Das Forscherportal
Wie Forscher Meldungen einreichen, den Status verfolgen, Entscheidungen anfechten und Auszahlungsinformationen über das sichere Portal einrichten.
Warum das zählt
Forscher reichen deutlich eher über ein transparentes, strukturiertes Portal ein als über einen anonymen security@-Posteingang. Ein klarer Einreichungsablauf mit integrierter Statusverfolgung zeigt Forschern, dass Sie ihre Arbeit ernst nehmen, was qualitativ hochwertigere Meldungen anzieht und langfristiges Vertrauen in der Sicherheits-Community aufbaut.
Das Forscherportal von Kit nutzt Magic-Link-Authentifizierung — keine Passwörter zu verwalten, keine Konten anzulegen. Das nimmt einmaligen Forschern die Hürde und sorgt zugleich für Nachvollziehbarkeit und einen sicheren Kommunikationskanal für jede Meldung.
Was Forscher sehen
Das Forscherportal liegt unter einer eigenen URL, getrennt von Ihrem Mitarbeiter-Dashboard:
/security/{program-slug}/
Dies ist ein öffentlich zugängliches Portal — getrennt von der Kit-Admin-Oberfläche, die Ihr Team verwendet. Das Erlebnis ist nach drei Prinzipien gestaltet:
Benutzerdefinierte Domain (VDP-Add-on)
Mit dem VDP-Add-on können Sie Ihr Sicherheitsportal unter Ihrer eigenen Domain bereitstellen — zum Beispiel security.yourcompany.com — statt unter dem standardmäßigen Kit-Subdomain-Pfad. Richten Sie einen DNS-CNAME-Eintrag auf Kit und fügen Sie die Domain unter Kontoeinstellungen > Benutzerdefinierte Domains hinzu. Sobald die Domain verifiziert und aktiv ist, werden alle Portal-URLs (/policy, /report, /hall-of-fame, /.well-known/security.txt) direkt von Ihrer Domain ohne Pfadpräfix ausgeliefert.
Benutzerdefinierte Domains für das Sicherheitsportal erfordern das VDP-Add-on (49 $/Monat).
- Niedrige Einstiegshürde — Keine Anmeldung erforderlich, um eine Meldung einzureichen. Forscher benötigen nur eine E-Mail-Adresse.
- Transparenz nach der Einreichung — Sobald eine Meldung eingereicht ist, erhält der Forscher per E-Mail einen Magic Link für den Zugang zu seinem Portal. Dort kann er seine eingereichten Meldungen, den aktuellen Status jeder Meldung, den Nachrichtenthread mit Ihrem Team und einen Zeitverlauf der Ereignisse einsehen.
- Strenge Isolation — Forscher können keine internen Mitarbeiternotizen, Meldungen anderer Forscher oder Details jenseits ihrer eigenen Einreichungen sehen.
Eine Meldung einreichen
Das öffentliche Einreichungsformular ist unter /security/{program-slug}/report verfügbar. Kein Konto erforderlich — der Forscher gibt eine E-Mail-Adresse an und Kit erledigt den Rest.
Pflichtfelder
| Feld | Beschreibung |
|---|---|
| Schwachstellentyp | OWASP-Kategorie aus einem Dropdown (SQL Injection, XSS, Broken Auth, IDOR, SSRF, RCE usw.) |
| Betroffener Endpunkt | Die URL oder Systemkomponente, in der die Schwachstelle existiert |
| Schweregrad (Selbsteinschätzung) | Die eigene Einschätzung des Forschers — nicht bindend für die endgültige Bewertung Ihres Teams |
| Beschreibung | Vollständige Details der Schwachstelle mit Markdown-Unterstützung |
| Reproduktionsschritte | Schritt-für-Schritt-Anleitung zur Reproduktion des Problems |
| Auswirkung | Welche Daten oder Funktionen bei Ausnutzung der Schwachstelle gefährdet sind |
| E-Mail-Adresse | Wird für den Magic-Link-Portalzugang und alle Benachrichtigungen verwendet |
Forscher können auch Dateien anhängen — Screenshots, Proof-of-Concept-Code oder Videoaufnahmen. Diese sind optional, werden aber bei komplexen Schwachstellen empfohlen.
Bei der Einreichung wird eine CAPTCHA-Abfrage angezeigt, und pro IP-Adresse gilt eine Ratenbegrenzung, damit automatisierter Spam Ihre Sichtungs-Warteschlange gar nicht erst erreicht.
