RESILVANCE

WAS WIR LIEFERN

Ihre CRA-Pflichten. Erfüllt und belegbar.

Der Cyber Resilience Act macht die Schwachstellenüberwachung Ihres Produkts zur Dauerpflicht — unabhängig davon, ob Sie eine Sicherheitsabteilung haben. Resilvance übernimmt diese Pflicht als geführten, dokumentierten Prozess: Sie erfahren, wann Sie handeln müssen, können fristgerecht melden und jederzeit beweisen, dass Sie ordentlich geprüft haben.

Die Übersicht der Resilvance-Anwendung mit priorisierter Schwachstelle, simulierter 24-Stunden-Frist und Verlauf der Prüfsitzung
Die Übersicht der Anwendung mit Beispieldaten: ein seltener kritischer Fall — priorisiert, mit simulierter Frist, klarem nächsten Schritt und dokumentiertem Verlauf.
  1. Erkennen

    Wir prüfen Ihre Komponenten laufend gegen die maßgeblichen Schwachstellenquellen.

  2. Entscheiden

    Fakten und Ihre Entscheidung bleiben klar voneinander getrennt — die Hoheit liegt bei Ihnen.

  3. Nachweisen

    Prüfläufe, Bewertungen und Maßnahmen bleiben dokumentiert und jederzeit vorzeigbar.

Die Ausgangslage: eine Pflicht ohne Pause

Komponenten kennen: Sie müssen die Open-Source-Bestandteile Ihres Produkts in einer Software-Stückliste (SBOM) führen.

Laufend prüfen: Bekannte Schwachstellen in diesen Komponenten müssen Sie kontinuierlich ermitteln und unverzüglich behandeln.

Binnen 24 Stunden melden: Bei einer aktiv ausgenutzten Schwachstelle läuft eine 24-Stunden-Frist für die Frühwarnung — bei Verstößen drohen empfindliche Bußgelder.

OHNE WERKZEUG, OPTION 1

Blind beauftragen

Ein Sicherheitsdienstleister prüft in festen Abständen — und rechnet auch dann ab, wenn es nichts zu finden gibt. Teuer, wiederkehrend, ohne Anlassbezug.

OHNE WERKZEUG, OPTION 2

Abwarten

Sie erfahren von einer Verwundbarkeit erst durch einen Kunden, einen Auditor oder einen Vorfall — dann läuft die 24-Stunden-Frist bereits, unvorbereitet.

Was Sie mit Resilvance bekommen

LEISTUNG 1

Der Filter: aus einer Dauerpflicht werden seltene, konkrete Ereignisse

Wir überwachen Ihre Stückliste laufend gegen die maßgeblichen Schwachstellenquellen. Meistens lautet das Ergebnis „kein Befund“ — dokumentiert. Kommt ein Treffer, sagt Ihnen die Ampel, was er ist: ein seltener roter Fall mit akutem Handlungsbedarf oder ein gelber Fall für das nächste reguläre Update. Externe Expertise brauchen Sie nur noch punktuell — und Sie wissen, wann.

Illustration: aus vielen gefundenen technischen Treffern werden wenige relevante Fälle, einer davon kritisch

LEISTUNG 2

Die Fristensicherheit: melden können, bevor Sie alles verstehen

Im Ernstfall laufen die gesetzlichen Meldestufen. Resilvance kennt sie, zählt die Uhr, kennt den Empfängerweg über BSI und ENISA und hält vorbefüllte, editierbare Meldungsentwürfe bereit. Eine konservative Erstmeldung ist fristgerecht möglich — die fachliche Tiefenprüfung kann danach folgen.

Frühwarnung ≤ 24 Stunden

◷ noch 23 Std. 40 Min.

Folgemeldung ≤ 72 Stunden

◷ noch 2 Tage 23 Std.

Abschlussbericht ≤ 14 Tage nach Fix

fristgebunden ab Fix

LEISTUNG 3

Der Nachweis: Compliance, die Sie vorzeigen können

Jeder Prüflauf, jeder Befund und jede begründete Entscheidung landet in einem vorzeigbaren Verlauf — Ihr Nachweis gegenüber Marktüberwachung, Auditoren und Ihren eigenen Kunden. Auch „kein Befund“ wird damit zum belastbaren Ergebnis.

  • 12.05. 06:00Prüflauf abgeschlossen — kein Befund
  • 19.05. 06:00Prüflauf abgeschlossen — kein Befund
  • 26.05. 06:00Neuer Treffer erkannt — Meldungsentwurf bereitgestellt
  • 26.05. 09:12Entscheidung dokumentiert — Update eingeplant

LEISTUNG 4

Die Verständlichkeit: nutzbar ohne Sicherheitsteam

Deutschsprachig, eine Ampel statt Kennzahlen-Friedhof, jeder Fachbegriff erklärt. Resilvance trennt konsequent, was automatisch festgestellt wurde und was Ihre Entscheidung bleibt — verständlich für Geschäftsführung und Entwicklung zugleich.

