Schwachstellen finden lassen — bevor Angreifer es tun.
Ein privates, vollständig kuratiertes Bug-Bounty-Programm: nur geprüfte, zertifizierte Security-Researcher, individuell festgelegte Policy, gehostet in der T Cloud in Deutschland. Sie zahlen nichts für den Aufbau — nur für tatsächlich identifizierte Schwachstellen.
- ✓ Gehostet in der T Cloud · Germany
- ✓ Autorisierter OffSec-Partner
- ✓ ISO/IEC 27001-zertifiziert
- ✓ No cure, no pay
THE AI-driven IT Security and GRC Experts
Offene Bug-Bounty-Plattformen liefern Rauschen statt Kontrolle.
Öffentliche Programme laden unbekannte Personen ein, Produktionssysteme mit nicht auditierbaren Methoden zu testen. Für regulierte Branchen ist das ein Governance- und Datenschutzrisiko.
Signal-Rauschen
Über 90 % der Meldungen in öffentlichen Programmen sind Duplikate oder invalide — 2026 verstärkt durch eine Welle KI-generierter Fake-Reports.
Unbekannte Tester
Wer testet, ist nicht überprüfbar. Scope-Einhaltung ist selbstkontrolliert — kritisch für sensible Systeme und regulierte Sektoren.
DSGVO-Grauzone
Researcher können bei der Dokumentation personenbezogene Daten einsehen oder abziehen. US-Plattformen lösen das AVV-rechtlich nicht sauber.
Versteckte Kosten
Plattform-Fees, Payout-Gebühren und interner Triage-Aufwand summieren sich — unabhängig davon, ob echte Schwachstellen gefunden werden.
Ein privates Programm, das Sie steuern.
Volle Kontrolle darüber, was, wann und wie getestet wird — mit einer individuell festgelegten Policy und einem Team, für das Sie sich verbürgen können.
Kuratiert & geprüft
Es testen ausschließlich Security-Researcher von VamiSec — zertifiziert, erfahren und mit geprüftem Führungszeugnis. Keine anonyme Crowd.
No cure, no pay
Kein Setup-Preis, keine Plattform-Fee, keine Grundgebühr. Sie vergüten ausschließlich validierte, reproduzierbare Schwachstellen — nach CVSS.
T Cloud · Germany
Das Programm läuft auf unseren eigenen Sicherheitslösungen in der T Cloud in Deutschland — mit AVV, NDA und voller DSGVO-Konformität.
Von der Policy zum behobenen Risiko.
Ein durchgängiger Prozess — vom definierten Scope über kontinuierliches Testing bis zur auditfähigen Behebung.
- 1
Scope & Policy
Wir definieren gemeinsam Zielobjekte, Testfenster, erlaubte Methoden, Safe-Harbor-Klausel und Vergütungsraster — vertraglich fixiert.
- 2
24/7-Testing
Unsere geprüften Researcher testen kontinuierlich im vereinbarten Rahmen — mit signierter Autorisierung und lückenlosem Audit-Log.
- 3
Triage & CVSS
Jede Meldung wird validiert, dedupliziert und nach CVSS bewertet. Sie erhalten nur geprüfte, reproduzierbare Findings — kein Rauschen.
- 4
Report & Vergütung
Jedes Finding kommt mit reproduzierbarem Proof of Concept, Business-Impact und Remediation-Empfehlung. Vergütet wird pro validierter Lücke.
- 5
Fix & Re-Test
Auf Wunsch übernimmt unser CSIRT-Team die Behebung im integrierten Incident-Management und verifiziert den Fix im Re-Test.
Sie zahlen nur für echte Schwachstellen.
Die Vergütung richtet sich nach dem CVSS-Score der validierten Schwachstelle — transparent, marktüblich und ohne versteckte Gebühren.
Bewertung nach CVSS v4.0 mit Business-Impact-Kontext. Nur die erste valide Meldung einer Schwachstelle wird vergütet; Duplikate und nicht reproduzierbare Reports werden im Triage aussortiert.
Was wir ins Visier nehmen.
Vom exponierten Web-Perimeter bis zum regulierten Medizinprodukt — der Scope wird pro Programm individuell festgelegt.
Domains & Infrastruktur
Externe Angriffsfläche, Subdomains, exponierte Dienste, TLS, Cloud-Assets — kontinuierlich per EASM überwacht.
Webanwendungen & APIs
Manuelle und automatisierte Tests nach OWASP ASVS und API Security Top 10.
KI-Systeme (AI Act)
LLM- und Agentic-AI-Tests nach OWASP LLM Top 10 und MITRE ATLAS — Prompt Injection, Data & Model Poisoning, Evasion.
Mobile Apps
Android- und iOS-Anwendungen nach OWASP MASVS, inklusive Backend- und API-Kette.
IoT-Geräte
Firmware-Analyse, Funkprotokolle (MQTT, CoAP, Zigbee), Hardware-Interfaces (JTAG/UART) und Cloud-Backend.
OT & SMGW
Industrielle Steuerungen nach IEC 62443, Smart-Meter-Gateways und Embedded-Systeme — mit Fokus auf Verfügbarkeit.
Medizinprodukte
Vernetzte Medical Devices im MDR-Kontext (MDCG 2019-16) — Security-Prüfung über den Produktlebenszyklus.
Individueller Scope
Weitere Zielklassen definieren wir gemeinsam — jedes Programm wird auf Ihre Assets zugeschnitten.
Schwachstellenmanagement ist nicht mehr optional.
