Managed Private Bug Bounty · 24/7

Schwachstellen finden lassen — bevor Angreifer es tun.

Ein privates, vollständig kuratiertes Bug-Bounty-Programm: nur geprüfte, zertifizierte Security-Researcher, individuell festgelegte Policy, gehostet in der T Cloud in Deutschland. Sie zahlen nichts für den Aufbau — nur für tatsächlich identifizierte Schwachstellen.

  • Gehostet in der T Cloud · Germany
  • Autorisierter OffSec-Partner
  • ISO/IEC 27001-zertifiziert
  • No cure, no pay

THE AI-driven IT Security and GRC Experts

TrustedHolisticEngineered
0 €
Setup- & Plattformkosten — Vergütung nur pro validierter Lücke
80 %
aller Programme führender Plattformen laufen bereits privat
24/7
kontinuierliches Testing statt punktueller Momentaufnahme
< 5 %
valide Meldungen bei öffentlichen Programmen — der Rest ist Rauschen
01 Das Problem öffentlicher Programme

Offene Bug-Bounty-Plattformen liefern Rauschen statt Kontrolle.

Öffentliche Programme laden unbekannte Personen ein, Produktionssysteme mit nicht auditierbaren Methoden zu testen. Für regulierte Branchen ist das ein Governance- und Datenschutzrisiko.

🔊

Signal-Rauschen

Über 90 % der Meldungen in öffentlichen Programmen sind Duplikate oder invalide — 2026 verstärkt durch eine Welle KI-generierter Fake-Reports.

🎭

Unbekannte Tester

Wer testet, ist nicht überprüfbar. Scope-Einhaltung ist selbstkontrolliert — kritisch für sensible Systeme und regulierte Sektoren.

⚖️

DSGVO-Grauzone

Researcher können bei der Dokumentation personenbezogene Daten einsehen oder abziehen. US-Plattformen lösen das AVV-rechtlich nicht sauber.

💸

Versteckte Kosten

Plattform-Fees, Payout-Gebühren und interner Triage-Aufwand summieren sich — unabhängig davon, ob echte Schwachstellen gefunden werden.

02 Das VamiSec-Modell

Ein privates Programm, das Sie steuern.

Volle Kontrolle darüber, was, wann und wie getestet wird — mit einer individuell festgelegten Policy und einem Team, für das Sie sich verbürgen können.

🛡️

Kuratiert & geprüft

Es testen ausschließlich Security-Researcher von VamiSec — zertifiziert, erfahren und mit geprüftem Führungszeugnis. Keine anonyme Crowd.

🎯

No cure, no pay

Kein Setup-Preis, keine Plattform-Fee, keine Grundgebühr. Sie vergüten ausschließlich validierte, reproduzierbare Schwachstellen — nach CVSS.

T Cloud · Germany

Das Programm läuft auf unseren eigenen Sicherheitslösungen in der T Cloud in Deutschland — mit AVV, NDA und voller DSGVO-Konformität.

03 So funktioniert es

Von der Policy zum behobenen Risiko.

Ein durchgängiger Prozess — vom definierten Scope über kontinuierliches Testing bis zur auditfähigen Behebung.

  1. 1

    Scope & Policy

    Wir definieren gemeinsam Zielobjekte, Testfenster, erlaubte Methoden, Safe-Harbor-Klausel und Vergütungsraster — vertraglich fixiert.

  2. 2

    24/7-Testing

    Unsere geprüften Researcher testen kontinuierlich im vereinbarten Rahmen — mit signierter Autorisierung und lückenlosem Audit-Log.

  3. 3

    Triage & CVSS

    Jede Meldung wird validiert, dedupliziert und nach CVSS bewertet. Sie erhalten nur geprüfte, reproduzierbare Findings — kein Rauschen.

  4. 4

    Report & Vergütung

    Jedes Finding kommt mit reproduzierbarem Proof of Concept, Business-Impact und Remediation-Empfehlung. Vergütet wird pro validierter Lücke.

  5. 5

    Fix & Re-Test

    Auf Wunsch übernimmt unser CSIRT-Team die Behebung im integrierten Incident-Management und verifiziert den Fix im Re-Test.

04 Vergütung nach CVSS

Sie zahlen nur für echte Schwachstellen.

