Meldungen triagieren

Warum das zählt

Unstrukturierte Triage ist der Punkt, an dem die meisten Vulnerability-Disclosure-Programme scheitern. Gültige Meldungen gehen im Rauschen unter, SLA-Fristen werden überschritten, ohne dass es jemand bemerkt, und Forscher geben Ihr Programm auf. Das Kanban-Triage-Board gibt Ihrem Team eine gemeinsame Echtzeit-Ansicht aller offenen Meldungen mit integrierter SLA-Sichtbarkeit – damit nichts übersehen wird.

Das Triage-Board

Navigieren Sie zu VDP > Triage-Board, um alle Meldungen nach Status organisiert zu sehen. Jede Spalte repräsentiert eine Phase im Lebenszyklus der Meldung, und jede Karte repräsentiert eine einzelne Meldung.

Das Board unterstützt zwei Ansichten:

• Board-Ansicht – Kanban-Spalten mit Drag-and-Drop-Karten (Standard)
• Listenansicht – Sortierbare Tabelle mit denselben Filtern

Jede Meldungskarte zeigt:

Element	Beschreibung
Meldungs-ID	Präfixierter Bezeichner (z. B. RPT-abc123)
Titel	Schwachstellentitel, auf 40 Zeichen gekürzt
Schweregrad-Badge	Farbkodierter Schweregrad aus der Bewertung
SLA-Countdown	Verbleibende Zeit mit grünem/gelbem/rotem Indikator
Verantwortlicher	Avatar des Teammitglieds oder “Nicht zugewiesen”
Markierungen	Duplikat-Warnung oder KI-Screening-Badge, falls zutreffend

Nutzen Sie die Filterleiste oberhalb der Spalten, um Ihre Ansicht einzugrenzen:

• Schweregrad – Mehrfachauswahl (Informativ bis Super-kritisch)
• Verantwortlicher – Dropdown (Teammitglieder + “Nicht zugewiesen”)
• SLA – Im Zeitplan / Gefährdet / Überschritten
• Suche – Filtern nach Titel, Meldungs-ID oder Forscher-E-Mail

Die letzten drei Spalten (Fix Verified, Paid, Dismissed) sind standardmäßig eingeklappt und zeigen nur ihre Anzahl. Klicken Sie zum Aufklappen.

Lebenszyklus einer Meldung

Jede Meldung folgt einem definierten Zustandsautomaten. Ziehen Sie eine Karte zwischen Spalten auf dem Board oder verwenden Sie die Status-Steuerung im Banner der Meldungsseite – eine primäre Schaltfläche für den naheliegenden nächsten Schritt sowie ein Menü mit den übrigen gültigen Übergängen. Sie können jeder Statusänderung eine Notiz anhängen (sie erscheint in der Zeitleiste); für das Zurücksetzen einer Meldung ist eine Notiz erforderlich. Eine Ablehnung verlangt stets einen Grund: Wenn Sie eine Karte in die Spalte Dismissed ziehen, öffnet sich das Ablehnungs-Modal, statt die Meldung stillschweigend zu schließen (siehe Meldungen ablehnen).

                                ┌─────────────┐
                           ┌───>│   Dismissed  │
                           │    └─────────────┘
                           │  (von Submitted, Triaged, Needs
                           │   Clarification, Validated oder In Progress)
                           │
┌───────────┐  ┌─────────┐│  ┌───────────────────┐  ┌───────────┐
│ Submitted ├─>│ Triaged ├┴─>│    Validated       ├─>│In Progress│
└───────────┘  └────┬────┘   └─────────┬──────────┘  └─────┬─────┘
                    │                  │                    │
                    v                  v                    v
              ┌───────────────────┐                  ┌──────────┐
              │Needs Clarification│                  │ Resolved │
              └───────────────────┘                  └────┬─────┘
                                                          │
                                                          v
                                                   ┌──────────────┐
                                                   │ Fix Verified │
                                                   └──────┬───────┘
                                                          │
                                                          v
                                                      ┌──────┐
                                                      │ Paid │
                                                      └──────┘

Status	Bedeutung
Submitted	Ausgangszustand, nachdem ein Forscher das Einreichungsformular abgeschickt hat
Triaged	Das Team hat die Meldung geprüft und mit der Bewertung begonnen
Needs Clarification	Das Team hat eine Frage gestellt; wartet auf die Antwort des Forschers
Validated	Als echte, im Geltungsbereich liegende Schwachstelle bestätigt; Behebung beginnt
In Progress	Technische Behebung ist in Arbeit
Resolved	Fix wurde bereitgestellt; Forscher benachrichtigt
Fix Verified	Forscher hat bestätigt, dass der Fix funktioniert (optionaler Nachtest-Schritt)
Paid	Prämie ausgezahlt und Lebenszyklus abgeschlossen
Dismissed	Ohne Fix geschlossen – kann von Submitted, Triaged, Needs Clarification, Validated oder In Progress aus erfolgen

