So richten Sie 2026 ein Vulnerability Disclosure Program ein

Eine Schritt-für-Schritt-Anleitung zum Aufbau eines VDP, das Sicherheitsforscher anzieht, Ihre Nutzer schützt und Compliance-Anforderungen erfüllt. Mit Vorlagen und konkreten Beispielen.

Ernest Bursa

Ernest Bursa

Founder · · 15 Min. Lesezeit

Ein Vulnerability Disclosure Program (VDP) ist ein strukturierter Prozess, der externen Sicherheitsforschern ermöglicht, Schwachstellen in Ihrem Produkt sicher und rechtlich geschützt zu melden. Im Gegensatz zu einem Bug-Bounty-Programm, das pro gefundene Schwachstelle eine Vergütung vorsieht, schafft ein VDP einen klaren Meldekanal ohne verpflichtende finanzielle Belohnung. Jedes Unternehmen mit einem internetfähigen Produkt benötigt eines. Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat VDPs für Bundesbehörden 2020 durch die Binding Operational Directive 20-01 verpflichtend gemacht, und der Privatsektor hat seitdem rasch nachgezogen.

Warum Ihr Startup jetzt ein VDP braucht

Sicherheitsforscher werden Schwachstellen in Ihrem Produkt finden, ob Sie ein VDP haben oder nicht. Die Frage ist, was danach passiert.

Ohne einen Meldekanal hat ein Forscher, der eine SQL-Injection in Ihrem Checkout-Prozess findet, drei Möglichkeiten: eine E-Mail an Ihre allgemeine Support-Adresse schicken und hoffen, dass jemand Technisches sie liest, das Problem öffentlich in sozialen Medien posten oder es verkaufen. Keine dieser Optionen ist gut für Sie. Schwachstellen in Webanwendungen sind nach wie vor weit verbreitet, wie die OWASP Top Ten zeigen, die die kritischsten Sicherheitsrisiken für Organisationen dokumentieren. Eine einzige nicht gemeldete Schwachstelle kann zu einem Datenleck werden, das Ihr Unternehmen seine Reputation und seine Kunden kostet.

Die wirtschaftliche Seite ist eindeutig. Laut dem 2024 Cost of a Data Breach Report von IBM beliefen sich die durchschnittlichen Kosten eines Datenlecks weltweit auf 4,88 Millionen US-Dollar. Für Startups ist ein Vorfall in dieser Größenordnung oft existenzbedrohend. Die Einrichtung eines VDP kostet hingegen praktisch nichts. Sie benötigen ein Richtliniendokument, einen sicheren Meldekanal und jemanden zur Erstbewertung der Berichte. Vergleichen Sie das mit der Beauftragung einer Penetrationstest-Firma, die laut SANS Institute zwischen 15.000 und 50.000 US-Dollar pro Auftrag kostet.

Auch der regulatorische Druck nimmt zu. Die NIS2-Richtlinie der EU, seit Oktober 2024 in Kraft, verpflichtet Organisationen in kritischen Sektoren zur Implementierung einer koordinierten Schwachstellenmeldung. Die SEC-Cybersecurity-Offenlegungsregeln der USA aus 2023 verlangen von börsennotierten Unternehmen, wesentliche Vorfälle innerhalb von vier Geschäftstagen zu melden. Ein VDP ist die Mindestinfrastruktur, um diesen Verpflichtungen nachzukommen.

VDP vs. Bug Bounty: Was kommt zuerst?

Ein VDP ist das Fundament. Ein Bug-Bounty-Programm fügt eine finanzielle Anreizschicht darüber hinzu. Mit einem Bug Bounty zu beginnen, bevor Sie den Triage-Prozess zur Bearbeitung von Meldungen aufgebaut haben, ist ein häufiger und teurer Fehler.