Die Vergütung richtet sich nach dem CVSS-Score der validierten Schwachstelle — transparent, marktüblich und ohne versteckte Gebühren.

Exceptional / Critical
CVSS 9.0 – 10.0
6.000 €
Vollständige Kompromittierung, kritische Datenabflüsse, RCE auf Kernsystemen
High
CVSS 7.0 – 8.9
4.000 €
Schwerwiegende Rechteausweitung, Authentifizierungs-Bypass, sensible Daten
Medium
CVSS 4.0 – 6.9
2.000 €
Ausnutzbare Schwächen mit begrenztem Wirkungsgrad oder Vorbedingungen
Low
CVSS 0.1 – 3.9
800 €
Geringe Auswirkung, erschwerte Ausnutzbarkeit, unterstützende Findings

Bewertung nach CVSS v4.0 mit Business-Impact-Kontext. Nur die erste valide Meldung einer Schwachstelle wird vergütet; Duplikate und nicht reproduzierbare Reports werden im Triage aussortiert.

05 Zielobjekte

Was wir ins Visier nehmen.

Vom exponierten Web-Perimeter bis zum regulierten Medizinprodukt — der Scope wird pro Programm individuell festgelegt.

🌐

Domains & Infrastruktur

Externe Angriffsfläche, Subdomains, exponierte Dienste, TLS, Cloud-Assets — kontinuierlich per EASM überwacht.

🖥️

Webanwendungen & APIs

Manuelle und automatisierte Tests nach OWASP ASVS und API Security Top 10.

🤖

KI-Systeme (AI Act)

LLM- und Agentic-AI-Tests nach OWASP LLM Top 10 und MITRE ATLAS — Prompt Injection, Data & Model Poisoning, Evasion.

📱

Mobile Apps

Android- und iOS-Anwendungen nach OWASP MASVS, inklusive Backend- und API-Kette.

📟

IoT-Geräte

Firmware-Analyse, Funkprotokolle (MQTT, CoAP, Zigbee), Hardware-Interfaces (JTAG/UART) und Cloud-Backend.

🏭

OT & SMGW

Industrielle Steuerungen nach IEC 62443, Smart-Meter-Gateways und Embedded-Systeme — mit Fokus auf Verfügbarkeit.

🩺

Medizinprodukte

Vernetzte Medical Devices im MDR-Kontext (MDCG 2019-16) — Security-Prüfung über den Produktlebenszyklus.

Individueller Scope

Weitere Zielklassen definieren wir gemeinsam — jedes Programm wird auf Ihre Assets zugeschnitten.

06 Regulatorik & Compliance

Schwachstellenmanagement ist nicht mehr optional.

Hersteller und Betreiber sind gesetzlich zu Schwachstellenbehandlung und koordinierter Offenlegung verpflichtet. Ein Bug-Bounty-Programm ist ein anerkanntes Umsetzungsinstrument.

Cyber Resilience Act

Hersteller müssen eine Coordinated-Vulnerability-Disclosure-Policy und eine Meldestelle für Schwachstellen einrichten (Anhang I Teil II Nr. 5 & 6). Der CRA nennt Bug-Bounty-Programme ausdrücklich als Umsetzungsinstrument (Erwägungsgrund 76).

Meldepflichten ab 11.09.2026

NIS2 / BSIG

NIS2 verlangt „Management und Offenlegung von Schwachstellen" (Art. 21 Abs. 2 lit. e). Die deutsche Umsetzung verankert dies in § 30 Abs. 2 Nr. 5 BSIG — seit Dezember 2025 in Kraft.

Betreiberpflicht in DE

EU AI Act

Hochrisiko-KI muss widerstandsfähig gegen Angriffe auf Systemschwachstellen sein — inklusive Data Poisoning, Model Poisoning und Adversarial Examples (Art. 15 Abs. 5).

AI-Red-Teaming

MDR · Medizinprodukte

Die MDR fordert IT-Sicherheit nach dem Stand der Technik (Anhang I Nr. 17.2 & 17.4). MDCG 2019-16 verlangt ein Post-Market-Programm mit Vulnerability Remediation und Incident Response.

Post-Market-Security

DORA · Finanzsektor

DORA verlangt ein Resilienz-Testprogramm mit Schwachstellenbewertungen und Penetrationstests (Art. 25) sowie bedrohungsgeleitete Tests (TLPT, Art. 26) für identifizierte Finanzunternehmen.

