WAS WIR LIEFERN
Ihre CRA-Pflichten. Erfüllt und belegbar.
Der Cyber Resilience Act macht die Schwachstellenüberwachung Ihres Produkts zur Dauerpflicht — unabhängig davon, ob Sie eine Sicherheitsabteilung haben. Resilvance übernimmt diese Pflicht als geführten, dokumentierten Prozess: Sie erfahren, wann Sie handeln müssen, können fristgerecht melden und jederzeit beweisen, dass Sie ordentlich geprüft haben.
- ✓ Kein Quellcode-Upload
- ✓ 24-h-Fristen im Blick
- ✓ Belegbarer Verlauf

Erkennen
Wir prüfen Ihre Komponenten laufend gegen die maßgeblichen Schwachstellenquellen.
Entscheiden
Fakten und Ihre Entscheidung bleiben klar voneinander getrennt — die Hoheit liegt bei Ihnen.
Nachweisen
Prüfläufe, Bewertungen und Maßnahmen bleiben dokumentiert und jederzeit vorzeigbar.
Die Ausgangslage: eine Pflicht ohne Pause
Komponenten kennen: Sie müssen die Open-Source-Bestandteile Ihres Produkts in einer Software-Stückliste (SBOM) führen.
Laufend prüfen: Bekannte Schwachstellen in diesen Komponenten müssen Sie kontinuierlich ermitteln und unverzüglich behandeln.
Binnen 24 Stunden melden: Bei einer aktiv ausgenutzten Schwachstelle läuft eine 24-Stunden-Frist für die Frühwarnung — bei Verstößen drohen empfindliche Bußgelder.
OHNE WERKZEUG, OPTION 1
Blind beauftragen
Ein Sicherheitsdienstleister prüft in festen Abständen — und rechnet auch dann ab, wenn es nichts zu finden gibt. Teuer, wiederkehrend, ohne Anlassbezug.
OHNE WERKZEUG, OPTION 2
Abwarten
Sie erfahren von einer Verwundbarkeit erst durch einen Kunden, einen Auditor oder einen Vorfall — dann läuft die 24-Stunden-Frist bereits, unvorbereitet.
Was Sie mit Resilvance bekommen
LEISTUNG 1
Der Filter: aus einer Dauerpflicht werden seltene, konkrete Ereignisse
Wir überwachen Ihre Stückliste laufend gegen die maßgeblichen Schwachstellenquellen. Meistens lautet das Ergebnis „kein Befund“ — dokumentiert. Kommt ein Treffer, sagt Ihnen die Ampel, was er ist: ein seltener roter Fall mit akutem Handlungsbedarf oder ein gelber Fall für das nächste reguläre Update. Externe Expertise brauchen Sie nur noch punktuell — und Sie wissen, wann.

LEISTUNG 2
Die Fristensicherheit: melden können, bevor Sie alles verstehen
Im Ernstfall laufen die gesetzlichen Meldestufen. Resilvance kennt sie, zählt die Uhr, kennt den Empfängerweg über BSI und ENISA und hält vorbefüllte, editierbare Meldungsentwürfe bereit. Eine konservative Erstmeldung ist fristgerecht möglich — die fachliche Tiefenprüfung kann danach folgen.
Frühwarnung ≤ 24 Stunden
◷ noch 23 Std. 40 Min.Folgemeldung ≤ 72 Stunden
◷ noch 2 Tage 23 Std.Abschlussbericht ≤ 14 Tage nach Fix
fristgebunden ab FixLEISTUNG 3
Der Nachweis: Compliance, die Sie vorzeigen können
Jeder Prüflauf, jeder Befund und jede begründete Entscheidung landet in einem vorzeigbaren Verlauf — Ihr Nachweis gegenüber Marktüberwachung, Auditoren und Ihren eigenen Kunden. Auch „kein Befund“ wird damit zum belastbaren Ergebnis.
- 12.05. 06:00Prüflauf abgeschlossen — kein Befund
- 19.05. 06:00Prüflauf abgeschlossen — kein Befund
- 26.05. 06:00Neuer Treffer erkannt — Meldungsentwurf bereitgestellt
- 26.05. 09:12Entscheidung dokumentiert — Update eingeplant
LEISTUNG 4
Die Verständlichkeit: nutzbar ohne Sicherheitsteam
Deutschsprachig, eine Ampel statt Kennzahlen-Friedhof, jeder Fachbegriff erklärt. Resilvance trennt konsequent, was automatisch festgestellt wurde und was Ihre Entscheidung bleibt — verständlich für Geschäftsführung und Entwicklung zugleich.
Fakten und Ihre Entscheidungen bleiben sichtbar getrennt — Sie behalten die Hoheit über jede Bewertung.