Merkmal Vulnerability Disclosure Program Bug-Bounty-Programm
Kosten Kostenlos (keine Auszahlungen erforderlich) 500-50.000+ USD pro gültigem Bericht
Geltungsbereich Alle Schwachstellen Definierter Umfang mit Ausschlüssen
Forscher Jeder Zieht erfahrene Sicherheitsforscher an
Rechtlicher Schutz Unverzichtbar Unverzichtbar
Triage-Aufwand Moderat Hoch (mehr Volumen)
Geeignet für Jedes Unternehmen, ab dem ersten Tag Unternehmen mit ausgereiften Security-Teams

Laut dem 2024 Hacker-Powered Security Report von HackerOne haben 77 % der Organisationen mit Bug-Bounty-Programmen zunächst mit einem VDP begonnen. Bauen Sie den Prozess auf, bevor Sie das Budget einplanen.

Was in eine VDP-Richtlinie gehört

Ihre VDP-Richtlinie ist ein juristisches Dokument, ein Kommunikationsinstrument und eine Reihe operativer Verpflichtungen. Sie muss fünf Bereiche klar abdecken.

Geltungsbereich: Was Forscher testen dürfen

Definieren Sie genau, welche Assets im Geltungsbereich liegen. Seien Sie spezifisch bei Domains, IP-Bereichen, mobilen Apps und APIs. Unklarheiten schaffen hier Probleme in beide Richtungen: Forscher verschwenden Zeit mit Assets außerhalb des Geltungsbereichs, und Sie erhalten Meldungen, die Sie nicht bearbeiten können.

Eine gute Geltungsbereich-Definition sieht so aus:

  • Im Geltungsbereich: *.ihrfirma.de, iOS-App (App Store), Android-App (Google Play), öffentliche API unter api.ihrfirma.de
  • Außerhalb des Geltungsbereichs: Drittanbieter-Dienste (Stripe, Intercom), physische Sicherheit, Social Engineering von Mitarbeitenden

Safe Harbor: Rechtlicher Schutz für Forscher

Dies ist der wichtigste Abschnitt Ihrer Richtlinie. Ohne klare Safe-Harbor-Formulierungen werden Forscher Ihnen keine Schwachstellen melden. Sie befürchten strafrechtliche Verfolgung nach dem Computer Fraud and Abuse Act (CFAA) in den USA oder entsprechenden Gesetzen in anderen Rechtsräumen.

Die CFAA-Leitlinien des US-Justizministeriums von 2022 stellen ausdrücklich fest, dass “gutgläubige Sicherheitsforschung nicht strafrechtlich verfolgt werden sollte.” Ihre Richtlinie sollte diese Formulierung widerspiegeln. Eine minimale Safe-Harbor-Klausel enthält:

  1. Die Zusicherung, keine rechtlichen Schritte gegen Forscher einzuleiten, die der Richtlinie folgen
  2. Die Zusicherung, keine CFAA- oder DMCA-Ansprüche bei gutgläubiger Forschung geltend zu machen
  3. Die Erklärung, mit Forschern zusammenzuarbeiten, falls Dritte rechtliche Schritte einleiten
  4. Die Anerkennung, dass im Rahmen der Richtlinie durchgeführte Forschung autorisiert ist

Meldeanforderungen: Was Sie von Forschern benötigen

Teilen Sie Forschern genau mit, was ihr Bericht enthalten soll. Eine Vorlage spart beiden Seiten Zeit:

  • Schwachstellentyp (z. B. XSS, SSRF, Broken Access Control)
  • Betroffene URL oder Endpunkt
  • Schritte zur Reproduktion (spezifisch, nummeriert)
  • Auswirkungsanalyse (welche Daten sind exponiert, welcher Zugriff wird erlangt)
  • Screenshots oder Proof-of-Concept (Video bevorzugt bei komplexen Angriffsketten)
  • Kontaktdaten des Forschers (für Rückfragen)

Reaktionszusagen: Ihre SLAs

Forscher sind durch jahrelange Ignoranz konditioniert. Laut HackerOne-Daten beträgt die mediane Zeit bis zur ersten Antwort über alle Programme hinweg 8 Stunden, wobei das obere Quartil innerhalb von 1 Stunde antwortet. Ihre SLAs signalisieren, ob Sie Sicherheit ernst nehmen.