TLPT & Pentests

ISO/IEC 29147 & 30111

Unser Prozess folgt dem Stand der Technik: ISO/IEC 29147 für die Offenlegungs-Schnittstelle nach außen und ISO/IEC 30111 für die interne Schwachstellenbehandlung.

Stand der Technik
07 Vulnerability Disclosure Policy

Klare Regeln. Rechtssicher für beide Seiten.

Jedes Programm erhält eine individuell festgelegte Policy mit definiertem Scope, Testregeln und einer Safe-Harbor-Klausel. Ihre Meldestelle und die veröffentlichte Policy erfüllen die Nutzerinformations-Pflichten des CRA (Anhang II Nr. 2).

  • Individuell festgelegter Scope und erlaubte Testmethoden
  • Safe-Harbor-Klausel für regelkonform arbeitende Researcher
  • Definierte Reaktions- und Behebungsfristen (SLA)
  • Koordinierte Offenlegung und optionale CVE-Vergabe
Disclosure-Prozess
  1. 1Meldung über die designierte Kontaktstelle
  2. 2Bestätigung & Triage nach ISO/IEC 30111
  3. 3Behebung mit definierter SLA
  4. 4Koordinierte Offenlegung nach ISO/IEC 29147
08 Optional: CSIRT & Incident Management

Wir finden nicht nur — wir kümmern uns.

Auf Wunsch übernimmt unser CSIRT-Team die vollständige Bearbeitung gemeldeter Schwachstellen — integriert in ein Incident-Management für aktiv ausgenutzte Lücken. So halten Sie auch die CRA-Meldefristen (24 h / 72 h / 14 Tage) und die NIS2-Kaskade ein.

  • Vollständige Bearbeitung von Meldung bis Behebung
  • Eskalation ausgenutzter Schwachstellen ins Incident Management
  • Unterstützung bei Meldepflichten gegenüber CSIRT & ENISA
  • Anbindung an unser GRC-Ökosystem (VamiGRC)
24 h
Frühwarnung
72 h
Schwachstellenmeldung
14 T
Abschlussbericht (CRA, Art. 14)
09 Warum VamiSec

Beweis statt Vermutung — von Menschen, für die wir uns verbürgen.

🎓

Zertifizierte Researcher

OSCP, OSEP, OSWE, OSCE³ — als autorisierter OffSec-Partner setzen wir ausschließlich nachweislich qualifizierte Mitarbeiter ein.

🔒

Geprüftes Team

Alle Researcher sind VamiSec-Mitarbeiter mit geprüftem Führungszeugnis — keine anonyme Crowd, für jede Person verbürgen wir uns.

🏅

ISO 27001 & DSGVO

VamiSec ist nach ISO/IEC 27001 zertifiziert. Das Programm läuft DSGVO-konform in Deutschland — mit AVV und NDA.

⚙️

Eigene Technologie

Wir testen mit unseren eigenen Lösungen (VamiRedTeam, EASM) — gehostet in der T Cloud, nicht auf fremden Plattformen.

10 Im Vergleich

Privat oder öffentlich — zwei Wege, ein Ziel.

Öffentliche Bug-Bounty-Plattformen sind stark in Reichweite und Skalierung und haben den Markt geprägt. Ein privates Programm setzt an einem anderen Punkt an: enge Steuerung und Nähe — nicht zuletzt, weil deutlich weniger Researcher beteiligt sind. Welches Modell passt, hängt vom Schutzbedarf ab.

Kriterium VamiSec Öffentliche Plattform
ResearcherFestes, geprüftes TeamGroße, offene Community
KostenmodellKeine Grundkosten — Vergütung pro LückeHöhere jährliche Grundkosten
Steuerung von Scope & ZeitEng vertraglich gesteuertBreiter Rahmen, offen skaliert
MeldungsvolumenFokussiert, kuratiertHoch — mehr Triage nötig
Hosting & DatenschutzT Cloud, Deutschland · DSGVOAnbieterabhängig, oft außerhalb der EU
LeistungsumfangFinden + optional beheben (CSIRT)Fokus auf das Finden

Bereit, Schwachstellen zu finden, bevor es andere tun?

In einem 30-minütigen Erstgespräch definieren wir Ihren Scope, Ihre Policy und Ihr Vergütungsraster — unverbindlich.