Nach der Einreichung
Sobald eine Meldung eingereicht ist, passieren zwei Dinge sofort:
- Die Meldung erscheint in der Sichtungs-Warteschlange Ihres Teams (siehe Meldungen sichten)
- Der Forscher erhält eine Bestätigungs-E-Mail mit einem Magic Link zu seinem Portal
Der Magic Link gewährt Zugang zum Forscherportal ganz ohne Passwort. Jede weitere E-Mail-Benachrichtigung enthält über die Vorlagenvariable {{ portal_link }} ebenfalls einen frischen Portal-Link.
Magic-Link-Authentifizierung
Das Portal verwendet E-Mail-basierte Magic Links anstelle von Passwörtern. So funktioniert es:
- Der Forscher besucht
/security/{program-slug}/und gibt seine E-Mail-Adresse ein - Kit sendet einen einmaligen Login-Link an diese Adresse
- Ein Klick auf den Link authentifiziert den Forscher und öffnet sein Portal
- Die Sitzung bleibt bestehen, bis der Browser geschlossen wird oder der Link abläuft
Hat ein Forscher keine bestehende Sitzung, kann er jederzeit über die Portal-Anmeldeseite einen neuen Magic Link anfordern. Für Erstbesucher steht auf der Anmeldeseite außerdem ein Link „Neue Meldung einreichen“ bereit.
Meldungsstatus einsehen
Vom Portal aus sehen Forscher eine Liste aller von ihnen eingereichten Meldungen. Jede Meldungskarte zeigt:
| Element | Details |
|---|---|
| Meldungs-ID | Eindeutiger präfixierter Bezeichner (z. B. RPT-abc123) |
| Titel | Der Schwachstellentitel aus der Einreichung |
| Schweregrad | Wird angezeigt, sobald Ihr Team die Bewertung abgeschlossen hat |
| Status | Aktueller Status in verständlicher Sprache (z. B. „Validiert“, „In Bearbeitung“, „Behoben“) |
| Prämie | Betrag und Status, falls eine Prämie genehmigt wurde |
| Einreichungsdatum | Wann die Meldung ursprünglich eingereicht wurde |
Ein Klick auf eine Meldung zeigt die vollständige Detailansicht: den ursprünglichen Einreichungsinhalt, den aktuellen Status mit Erläuterung, den Nachrichtenthread (nur externe Nachrichten — interne Mitarbeiternotizen sind verborgen) und einen Zeitverlauf aller Übergänge.
Forscher können Meldungsdetails nach der Einreichung nicht mehr bearbeiten. Sie können mit Ihrem Team kommunizieren, indem sie Nachrichten im Meldungsthread senden — dem primären Kanal für Rückfragen und Statusupdates. Wie Ihr Team diese Gespräche führt, lesen Sie unter Mit Forschern kommunizieren.
Einsprüche
Wenn Ihr Team eine Meldung ablehnt, hat der Forscher die Möglichkeit, die Entscheidung direkt über das Portal anzufechten.
So funktionieren Einsprüche
- Der Forscher öffnet die abgelehnte Meldung in seinem Portal
- Er klickt auf Einspruch und gibt eine schriftliche Begründung an (mindestens 10 Zeichen)
- Der Einspruch wird eingereicht, und Ihr Team wird über die E-Mail-Vorlage
appeal_received, einen Bereitschaftsalarm und eine Slack-Benachrichtigung (falls konfiguriert) informiert — jede davon verlinkt direkt auf das Einspruchs-Panel der Meldung - Ihr Team prüft den Einspruch in der Meldungsdetailansicht und kann ihn entweder annehmen oder ablehnen:
- Annehmen — Ihr Team stimmt dem Forscher zu. War die Meldung abgelehnt, öffnet die Annahme sie erneut und gibt sie zurück in die Sichtung. Der Forscher erhält eine E-Mail, dass der Einspruch angenommen wurde.
- Ablehnen — Ihr Team hält an der ursprünglichen Entscheidung fest. Der Forscher erhält eine E-Mail, dass die Entscheidung bestehen bleibt.
So oder so werden die Entscheidung, der Prüfer und der Zeitstempel in der Meldung festgehalten. Die Team-Seite dieses Ablaufs finden Sie unter Meldungen sichten.
Einspruchslimits
Jede Meldung hat eine konfigurierbare maximale Anzahl an Einsprüchen. Der Standard liegt bei 3 Einsprüchen pro Meldung. Sie können dieses Limit in den Sichtungs-Einstellungen Ihres Programms anpassen. Das Portal zeigt an, wie viele Einsprüche bereits genutzt wurden (z. B. „Einsprüche genutzt: 1 von 3“), damit Forscher wissen, wo sie stehen.