Definieren und veröffentlichen Sie diese Zeitrahmen:

  • Bestätigung: innerhalb von 2 Geschäftstagen
  • Triage-Entscheidung: innerhalb von 5 Geschäftstagen
  • Status-Update: mindestens alle 14 Tage bis zur Behebung
  • Behebungszeitraum: nach Schweregrad (Kritisch: 7 Tage, Hoch: 30 Tage, Mittel: 90 Tage)

Offenlegungszeitrahmen: Koordiniert vs. vollständig

Die meisten VDPs nutzen koordinierte Offenlegung: Der Forscher verpflichtet sich zum Stillschweigen, während Sie das Problem beheben, und Sie verpflichten sich, es innerhalb eines definierten Zeitfensters zu beheben (typischerweise 90 Tage, entsprechend dem Standard von Google Project Zero). Nach Ablauf dieses Zeitfensters darf der Forscher veröffentlichen.

Seien Sie hier eindeutig. Forscher respektieren Organisationen, die sich zu Zeitrahmen verpflichten. Sie misstrauen Organisationen, die unbefristetes Schweigen verlangen.

So erstellen Sie Ihre security.txt-Datei

Der security.txt-Standard (RFC 9116) gibt Ihrem VDP einen maschinenlesbaren Einstiegspunkt. Es handelt sich um eine Klartextdatei unter /.well-known/security.txt, die automatisierten Tools und Forschern mitteilt, wo Schwachstellen gemeldet werden können.

Eine vollständige security.txt enthält:

Contact: mailto:[email protected]
Contact: https://ihrfirma.de/security/report
Expires: 2027-03-15T00:00:00.000Z
Encryption: https://ihrfirma.de/.well-known/pgp-key.txt
Policy: https://ihrfirma.de/security/policy
Preferred-Languages: de, en
Canonical: https://ihrfirma.de/.well-known/security.txt

Das Expires-Feld ist in RFC 9116 verpflichtend. Setzen Sie es maximal ein Jahr in die Zukunft und richten Sie eine wiederkehrende Erinnerung zur Aktualisierung ein. Eine abgelaufene security.txt signalisiert Vernachlässigung, was schlimmer ist, als gar keine zu haben.

Laut Daten von securitytxt.org ist die Verbreitung unter den Alexa Top 1 Million von unter 2 % im Jahr 2022 auf circa 8 % im Jahr 2025 gestiegen. Bei Unternehmen, die bereits eine öffentliche Schwachstellenmeldung erlebt haben, steigt die Adoptionsrate auf über 30 %. Warten Sie nicht auf einen Vorfall, um Ihre zu veröffentlichen.

Schritt für Schritt: Ihr VDP in einer Woche starten

Sie brauchen keine monatelange Planung, um ein VDP zu starten. Hier ist ein konkreter Zeitplan für ein Startup mit 5-50 Mitarbeitenden.

Tag 1-2: Richtlinie schreiben

Beginnen Sie mit den Community-Vorlagen von disclose.io. Deren Safe-Harbor-Formulierungen wurden von Rechtsteams bei Organisationen wie der EFF, Dropbox und Bugcrowd geprüft. Passen Sie den Geltungsbereich für Ihre Assets an und lassen Sie Ihre Rechtsabteilung prüfen (die meisten Startup-Anwälte können das innerhalb von 24 Stunden erledigen).

