Lexikon · Technik & Security

Koordinierte Schwachstellen-Offenlegung (CVD)

Coordinated Vulnerability Disclosure

Die koordinierte Schwachstellen-Offenlegung (CVD) ist ein geregelter Prozess, über den Sicherheitsforscher gefundene Schwachstellen vertraulich an den Hersteller melden, damit dieser sie vor einer Veröffentlichung beheben kann.

Ausführliche Erklärung

CVD schafft einen verlässlichen Weg zwischen Findern und Herstellern: Eine veröffentlichte Kontaktstelle nimmt Meldungen entgegen, der Hersteller behebt die Schwachstelle und stellt ein Update bereit, erst danach erfolgt die abgestimmte Offenlegung. So bleibt das Zeitfenster für Angreifer klein.

Der Cyber Resilience Act verpflichtet Hersteller, eine solche Richtlinie zur koordinierten Schwachstellen-Offenlegung einzurichten und eine Kontaktstelle zu benennen. Das ergänzt die Meldepflicht für aktiv ausgenutzte Schwachstellen an ENISA und CSIRT.

Koordinierte Schwachstellen-Offenlegung (CVD) in der Praxis umsetzen

CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.