NDA / Vereinbarung
Sie können optional verlangen, dass Forscher eine Programmvereinbarung akzeptieren, bevor eine Prämie ausgezahlt wird. Das ist nützlich für Geheimhaltungsvereinbarungen oder Bedingungen zur koordinierten Offenlegung.
- Konfigurieren Sie den Vereinbarungstext in den Programmeinstellungen mit dem Rich-Text-Editor
- Sobald eine Prämie genehmigt wird, sieht der Forscher in seinem Portal die Aufforderung Vereinbarung akzeptieren
- Die Zustimmung wird mit Zeitstempel erfasst
- Der Forscher kann optional eine unterschriebene Kopie des Dokuments hochladen
Die Zustimmung zur Vereinbarung ist Voraussetzung für die Auszahlung — ist sie aktiviert, läuft die Auszahlungs-Pipeline erst weiter, wenn der Forscher akzeptiert hat.
Auszahlungseinrichtung (VDP-Add-on)
Nachdem Ihr Team eine Prämie genehmigt hat, wird der Forscher in seinem Portal aufgefordert, Auszahlungsinformationen anzugeben. Dieser Bereich ist nur mit dem VDP-Add-on (49 $/Monat) verfügbar.
Welche Auszahlungsmethoden unterstützt werden, hängt davon ab, was Sie in den Programmeinstellungen konfiguriert haben:
- Banküberweisung — Der Forscher gibt seine Bankverbindung an
- PayPal — Der Forscher gibt seine PayPal-E-Mail-Adresse an
- Krypto — Der Forscher gibt eine Wallet-Adresse an
Auszahlungsinformationen werden im Ruhezustand verschlüsselt. Nach dem Absenden werden die vollständigen Daten nie wieder im Portal angezeigt — der Forscher sieht nur eine Bestätigung, dass seine Informationen hinterlegt sind. Ihr Team nutzt diese Informationen ausschließlich, um die Überweisung durchzuführen. Den vollständigen Auszahlungsablauf finden Sie unter Prämien und Auszahlungen.
Steuerdokumente (VDP-Add-on)
Für Programme, die vor der Auszahlung Steuerunterlagen erfordern, laden Forscher ihre Formulare direkt über das Portal hoch. Dieser Bereich ist nur mit dem VDP-Add-on (49 $/Monat) verfügbar.
| Dokument | Wer es benötigt | Zweck |
|---|---|---|
| W-9 | In den USA ansässige Forscher | Vom IRS für inländische Zahlungen über 600 $/Jahr vorgeschrieben |
| W-8BEN | Forscher außerhalb der USA | Bestätigt den Auslandsstatus und beansprucht Abkommensvorteile zur Reduzierung der Quellensteuer |
Ablauf des Uploads:
- Nachdem eine Prämie genehmigt wurde, sieht der Forscher in seinem Portal die Aufforderung, das passende Steuerdokument hochzuladen
- Der Forscher wählt den Dokumenttyp (W-9 oder W-8BEN) und lädt die Datei hoch
- Ihr Team prüft das Dokument und markiert es im Bereich „Steuerdokumente“ des Mitarbeiter-Dashboards als verifiziert oder abgelehnt
- Bei Ablehnung wird der Forscher benachrichtigt und kann eine korrigierte Version hochladen
Ein wiederkehrender Hintergrundjob überwacht die Ablaufdaten der Dokumente und schickt Forschern Erinnerungen, wenn ihre Dokumente bald ablaufen. Ist diese Anforderung in Ihren Programmeinstellungen aktiviert, ist die Verifizierung der Steuerdokumente Voraussetzung für die Auszahlung.
Zugriffskontrolle: Nur auf Einladung
Standardmäßig ist Ihr Sicherheitsportal für jeden mit der URL öffentlich zugänglich. Sie können in den Nur-auf-Einladung-Modus wechseln, um einzuschränken, wer Meldungen einreichen kann — nützlich für private Programme, Early-Access-Betas oder Programme, die auf eine kuratierte Forscherliste beschränkt sind.
So aktivieren Sie ihn: Gehen Sie zu VDP > Sicherheitsportal-Einstellungen und setzen Sie die Zugriffskontrolle auf Nur auf Einladung. Kit erzeugt automatisch einen geheimen Zugangstoken. Teilen Sie die daraus entstehende Einladungs-URL direkt mit vertrauenswürdigen Forschern — sie enthält den Token und gewährt beim Klick eine dauerhafte Browsersitzung.