Tag 3: Meldekanal einrichten

Sie benötigen einen sicheren, zuverlässigen Weg, um Meldungen entgegenzunehmen. Optionen:

  • Dedizierte E-Mail ([email protected]) mit PGP-Verschlüsselung
  • Webformular auf Ihrer Security-Seite mit TLS und Zugriffskontrollen
  • Plattform (HackerOne, Bugcrowd, Intigriti) für verwalteten Eingang und Triage

Eine dedizierte E-Mail-Adresse funktioniert für die meisten Startups. Fügen Sie einen PGP-Schlüssel hinzu, damit Forscher sensible Details verschlüsseln können. Wenn Sie mehr als fünf Meldungen pro Monat erwarten, spart Ihnen eine Plattform erheblich Triage-Zeit.

Tag 4: security.txt und Richtlinienseite veröffentlichen

Erstellen Sie Ihre security.txt-Datei und veröffentlichen Sie sie unter /.well-known/security.txt. Erstellen Sie eine /security-Seite auf Ihrer Website mit der vollständigen Richtlinie, dem Geltungsbereich und den Meldeanweisungen.

Tag 5: Triage-Workflow aufbauen

Definieren Sie, wer Meldungen erhält, wie sie priorisiert werden und wie Korrekturen nachverfolgt werden. Mindestens:

  1. Eingang: Sicherheitsmeldungen treffen über einen dedizierten Kanal ein (E-Mail, Plattform oder Formular)
  2. Triage: Ein Entwickler bewertet den Schweregrad innerhalb von 2 Geschäftstagen mit CVSS 4.0
  3. Nachverfolgung: Erstellen Sie ein internes Ticket in Ihrem Issue-Tracker (keine Schwachstellendetails in öffentlichen GitHub Issues)
  4. Behebung: Zuweisen an das zuständige Team basierend auf der betroffenen Komponente
  5. Rückmeldung: Den Forscher bei jedem Schritt informieren
  6. Abschluss: Den Fix mit dem Forscher bestätigen, Aufnahme in die Hall of Fame anbieten

Tag 6-7: Testen und ankündigen

Reichen Sie einen Testbericht durch Ihren eigenen Prozess ein. Überprüfen Sie, ob die Bestätigungs-E-Mail funktioniert, der Triage-Workflow greift und die Antwortvorlagen verständlich sind. Dann kündigen Sie Ihr VDP an:

  • Link im Website-Footer hinzufügen
  • Beitrag auf Ihrem Engineering-Blog veröffentlichen
  • Relevante Security-Communities benachrichtigen

Häufige Fehler, die die VDP-Glaubwürdigkeit zerstören

Meldungen ignorieren

Der schnellste Weg, den Ruf Ihres VDP zu ruinieren, ist Nicht-Reagieren. Forscher sprechen miteinander. Wenn drei Personen Probleme melden und nichts hören, ist Ihr Programm praktisch tot. HackerOne-Daten zeigen, dass Programme mit Reaktionszeiten über 7 Tagen im folgenden Quartal 40 % weniger Meldungen erhalten.

Zu enger Geltungsbereich

Den Geltungsbereich auf eine einzelne Marketing-Seite zu beschränken, während Ihre tatsächliche Angriffsfläche APIs, mobile Apps und Drittanbieter-Integrationen umfasst, signalisiert Forschern, dass Sie es nicht ernst meinen. Wenn Sie noch nicht bereit sind, Probleme über Ihre gesamte Angriffsfläche zu beheben, seien Sie ehrlich in der Richtlinie, aber planen Sie eine Erweiterung.

Forscher bedrohen

Das kommt immer noch vor. 2023 drohte eine große Fluggesellschaft einem Forscher mit rechtlichen Schritten, der eine Schwachstelle über den offiziellen Kanal gemeldet hatte. Der resultierende Reputationsschaden kostete das Unternehmen weit mehr als die Behebung der Schwachstelle gekostet hätte. Ihre Safe-Harbor-Formulierungen existieren, um dies zu verhindern. Stellen Sie sicher, dass Ihr Rechtsteam und Ihre Führungsebene sie verstehen und unterstützen.

