Lexikon · Technik & Security
Koordinierte Schwachstellen-Offenlegung (CVD)
Coordinated Vulnerability Disclosure
Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.
Ausführliche Erklärung
CVD schafft einen verlässlichen Weg zwischen Findern und Herstellern: Eine veröffentlichte Kontaktstelle nimmt Meldungen entgegen, der Hersteller behebt die Schwachstelle und stellt ein Update bereit, erst danach erfolgt die abgestimmte Offenlegung. So bleibt das Zeitfenster für Angreifer klein.
Der Cyber Resilience Act verpflichtet Hersteller, eine solche Richtlinie zur koordinierten Schwachstellen-Offenlegung einzurichten und eine Kontaktstelle zu benennen. Das ergänzt die Meldepflicht für aktiv ausgenutzte Schwachstellen an ENISA und CSIRT.
Verwandte Begriffe
Cyber Resilience Act (CRA)
Der Cyber Resilience Act (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen an Produkte mit digitalen Elementen stellt, von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung.
Schwachstellenmanagement
Schwachstellenmanagement ist der fortlaufende Prozess, technische Schwachstellen zu erkennen, hinsichtlich ihres Risikos zu bewerten und risikobasiert zu beheben, etwa durch Patches oder Mitigationen.
SBOM (Software Bill of Materials)
Eine SBOM (Software Bill of Materials) ist ein strukturiertes Verzeichnis aller Software-Bestandteile eines Produkts, einschließlich Fremd- und Open-Source-Komponenten. Sie ist Grundlage, um Schwachstellen schnell zuzuordnen.
Meldepflicht
Eine Meldepflicht verpflichtet Organisationen, bestimmte Sicherheitsvorfälle oder Datenpannen innerhalb festgelegter Fristen an Behörden und gegebenenfalls Betroffene zu melden.
Koordinierte Schwachstellen-Offenlegung (CVD) in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.