Zwei besondere Übergänge sind zu beachten:

• Dismissed kann von Submitted, Triaged, Needs Clarification, Validated oder In Progress aus erreicht werden (nicht von Resolved oder Fix Verified). Der Forscher wird immer mit einer Begründung benachrichtigt. Hat die Meldung eine genehmigte Prämie, wird diese bei der Ablehnung ebenfalls widerrufen – siehe Meldungen ablehnen weiter unten.
• Dismissed > Submitted öffnet eine Meldung erneut, wenn die Ablehnung irrtümlich erfolgte. Das erneute Öffnen stellt eine widerrufene Prämie nicht wieder her – genehmigen Sie manuell eine neue, sobald die Meldung erneut validiert ist.

Jeder Statusübergang wird im Audit-Trail der Meldung mit Akteur, Zeitstempel und optionalem Kommentar protokolliert. Details zum Senden von Nachrichten an Forscher in jeder Phase finden Sie unter Mit Forschern kommunizieren.

SLA-Indikatoren

Jede Meldungskarte zeigt ein SLA-Badge, damit Ihr Team überfällige Arbeit auf einen Blick erkennen kann. Die Bestätigungs-SLA-Uhr startet in dem Moment, in dem eine Meldung eingereicht wird.

Badge	Farbe	Bedeutung
Im Zeitplan	Grün	Deutlich innerhalb des SLA-Fensters
Gefährdet	Gelb	SLA-Frist nähert sich – handeln Sie bald
Überschritten	Rot	SLA-Frist ist abgelaufen

Nutzen Sie den SLA-Filter im Triage-Board und wählen Sie Überschritten, um sofort Meldungen sichtbar zu machen, die Aufmerksamkeit erfordern. SLA-Ziele werden pro Schweregrad konfiguriert unter VDP > Programmeinstellungen > SLAs.

KI-Screening

Jede eingereichte Meldung wird automatisch auf qualitativ minderwertige, KI-generierte Inhalte geprüft, bevor sie das Triage-Board erreicht. Das Screening läuft im Hintergrund und fügt seine Ergebnisse der Meldung innerhalb von Sekunden hinzu.

Der Screener prüft auf Signale, die auf massenproduzierte oder fabrizierte Meldungen hindeuten:

Signal	Was es erkennt
Halluzinierte Funktionen	Verweise auf Funktionsnamen, API-Methoden oder Dateipfade, die plausibel, aber wahrscheinlich erfunden sind
Fabrizierte CVEs	CVE-Nummern, die in öffentlichen Datenbanken nicht existieren
Bekannte CVE als neu gemeldet	Eine bekannte, öffentlich veröffentlichte Schwachstelle, die als neuer Fund präsentiert wird
Kein spezifischer PoC	Kein Proof-of-Concept, keine zielspezifischen Schritte, kein Soll-Ist-Vergleich der Ausgabe
Vage Reproduktionsschritte	Generische Schritte wie “navigieren Sie zur Anmeldeseite und geben Sie eine Payload ein”, die auf jede Anwendung zutreffen könnten
Template-Sprache	Vorgefertigte Phrasen wie “As a security researcher, I discovered…” ohne zielspezifischen Kontext
Template-Struktur	Starre nummerierte Abschnitte und fette Überschriften, die auf Copy-Paste aus einem Berichtsgenerator hindeuten
Generische Abhilfemaßnahmen	Allgemeinplätze wie “sanitize all inputs” ohne zielspezifische Anleitung
Inkonsistente technische Details	Technologien, Frameworks oder Versionen, die nicht zum Ziel-Endpunkt passen
Verweise auf nicht existierende Code-Elemente	Fabrizierte Commit-Hashes, Funktionsnamen oder Dateipfade, die nicht überprüfbar sind

Das Screening erzeugt einen Konfidenzwert (0–100) und eine Empfehlung:

Empfehlung	Wertbereich	Auswirkung
Pass	0–30	Meldung erscheint normal auf dem Board
Review	31–60	Meldung erscheint mit einem dezenten Review-Badge
Flag	61–100	Meldung wird mit einem KI-Screening-Badge auf der Kanban-Karte markiert

Das KI-Screening lehnt niemals automatisch eine Meldung ab. Markierte Meldungen bleiben vollständig sichtbar und triagierbar – das Badge macht Ihr Team lediglich darauf aufmerksam, dass der Inhalt besondere Prüfung verdienen könnte. Ihr Team trifft immer die endgültige Entscheidung.