Kein Feedback

Forscher wollen wissen, dass ihre Meldung etwas bewirkt hat. Senden Sie ihnen die CVE-ID, falls eine vergeben wird. Teilen Sie mit, wann der Fix ausgerollt wird. Bieten Sie eine Nennung in Ihren Security-Advisories an. Das kostet nichts und baut eine Beziehung auf, die weitere hochwertige Meldungen generiert.

Schweregradbewertung mit CVSS 4.0

Das Common Vulnerability Scoring System Version 4.0, veröffentlicht von FIRST.org im November 2023, ist der aktuelle Standard zur Bewertung des Schweregrads von Schwachstellen. CVSS 4.0 führte gegenüber Version 3.1 wesentliche Verbesserungen ein, darunter ergänzende Metriken für Automatisierbarkeit, Wiederherstellung und Wertdichte.

Nutzen Sie CVSS, um konsistente SLA-Stufen zu erstellen:

CVSS 4.0 Score Schweregrad Reaktions-SLA Behebungs-SLA
9,0-10,0 Kritisch 4 Stunden 7 Tage
7,0-8,9 Hoch 24 Stunden 30 Tage
4,0-6,9 Mittel 2 Geschäftstage 90 Tage
0,1-3,9 Niedrig 5 Geschäftstage Nach Möglichkeit

Erfinden Sie keine eigene Schweregrad-Skala. CVSS ist ein unvollkommener Standard, aber er ist eine gemeinsame Sprache zwischen Ihrem Team und der Forscher-Community. Abweichungen davon erzeugen Verwirrung und Streitigkeiten.

Vom VDP zum Bug-Bounty-Programm

Sobald Ihr VDP 3-6 Monate gelaufen ist und Sie einen zuverlässigen Triage-Workflow haben, können Sie finanzielle Belohnungen in Betracht ziehen.

Wann Bounties einführen

Sie sind bereit, wenn:

  • Ihre durchschnittliche Zeit bis zur ersten Antwort unter 24 Stunden liegt
  • Sie mindestens 80 % der gemeldeten Schwachstellen innerhalb Ihrer veröffentlichten SLAs behoben haben
  • Sie einen dedizierten Security-Kontakt haben (muss keine Vollzeitstelle sein)
  • Ihr Entwicklungsteam einen Prozess hat, um Sicherheitsbehebungen neben Feature-Arbeit zu priorisieren

Belohnungshöhen festlegen

Bounty-Beträge sollten die tatsächliche Auswirkung der Schwachstelle widerspiegeln, kein Pauschalhonorar. HackerOne-Daten von 2024 zeigen die medianen Auszahlungen über alle Branchen:

  • Kritisch: 3.000-15.000 USD (Remote Code Execution, Auth Bypass)
  • Hoch: 1.000-5.000 USD (Stored XSS, IDOR mit PII-Exposure)
  • Mittel: 250-1.000 USD (Reflected XSS, Information Disclosure)
  • Niedrig: 50-250 USD (Open Redirect, ausführliche Fehlermeldungen)

Für Startups ist es in Ordnung, am unteren Ende dieser Bereiche zu beginnen. Forscher legen mehr Wert auf Reaktionsfreudigkeit und Respekt als auf maximale Auszahlungen. Ein Programm, das 500 USD zahlt und in 4 Stunden antwortet, zieht bessere Talente an als eines, das 5.000 USD zahlt und Meldungen wochenlang ignoriert.

Compliance-Frameworks, die ein VDP erfordern

Ein VDP ist nicht nur gute Praxis. Mehrere Compliance-Frameworks verlangen mittlerweile ausdrücklich eines.

SOC 2 Type II: Obwohl SOC 2 kein VDP namentlich vorschreibt, lassen sich die Common Criteria zur Risikobewertung (CC3.2) und Kommunikation (CC2.3) mit einem dokumentierten VDP deutlich leichter erfüllen. Prüfer fragen zunehmend nach Nachweisen für einen externen Schwachstellen-Eingang.