FESTGESTELLTIHRE ENTSCHEIDUNG

Fakten und Ihre Entscheidungen bleiben sichtbar getrennt — Sie behalten die Hoheit über jede Bewertung.

Eine bloße Trefferliste bekommen Sie an vielen Stellen kostenlos — erledigt ist damit nichts. Bezahlt wird bei Resilvance der geführte, belegbare Weg vom Befund bis zum Nachweis.

Ihre Daten bleiben bei Ihnen — überprüfbar

Resilvance bekommt Ihren Quellcode nie zu sehen. Die Analyse Ihrer Codebasis läuft als Anwendung bei Ihnen im Haus, ohne Internetzugang — das müssen Sie uns nicht glauben, das können Sie mit Ihrer eigenen Firewall erzwingen und kontrollieren. Erzeugt wird ausschließlich eine menschenlesbare Software-Stückliste, die Sie vor der Weitergabe Zeile für Zeile prüfen können.

  1. Lokaler Scan

    Läuft vollständig bei Ihnen, ohne Internetzugang — per Firewall erzwingbar. Nur lesender Zugriff auf die Codebasis.

  2. Prüfbare Stückliste

    Ergebnis ist eine menschenlesbare SBOM: Komponenten und Nutzungsnachweise, kein Quellcode. Sie kontrollieren jede Zeile.

  3. Bewusster Upload

    Erst wenn Sie freigeben, laden Sie die Datei bei Resilvance hoch. Sie entscheiden, was Ihr Haus verlässt.

  4. Auswertung

    Wir gleichen nur Komponentenangaben mit den Schwachstellenquellen ab. Sensible Daten verlassen Ihr Haus zu keinem Zeitpunkt.

Sie müssen uns nicht vertrauen — Sie können es überprüfen.

So kommen Sie zu Ihrer Software-Stückliste

Die Stückliste ist der einzige Input, den Resilvance braucht — und Sie müssen sie nicht von Hand schreiben. Drei Wege, je nachdem, wie Ihre Software entsteht:

WEG 1

IN ENTWICKLUNG

Unser lokaler Scanner

Erzeugt die Stückliste automatisch aus Ihrer Codebasis — offline bei Ihnen im Haus, wie oben beschrieben. Kein Software-Wissen nötig: Ordner wählen, Scan starten, Ergebnis prüfen.

WEG 2

Ihr Entwicklungsteam

Für Entwickler ist das Routine: Gängige, frei verfügbare Werkzeuge erzeugen die Stückliste automatisch aus dem Software-Projekt — im Standardformat CycloneDX, das Sie hier direkt hochladen können. Auch Ihr Software-Dienstleister kann das.

WEG 3

Ihre Software-Lieferanten

Kaufen Sie Software oder Steuerungskomponenten zu, fordern Sie die Stückliste vom Lieferanten an — unter dem Cyber Resilience Act wird das zunehmend zur Pflicht der Zulieferer.

IN ENTWICKLUNG

Funktionsgenaue Betroffenheitsprüfung

Die nächste Ausbaustufe prüft nicht nur, ob eine verwundbare Bibliothek in Ihrem Produkt steckt, sondern ob die konkret verwundbare Funktion von Ihrem Code überhaupt erreicht wird. Das verkleinert die Zahl der Treffer, die Sie vertieft prüfen müssen — und liefert belegbare „nicht betroffen“-Aussagen (VEX) für Ihre Kunden. Die Betroffenheitsentscheidung bleibt dabei immer bei Ihnen.

JEDER FUND BEKOMMT EINE VON DREI EINSTUFUNGEN

Aufruf nachgewiesen
Aufruf der verwundbaren Funktion nachgewiesen (statisch)
Aufruf nicht nachgewiesen
Bibliothek genutzt — Aufruf der verwundbaren Funktion nicht nachgewiesen; statische Analyse kann dynamische Aufrufe übersehen
keine Funktionsdaten
Zu dieser Schwachstelle liegen keine Funktionsdaten vor — Prüfung auf Bibliotheksebene

Die Einstufung wird als eigene Spalte „Erreichbarkeit“ in der Komponentenübersicht erscheinen, im Detail eines Fundes mit Beleg — dem konkreten Aufrufpfad und der Advisory-Quelle, aus der die verwundbare Funktion stammt — und als vorbereiteter VEX-Entwurf, den Sie prüfen, ändern und erst dann freigeben.

Diese Ausbaustufe ist noch nicht verfügbar: Der Extraktor, der die Nutzungsnachweise aus Ihrem Code gewinnt, und die Advisory-Pipeline, die Schwachstellen ihren verwundbaren Funktionen zuordnet, sind in Entwicklung. Solange gilt der Weg oben — Prüfung auf Bibliotheksebene, und im Zweifel ziehen Sie für die vertiefte Prüfung punktuell einen Dienstleister hinzu.