Eine bloße Trefferliste bekommen Sie an vielen Stellen kostenlos — erledigt ist damit nichts. Bezahlt wird bei Resilvance der geführte, belegbare Weg vom Befund bis zum Nachweis.
Ihre Daten bleiben bei Ihnen — überprüfbar
Resilvance bekommt Ihren Quellcode nie zu sehen. Die Analyse Ihrer Codebasis läuft als Anwendung bei Ihnen im Haus, ohne Internetzugang — das müssen Sie uns nicht glauben, das können Sie mit Ihrer eigenen Firewall erzwingen und kontrollieren. Erzeugt wird ausschließlich eine menschenlesbare Software-Stückliste, die Sie vor der Weitergabe Zeile für Zeile prüfen können.
Lokaler Scan
Läuft vollständig bei Ihnen, ohne Internetzugang — per Firewall erzwingbar. Nur lesender Zugriff auf die Codebasis.
Prüfbare Stückliste
Ergebnis ist eine menschenlesbare SBOM: Komponenten und Nutzungsnachweise, kein Quellcode. Sie kontrollieren jede Zeile.
Bewusster Upload
Erst wenn Sie freigeben, laden Sie die Datei bei Resilvance hoch. Sie entscheiden, was Ihr Haus verlässt.
Auswertung
Wir gleichen nur Komponentenangaben mit den Schwachstellenquellen ab. Sensible Daten verlassen Ihr Haus zu keinem Zeitpunkt.
Sie müssen uns nicht vertrauen — Sie können es überprüfen.
So kommen Sie zu Ihrer Software-Stückliste
Die Stückliste ist der einzige Input, den Resilvance braucht — und Sie müssen sie nicht von Hand schreiben. Drei Wege, je nachdem, wie Ihre Software entsteht:
WEG 1
IN ENTWICKLUNGUnser lokaler Scanner
Erzeugt die Stückliste automatisch aus Ihrer Codebasis — offline bei Ihnen im Haus, wie oben beschrieben. Kein Software-Wissen nötig: Ordner wählen, Scan starten, Ergebnis prüfen.
WEG 2
Ihr Entwicklungsteam
Für Entwickler ist das Routine: Gängige, frei verfügbare Werkzeuge erzeugen die Stückliste automatisch aus dem Software-Projekt — im Standardformat CycloneDX, das Sie hier direkt hochladen können. Auch Ihr Software-Dienstleister kann das.
WEG 3
Ihre Software-Lieferanten
Kaufen Sie Software oder Steuerungskomponenten zu, fordern Sie die Stückliste vom Lieferanten an — unter dem Cyber Resilience Act wird das zunehmend zur Pflicht der Zulieferer.
Funktionsgenaue Betroffenheitsprüfung
Die nächste Ausbaustufe prüft nicht nur, ob eine verwundbare Bibliothek in Ihrem Produkt steckt, sondern ob die konkret verwundbare Funktion von Ihrem Code überhaupt erreicht wird. Das verkleinert die Zahl der Treffer, die Sie vertieft prüfen müssen — und liefert belegbare „nicht betroffen“-Aussagen (VEX) für Ihre Kunden. Die Betroffenheitsentscheidung bleibt dabei immer bei Ihnen.
JEDER FUND BEKOMMT EINE VON DREI EINSTUFUNGEN
- Aufruf nachgewiesen
- Aufruf der verwundbaren Funktion nachgewiesen (statisch)
- Aufruf nicht nachgewiesen
- Bibliothek genutzt — Aufruf der verwundbaren Funktion nicht nachgewiesen; statische Analyse kann dynamische Aufrufe übersehen
- keine Funktionsdaten
- Zu dieser Schwachstelle liegen keine Funktionsdaten vor — Prüfung auf Bibliotheksebene
Die Einstufung wird als eigene Spalte „Erreichbarkeit“ in der Komponentenübersicht erscheinen, im Detail eines Fundes mit Beleg — dem konkreten Aufrufpfad und der Advisory-Quelle, aus der die verwundbare Funktion stammt — und als vorbereiteter VEX-Entwurf, den Sie prüfen, ändern und erst dann freigeben.
Diese Ausbaustufe ist noch nicht verfügbar: Der Extraktor, der die Nutzungsnachweise aus Ihrem Code gewinnt, und die Advisory-Pipeline, die Schwachstellen ihren verwundbaren Funktionen zuordnet, sind in Entwicklung. Solange gilt der Weg oben — Prüfung auf Bibliotheksebene, und im Zweifel ziehen Sie für die vertiefte Prüfung punktuell einen Dienstleister hinzu.

