CVD Portal
← Zurück zum BlogRead in English →
CRA-Konformität

Open Bug Bounty vs. CVD Portal: Was ist der Unterschied?

Von Das CVD-Portal-Team
5 Min. Lesezeit

Open Bug Bounty und CVD Portal dienen zwei völlig unterschiedlichen Zwecken im Cybersicherheits-Ökosystem. Während sich beide mit der Offenlegung von Schwachstellen befassen, ist das eine ein von der Community getragenes Meldenetzwerk und das andere ein Werkzeug zur Einhaltung von Vorschriften, das speziell für den europäischen Markt gebaut wurde.

Hier ist eine Aufschlüsselung, wie sie sich vergleichen:

1. Kernzweck und Zielgruppe

  • Open Bug Bounty (openbugbounty.org): Das ist eine kostenlose, gemeinnützige, von der Community betriebene Plattform, die in erster Linie darauf ausgelegt ist, unabhängige Sicherheitsforscher mit Website-Betreibern zu verbinden. Findet ein Forscher einen Fehler (etwa eine XSS-Schwachstelle) auf einer Website, kann er Open Bug Bounty nutzen, um ihn dem Betreiber ethisch zu melden. Es ist stark auf allgemeine Web-Schwachstellen ausgerichtet.
  • CVD Portal (cvdportal.com): Das ist eine B2B-SaaS-Plattform, die speziell für Software- und Hardwarehersteller gebaut wurde, die den EU Cyber Resilience Act (CRA) einhalten müssen. Sie stellt Unternehmen die Infrastruktur bereit, um Schwachstellenmeldungen rechtssicher und sicher entgegenzunehmen und zu bearbeiten. Ihre Zielgruppe besteht aus Rechts-, Beschaffungs- und Sicherheitsteams in Unternehmen, die digitale Produkte in der EU verkaufen.

2. Funktionen und Arbeitsablauf

  • Open Bug Bounty: Fungiert als öffentlicher Vermittler. Forscher reichen Fehler über die Plattform ein, und Open Bug Bounty benachrichtigt den Website-Betreiber. Es verfolgt behobene Schwachstellen öffentlich, um Forschern einen Reputationswert zu geben. Es stellt dem Unternehmen selbst keine private Infrastruktur bereit.
  • CVD Portal: Stellt eine Whitelabel-Infrastruktur bereit (z. B. [email protected] oder ein gebrandetes Web-Formular). Es stellt keine Community von Hackern bereit. Stattdessen bietet es eine auditfähige Nachverfolgung, um sicherzustellen, dass Unternehmen strenge gesetzliche SLAs einhalten, etwa das verpflichtende 48-Stunden-Bestätigungsfenster des EU-CRA und die ENISA-Meldeabläufe (Fristen von 24 h / 72 h / 14 Tagen). Es verfügt außerdem über fortgeschrittene Unternehmenswerkzeuge wie PGP-Verschlüsselung, SBOM-Register (Software Bill of Materials) und die Erstellung maschinenlesbarer CSAF-2.0-Sicherheitsmeldungen.

3. Einhaltung von Vorschriften

  • Open Bug Bounty: Es ist zwar ein großartiges Werkzeug für die Internet-Hygiene, aber nicht für die rechtliche Compliance ausgelegt. Es fehlen die Prüfpfade, die Garantien zur Datenhaltung und die Meldeabläufe, die die moderne Cybersicherheitsgesetzgebung verlangt.
  • CVD Portal: Seine gesamte Existenz ist um die EU-CRA-Konformität herum gebaut. Standardmäßig setzt es eine strikte EU-Datenhaltung durch (gehostet auf EU-Infrastruktur ohne transatlantische Datentransfers) und führt Unternehmen durch die genauen gesetzlichen Pflichten (Artikel 13 und 14 des CRA), die ab Ende 2026 stark durchgesetzt werden.

4. Kosten und Geschäftsmodell

  • Open Bug Bounty: Zu 100 % kostenlos sowohl für Forscher als auch für Website-Betreiber. Es stützt sich auf Unterstützung und Spenden aus der Community.
  • CVD Portal: Hat ein kommerzielles Stufenmodell. Es bietet eine „Free Forever“-Stufe, die die grundlegenden Anforderungen von CRA-Artikel 13 abdeckt (eine veröffentlichte Richtlinie, eine zentrale Kontaktstelle und ein Eingangsformular). Für fortgeschrittene Compliance-Nachverfolgung, die Verwaltung mehrerer Produkte und API-Zugang berechnen sie eine monatliche Abonnementgebühr (ab etwa 99 Euro/Monat für die Pro-Stufe).

Können sie zusammen genutzt werden?

Ja. Da sie Unterschiedliches tun, nutzen manche Unternehmen beide. Ein Unternehmen könnte passiv ein Profil bei Open Bug Bounty pflegen, um unabhängigen Forschern zu erlauben, grundlegende Fehler auf seinen Marketing-Websites zu melden. Zugleich nutzt das Unternehmen CVD Portal als sein offizielles, rechtsverbindliches System zur koordinierten Offenlegung von Schwachstellen (CVD), um kritische Software-/Hardwarefehler zu behandeln, offizielle Sicherheitsmeldungen zu erstellen und schwerwiegende Vorfälle an europäische Behörden zu melden.

Mehr aus dem Blog
CRA-Konformität

Die Uhr läuft: Was niederländische Führungskräfte vor Inkrafttreten der Cyberbeveiligingswet wissen müssen

9 Min. LesezeitCRA-Konformität

Die überlappenden Meldeuhren: CRA, NIS2 und DSGVO in einem Bild

8 Min. LesezeitCRA-Konformität

Wann die Meldung von Schwachstellen und Vorfällen unter dem CRA verpflichtend wird

9 Min. Lesezeit

Bleiben Sie konform mit dem Cyber Resilience Act

Prüfen Sie Ihre Bereitschaft mit der CRA-Bereitschafts-Checkliste oder vergleichen Sie die Tarife auf der Preisseite.

Kostenlos starten