Question 1

Was ist ein Vulnerability Disclosure Program?

Accepted Answer

Ein Vulnerability Disclosure Program (VDP) ist ein formaler, veröffentlichter Prozess, der es Sicherheitsforschern ermöglicht, Schwachstellen sicher und legal an eine Organisation zu melden. Er definiert den Scope, den Meldekanal und die Safe-Harbor-Bedingungen, die gutgläubige Forscher vor rechtlichen Schritten schützen. Ein VDP ist im Grunde eine offene Tür, die sagt: Wenn du ein Sicherheitsproblem findest, kannst du es uns hier melden.

Question 2

Was ist der Unterschied zwischen einem VDP und einem Bug Bounty?

Accepted Answer

Ein Bug Bounty zahlt Geldbelohnungen für gültige Schwachstellen, während ein Vulnerability Disclosure Program in der Regel Anerkennung bietet, etwa einen Eintrag in der Hall of Fame oder ein Dankeschön, statt Geld. Bug Bounties ziehen eine große Zahl konkurrierender Hunter an, wohingegen VDPs meist deutlich weniger Teilnehmer haben. Für Einsteiger macht diese geringere Konkurrenz ein VDP oft zum leichteren Ort, um einen ersten gültigen Bericht zu erzielen.

Question 3

Sind VDPs für Einsteiger geeignet?

Accepted Answer

Ja. Weil VDPs Anerkennung statt Geld bieten, ziehen sie weit weniger Hunter an als bezahlte Programme, was niedrigere Duplikatraten und mehr Spielraum für tiefes Testen bedeutet. Ein Einsteiger kann zwei fokussierte Wochen in ein VDP mit einer kleinen Hall of Fame investieren und realistisch Bugs finden, die auf einem überlaufenen bezahlten Programm sofort weggeschnappt worden wären. VDPs bauen außerdem den öffentlichen Leistungsnachweis auf, der zu bezahlter Arbeit führt.

Question 4

Sind Organisationen verpflichtet, ein VDP zu haben?

Accepted Answer

Zunehmend ja, in bestimmten Sektoren. US-Bundesbehörden müssen unter der CISA Binding Operational Directive 20-01 ein VDP betreiben, und Frameworks wie ISO/IEC 29147 und 30111 etablieren Disclosure als anerkannten Standard. Viele Vorschriften und Sicherheitsfragebögen von Kunden erwarten inzwischen einen veröffentlichten Meldekanal, sodass VDPs eher zu einer Grunderwartung als zu einem Nice-to-have werden.

Question 5

Wie finde ich das VDP eines Unternehmens?

Accepted Answer

Beginne mit der security.txt-Datei unter /.well-known/security.txt, die Forscher gezielt zur Disclosure-Kontaktstelle leiten soll. Prüfe auch den Footer der Website, eine /security- oder /responsible-disclosure-Seite sowie große Plattformen wie HackerOne und Bugcrowd. Google Dorks wie inurl:security.txt oder inurl:responsible-disclosure sind effektiv, um selbst gehostete Programme mit wenig Konkurrenz zu entdecken.

	VDP	Bug Bounty
Belohnung	Anerkennung, Hall of Fame, Swag	Geld, gestaffelt nach Schweregrad
Konkurrenz	Meist gering	Hoch bei beliebten Programmen
Hauptziel	Ein sicherer Kanal zum Empfang von Meldungen	Anreizbasiertes, kontinuierliches Testen
Am besten für	Einsteiger, Reputationsaufbau	Erfahrene Hunter, Einkommen

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

Vulnerability Disclosure Program (VDP)

Warum es wichtig ist

Was ein VDP enthält

VDP vs. Bug Bounty

Warum Einsteiger zuerst VDPs ins Visier nehmen sollten

Wie wir Vulnerability Disclosure Program (VDP) unterrichten