Formular für Zugangsanfragen
Wenn ein Besucher ohne gültigen Token auf Ihrem gesperrten Portal landet, sieht er statt einer Sackgasse ein kurzes Formular Zugang anfragen. Er kann seine E-Mail-Adresse und eine optionale Nachricht eingeben, die sein Interesse erklärt. Sie sind nicht verpflichtet, jede Anfrage zu genehmigen, und das Absenden des Formulars verrät dem Besucher nicht, ob seine E-Mail bereits aussteht — das verhindert eine Enumeration.
Wenn eine Anfrage eingeht:
- Eine Benachrichtigungs-E-Mail wird an Ihre
security.txt-Kontakt-E-Mail (oder ersatzweise an die Abrechnungs-E-Mail des Kontos) gesendet - Der Eintrag Zugangsanfragen erscheint in der VDP-Seitenleiste unter „Konfiguration“, mit einem Badge, das die Anzahl ausstehender Anfragen anzeigt
- Öffnen Sie VDP > Zugangsanfragen, um ausstehende Anfragen zu prüfen — E-Mail-Adresse, optionale Nachricht und Einreichungsdatum werden angezeigt
- Klicken Sie auf Genehmigen und Einladung senden, um dem Anfragenden seinen persönlichen Einladungslink in einem Schritt zu schicken
Der bei der Genehmigung gesendete Einladungslink ist dieselbe tokenbasierte URL, die Sie auch manuell teilen würden. Sobald ein Forscher darauf klickt, hat er eine dauerhafte Sitzung und kann Meldungen wie gewohnt einreichen.
Hall of Fame
Forscher können sich über ihr Portalprofil für die öffentliche Hall of Fame Ihres Programms anmelden. Das ist vollkommen freiwillig — kein Forscher wird ohne seine ausdrückliche Zustimmung gelistet.
So funktioniert es:
- Auf der Portalprofilseite aktiviert der Forscher Mein Handle öffentlich anzeigen
- Auf der öffentlichen Bestenliste wird nur sein Handle angezeigt — niemals sein echter Name oder seine E-Mail-Adresse
- Ihr Team kann bestimmte Forscher über die Hall-of-Fame-Verwaltungsseite im Mitarbeiter-Dashboard hervorheben (hervorgehobene Forscher erscheinen zuerst)
- Die öffentliche Hall of Fame ist unter
/security/{program-slug}/hall-of-fameerreichbar
Die Hall of Fame ist ein kostengünstiger Anreiz, der besonders gut für reine Anerkennungsprogramme (ohne monetäre Prämien) funktioniert. Aktivieren Sie sie in den Programmeinstellungen, um Forschern einen Grund zur Teilnahme zu geben.
Auf einen Blick
-
Überprüfen Sie die URL Ihres Einreichungsformulars (
/security/{program-slug}/report) und verlinken Sie sie in Ihrer security.txt und in der Website-Fußzeile -
(VDP-Add-on) Richten Sie unter Kontoeinstellungen > Benutzerdefinierte Domains eine benutzerdefinierte Domain ein (z. B.
security.yourcompany.com) für ein gebrandetes Forschererlebnis - Testen Sie den Magic-Link-Ablauf, indem Sie mit einer privaten E-Mail-Adresse eine Testmeldung einreichen
-
Passen Sie die E-Mail-Vorlage
report_acknowledgedan, damit Forscher wissen, was sie nach der Einreichung erwartet - Konfigurieren Sie das Einspruchslimit in den Sichtungs-Einstellungen (Standard: 3 pro Meldung)
- Richten Sie eine NDA/Vereinbarung ein, falls Ihr Programm eine solche vor der Auszahlung verlangt
- Aktivieren Sie die Hall of Fame in den Programmeinstellungen, um die Teilnahme von Forschern zu fördern
- Wenn Sie ein privates Programm betreiben, aktivieren Sie die Nur-auf-Einladung-Zugriffskontrolle in den Sicherheitsportal-Einstellungen und teilen Sie die Einladungs-URL mit vertrauenswürdigen Forschern
- Wenn Sie das VDP-Add-on nutzen, prüfen Sie, ob Auszahlungsmethoden und Anforderungen an Steuerdokumente korrekt konfiguriert sind
Wie geht es weiter
- Prämien und Auszahlungen — die vollständige Auszahlungs-Pipeline, Steuerdokumente und das Finanzhauptbuch
- Mit Forschern kommunizieren — Nachrichtenthreads und E-Mail-Vorlagen