ISO 27001:2022: Control A.8.8 (Management technischer Schwachstellen) verlangt von Organisationen, “Regeln für die Offenlegung von Schwachstellen festzulegen und umzusetzen.” Ein VDP erfüllt diese Anforderung direkt.

PCI DSS 4.0: Anforderung 6.3.1 schreibt vor, dass Organisationen Sicherheitsschwachstellen identifizieren und verwalten, auch über externe Quellen. Ein VDP belegt die Erfüllung der Anforderung an “externe Quellen.”

NIST Cybersecurity Framework 2.0: Die Identify-Funktion (ID.RA-01) fordert, dass “Schwachstellen in Assets identifiziert, validiert und dokumentiert” werden, ausdrücklich einschließlich externer Entdeckung. Die neue Govern-Funktion (GV.SC-05) ergänzt Supply-Chain-Risikomanagement, bei dem VDPs eine zunehmend wichtige Rolle spielen.

NIS2-Richtlinie (EU): Artikel 12 verpflichtet EU-Mitgliedstaaten, koordinierte Schwachstellen-Offenlegungsrichtlinien einzuführen. Organisationen in wesentlichen und wichtigen Sektoren müssen daran teilnehmen.

Wenn Ihr Startup Enterprise-Kunden bedient, taucht ein VDP häufig in Sicherheitsfragebögen auf. Laut einer Whistic-Umfrage von 2024 bewerten 64 % der Enterprise-Einkäufer Schwachstellenmanagement in Sicherheitsbewertungen von Lieferanten. Ein veröffentlichtes VDP verkürzt Ihren Vertriebszyklus, indem es Beschaffungsteams eine sofortige Antwort liefert.

Hall of Fame: Forscher anerkennen

Eine öffentliche Hall of Fame kostet nichts im Unterhalt und erzeugt erhebliches Wohlwollen in der Security-Research-Community. Sie würdigt Forscher, die Schwachstellen verantwortungsvoll gemeldet haben, und regt weitere Meldungen an, ohne finanzielle Belohnungen zu erfordern.

Ihre Hall of Fame sollte enthalten:

  • Name oder Handle des Forschers (wie sie genannt werden möchten)
  • Datum der Offenlegung
  • Allgemeine Kategorie der Schwachstelle (ohne ausnutzbare Details preiszugeben)

Veröffentlichen Sie keine vollständigen Schwachstellendetails, betroffene Endpunkte oder Reproduktionsschritte in Ihrer Hall of Fame. Beschränken Sie sich auf Namen und Daten. Das detaillierte Security Advisory (falls veröffentlicht) sollte ein separates Dokument sein, das erst nach Bereitstellung und Verifizierung des Fixes freigegeben wird.

Manche Forscher bauen ihren professionellen Ruf über Hall-of-Fame-Einträge auf. Für unabhängige Berater und Studierende kann eine öffentliche Nennung durch Ihr Unternehmen wertvoller sein als eine kleine Prämie. Behandeln Sie es mit der gebührenden Ernsthaftigkeit.

Wie Kit die Schwachstellenmeldung handhabt

Kit enthält ein integriertes CSIRT-Modul (Computer Security Incident Response Team), das Vulnerability Disclosure als erstklassigen Workflow behandelt, nicht als nachträgliches Anhängsel eines Ticketsystems.

Das Modul liefert ein anpassbares Security-Portal, auf das Forscher über Ihre Domain zugreifen. Sie veröffentlichen Ihre VDP-Richtlinie, den Geltungsbereich und die Meldungsrichtlinien direkt aus Kit. Forscher reichen Berichte über ein strukturiertes Formular ein, das genau die Informationen erfasst, die Ihr Triage-Team benötigt: Schwachstellentyp, betroffene Assets, Reproduktionsschritte und Auswirkungsanalyse. Kein mühsames Lesen von Freitext-E-Mails oder verlorene Meldungen im Sammelpostfach mehr.