Hersteller und Betreiber sind gesetzlich zu Schwachstellenbehandlung und koordinierter Offenlegung verpflichtet. Ein Bug-Bounty-Programm ist ein anerkanntes Umsetzungsinstrument.
Cyber Resilience Act
Hersteller müssen eine Coordinated-Vulnerability-Disclosure-Policy und eine Meldestelle für Schwachstellen einrichten (Anhang I Teil II Nr. 5 & 6). Der CRA nennt Bug-Bounty-Programme ausdrücklich als Umsetzungsinstrument (Erwägungsgrund 76).
NIS2 / BSIG
NIS2 verlangt „Management und Offenlegung von Schwachstellen" (Art. 21 Abs. 2 lit. e). Die deutsche Umsetzung verankert dies in § 30 Abs. 2 Nr. 5 BSIG — seit Dezember 2025 in Kraft.
EU AI Act
Hochrisiko-KI muss widerstandsfähig gegen Angriffe auf Systemschwachstellen sein — inklusive Data Poisoning, Model Poisoning und Adversarial Examples (Art. 15 Abs. 5).
MDR · Medizinprodukte
Die MDR fordert IT-Sicherheit nach dem Stand der Technik (Anhang I Nr. 17.2 & 17.4). MDCG 2019-16 verlangt ein Post-Market-Programm mit Vulnerability Remediation und Incident Response.
DORA · Finanzsektor
DORA verlangt ein Resilienz-Testprogramm mit Schwachstellenbewertungen und Penetrationstests (Art. 25) sowie bedrohungsgeleitete Tests (TLPT, Art. 26) für identifizierte Finanzunternehmen.
ISO/IEC 29147 & 30111
Unser Prozess folgt dem Stand der Technik: ISO/IEC 29147 für die Offenlegungs-Schnittstelle nach außen und ISO/IEC 30111 für die interne Schwachstellenbehandlung.
Klare Regeln. Rechtssicher für beide Seiten.
Jedes Programm erhält eine individuell festgelegte Policy mit definiertem Scope, Testregeln und einer Safe-Harbor-Klausel. Ihre Meldestelle und die veröffentlichte Policy erfüllen die Nutzerinformations-Pflichten des CRA (Anhang II Nr. 2).
- ✓ Individuell festgelegter Scope und erlaubte Testmethoden
- ✓ Safe-Harbor-Klausel für regelkonform arbeitende Researcher
- ✓ Definierte Reaktions- und Behebungsfristen (SLA)
- ✓ Koordinierte Offenlegung und optionale CVE-Vergabe
- 1Meldung über die designierte Kontaktstelle
- 2Bestätigung & Triage nach ISO/IEC 30111
- 3Behebung mit definierter SLA
- 4Koordinierte Offenlegung nach ISO/IEC 29147
Wir finden nicht nur — wir kümmern uns.
Auf Wunsch übernimmt unser CSIRT-Team die vollständige Bearbeitung gemeldeter Schwachstellen — integriert in ein Incident-Management für aktiv ausgenutzte Lücken. So halten Sie auch die CRA-Meldefristen (24 h / 72 h / 14 Tage) und die NIS2-Kaskade ein.
- ✓ Vollständige Bearbeitung von Meldung bis Behebung
- ✓ Eskalation ausgenutzter Schwachstellen ins Incident Management
- ✓ Unterstützung bei Meldepflichten gegenüber CSIRT & ENISA
- ✓ Anbindung an unser GRC-Ökosystem (VamiGRC)
Beweis statt Vermutung — von Menschen, für die wir uns verbürgen.
Zertifizierte Researcher
OSCP, OSEP, OSWE, OSCE³ — als autorisierter OffSec-Partner setzen wir ausschließlich nachweislich qualifizierte Mitarbeiter ein.
Geprüftes Team
Alle Researcher sind VamiSec-Mitarbeiter mit geprüftem Führungszeugnis — keine anonyme Crowd, für jede Person verbürgen wir uns.
ISO 27001 & DSGVO
VamiSec ist nach ISO/IEC 27001 zertifiziert. Das Programm läuft DSGVO-konform in Deutschland — mit AVV und NDA.
Eigene Technologie
Wir testen mit unseren eigenen Lösungen (VamiRedTeam, EASM) — gehostet in der T Cloud, nicht auf fremden Plattformen.
Privat oder öffentlich — zwei Wege, ein Ziel.
Öffentliche Bug-Bounty-Plattformen sind stark in Reichweite und Skalierung und haben den Markt geprägt. Ein privates Programm setzt an einem anderen Punkt an: enge Steuerung und Nähe — nicht zuletzt, weil deutlich weniger Researcher beteiligt sind. Welches Modell passt, hängt vom Schutzbedarf ab.
| Kriterium | VamiSec | Öffentliche Plattform |
|---|---|---|
| Researcher | Festes, geprüftes Team | Große, offene Community |
| Kostenmodell | Keine Grundkosten — Vergütung pro Lücke | Höhere jährliche Grundkosten |
| Steuerung von Scope & Zeit | Eng vertraglich gesteuert | Breiter Rahmen, offen skaliert |
| Meldungsvolumen | Fokussiert, kuratiert | Hoch — mehr Triage nötig |
| Hosting & Datenschutz | T Cloud, Deutschland · DSGVO | Anbieterabhängig, oft außerhalb der EU |
| Leistungsumfang | Finden + optional beheben (CSIRT) | Fokus auf das Finden |
Bereit, Schwachstellen zu finden, bevor es andere tun?
In einem 30-minütigen Erstgespräch definieren wir Ihren Scope, Ihre Policy und Ihr Vergütungsraster — unverbindlich.