definiert, Eskalationswege sind festgelegt — bevor der Ernstfall eintritt, nicht währenddessen.

  • Keine Such- und Zuweisungsverluste im Ernstfall

    Eingehende Meldungen werden sofort erfasst, zugewiesen und verfolgt. Kein Abtauchen in E-Mail-Postfächern, kein manuelles Nachfassen.

  • EACG PSIRT-Team als Backup

    Wer noch kein eigenes PSIRT aufgebaut hat, kann im Ernstfall auf das EACG-PSIRT-Team zurückgreifen — erfahrene Koordinatoren, die den Prozess kennen und sofort handlungsfähig sind.

In 4 Schritten zum aktiven CVD

1
Entscheidung für TrustSource CVD

Das Produkt auswählen und den Plan aktivieren.

2
Ressourcen identifizieren & Online-Schulung

Team zusammenstellen und über die TrustSource Academy in den Prozess einarbeiten.

3
security.txt & Policy mit einem EACG-Berater definieren

Meldeweg veröffentlichen, Policy formulieren — gemeinsam mit einem EACG-Berater, der den Prozess kennt.

4
YOURDOMAIN.cvd.trustsource.io einrichten

Dedizierte CVD-Plattform aktivieren — fertig. Ab jetzt läuft der Prozess.

Bereit loszulegen?

Vereinbaren Sie jetzt einen Gesprächstermin mit unserem Team.

Verwandte Beiträge

09.06.2026

CRA-Vorbereitung: Was Software-Hersteller jetzt tun müssen

Die Pflichten des Cyber Resilience Act rücken näher. Dieser Praxisleitfaden ordnet die CRA-Anforderungen konkreten Maßnahmen zu — SBOM, SCA und Schwachstellen-Meldeprozesse.

 20.01.2025

Cyber Resilience Act veröffentlicht

Heute 20.11.24 ist der Cyber resilience Act im EU Journal veröffentlicht worden. Was ändert sich dadurch? Was gilt ab wann für wen? Dieser Artikel fasst die wesentlichen Aspekte kurz zusammen.