Jede Meldung durchläuft eine definierte Triage-Pipeline mit konfigurierbaren SLAs. Kit verfolgt automatisch die Zeit bis zur ersten Antwort, bis zur Triage und bis zur Behebung. Wenn eine Frist naht, wird das zuständige Teammitglied benachrichtigt. Wenn sie überschritten wird, greifen Eskalationsregeln. Das ist dasselbe SLA-Durchsetzungsmuster, das dedizierte Plattformen wie HackerOne verwenden, integriert in dasselbe Tool, das Ihr Team bereits für Recruiting nutzt.

Kit generiert und pflegt Ihre security.txt-Datei automatisch, einschließlich des verpflichtenden Expires-Feldes mit einer wiederkehrenden Prüfung, die Sie warnt, bevor es abläuft. Das Security-Portal unterstützt eigene Domains, sodass Forscher mit security.ihrfirma.de interagieren statt mit einer Drittanbieter-Plattform.

Das Modul umfasst außerdem eine öffentliche Hall of Fame, Slack-Integration für Echtzeit-Benachrichtigungen bei Meldungen und Forscherkommunikation direkt über das Portal. Auszahlungen für Bug-Bounty-Vergütungen werden mit einem vollständigen Ledger nachverfolgt, das Ihnen prüfungsbereite Aufzeichnungen für SOC 2- und ISO 27001-Reviews liefert.

Für Startups, die sowohl Recruiting- als auch Security-Infrastruktur benötigen, eliminiert Kit die Notwendigkeit, separate Plattformen zu verwalten. Ihr CSIRT-Modul läuft neben Ihrem ATS, nutzt dieselben Team-Accounts, denselben Slack-Workspace und dieselbe Abrechnung. Das bedeutet einen Anbieter weniger, einen Sicherheitsfragebogen weniger und einen Login weniger für Ihr Team.

Checkliste: Starten Sie Ihr VDP diese Woche

Nutzen Sie diese Checkliste, um Ihren Fortschritt zu verfolgen. Jeder Punkt kann von einem einzelnen Entwickler innerhalb einer Woche erledigt werden.

  1. VDP-Richtlinie mit disclose.io-Vorlagen entwerfen
  2. Geltungsbereich definieren (Domains, APIs, mobile Apps)
  3. Safe-Harbor-Formulierungen schreiben und von der Rechtsabteilung prüfen lassen
  4. Sicheren Meldekanal einrichten (E-Mail mit PGP, Webformular oder Plattform)
  5. security.txt-Datei unter /.well-known/security.txt erstellen
  6. Richtlinienseite unter /security oder /security/policy veröffentlichen
  7. Schweregrad-Stufen und Reaktions-SLAs mit CVSS 4.0 definieren
  8. Internen Triage-Workflow aufbauen (wer empfängt, wer bewertet, wer behebt)
  9. Antwortvorlagen erstellen (Bestätigung, Triage-Entscheidung, Status-Update, Behebung)
  10. Öffentliche Hall-of-Fame-Seite einrichten
  11. Testmeldung durch den eigenen Prozess einreichen
  12. VDP ankündigen (Website-Footer, Blog-Beitrag, Security-Communities)

Ein VDP ist kein einmaliges Projekt. Es ist eine dauerhafte Verpflichtung gegenüber Ihren Nutzern, dass Sie deren Sicherheit ernst nehmen. Die Einrichtung dauert eine Woche. Die Glaubwürdigkeit, die es aufbaut, wächst über Jahre. Beginnen Sie jetzt, solange es noch ein Wettbewerbsvorteil ist und nicht eine regulatorische Pflichtübung, die Sie übereilt nachholen müssen.

Verwandte Artikel

Bereit, smarter einzustellen?

Kostenlos starten. Keine Kreditkarte erforderlich. Richte deine erste Hiring-Pipeline in wenigen Minuten ein.

Kostenlos starten
Zurueck zum Blog