Schweregrad bewerten

Öffnen Sie eine Meldung und klicken Sie auf Bewerten, um sie mit CVSS v3.1 zu bewerten. Der integrierte Rechner führt Sie durch acht Metriken:

Metrik	Optionen
Attack Vector	Network, Adjacent, Local, Physical
Attack Complexity	Low, High
Privileges Required	None, Low, High
User Interaction	None, Required
Scope	Unchanged, Changed
Confidentiality Impact	None, Low, High
Integrity Impact	None, Low, High
Availability Impact	None, Low, High

Das System berechnet automatisch den Basiswert und ordnet ihn einem Schweregrad zu:

Stufe	CVSS-Bereich
Super-kritisch	10,0
Kritisch	9,0–9,9
Hoch	7,0–8,9
Mittel	4,0–6,9
Niedrig	0,1–3,9
Informativ	0,0

Nach der Bewertung wird durch den Schweregrad eine vorgeschlagene Prämienspanne aus Ihrer Prämienmatrix freigeschaltet. Der CVSS-Vektorstring wird in der Meldung gespeichert und im Audit-Trail angezeigt. Bei Schweregrad Kritisch oder Super-kritisch wird eine Eskalationsbenachrichtigung an Ihre konfigurierten Eskalationskontakte gesendet.

Meldungen ablehnen

Öffnen Sie eine Meldung und klicken Sie auf Ablehnen, um sie ohne Fix zu schließen. Sie müssen einen Grund auswählen:

Grund	Wann verwenden
Außerhalb des Geltungsbereichs	Das Ziel ist nicht durch Ihre Geltungsbereichs-Konfiguration abgedeckt
Duplicate	Dieselbe Schwachstelle wurde bereits gemeldet – verlinken Sie auf das Original
Not Reproducible	Ihr Team konnte das Problem mit den angegebenen Schritten nicht reproduzieren
Informational	Keine ausnutzbare Schwachstelle; der Melder teilt einen allgemeinen Befund
Spam	Automatisierte oder offensichtlich qualitativ minderwertige Einreichung
KI-Spam	KI-generierter Inhalt mit fabrizierten oder halluzinierten Details

Fügen Sie optional eine Notiz hinzu, um die Entscheidung zu erläutern. Der Forscher erhält eine E-Mail mit Ihrer konfigurierten Ablehnungsvorlage, in der der Grund und die Notiz enthalten sind. Der Ablehnungsgrund wird dauerhaft im Audit-Trail protokolliert und kann nach dem Speichern nicht mehr bearbeitet werden.

Eine Meldung mit genehmigter Prämie ablehnen

Hat die Meldung eine genehmigte Prämie, wird diese bei der Ablehnung ebenfalls widerrufen. Das Ablehnungs-Modal zeigt eine gelbe Warnung mit Betrag, Genehmiger und Genehmigungsdatum, und die Absende-Schaltfläche ändert sich zu Ablehnen & Prämie über X $ widerrufen. Der Widerruf wird als bounty_revoked-Eintrag im unveränderlichen Hauptbuch erfasst, und die Ablehnungs-E-Mail informiert den Forscher, dass die Prämie zurückgezogen wurde und nicht ausgezahlt wird – der reguläre Einspruchsweg bleibt offen. Details finden Sie unter Prämien und Auszahlungen.

Zwei Schutzmechanismen gelten:

• Eine Prämie, deren Auszahlung Completed (bezahlt) ist, kann niemals widerrufen werden.
• Eine laufende Auszahlung (Status Pending oder Processing) blockiert die Ablehnung – markieren Sie die Auszahlung zuerst als fehlgeschlagen oder lassen Sie sie abschließen.

Wenn Sie eine Karte in die Dismissed-Spalte auf dem Board ziehen, öffnet sich dasselbe Ablehnungs-Modal – mit Grund-Auswahl und, sofern eine Prämie genehmigt ist, der Widerrufswarnung – sodass ein Ziehen auf dem Board niemals eine Meldung ablehnt (oder eine Prämie widerruft), ohne diesen Kontext. Es ist derselbe Ablauf wie über die Schaltfläche Ablehnen auf der Meldungsseite.

Wenn eine Ablehnung irrtümlich erfolgte, können Sie die Meldung aus der Dismissed-Spalte erneut öffnen, wodurch sie in den Status Submitted zurückkehrt. Das erneute Öffnen stellt eine widerrufene Prämie nicht wieder her – genehmigen Sie manuell eine neue, sobald die Meldung erneut validiert ist.

Einsprüche bearbeiten

Wenn ein Forscher eine Entscheidung anficht (siehe Forscherportal), erscheint auf der Meldungsseite ein Panel Einspruch des Forschers mit der Begründung des Forschers, und die Person in Bereitschaft wird mit einem Alarm benachrichtigt, der direkt darauf verlinkt.

Über das Panel bearbeitet ein Administrator den Einspruch:

• Annehmen – Sie stimmen dem Forscher zu. War die Meldung abgelehnt, öffnet die Annahme sie erneut und gibt sie über denselben auditierten Wiedereröffnungsweg wie oben beschrieben zurück in den Status Submitted (Sichtung). Der Forscher erhält eine E-Mail, dass der Einspruch angenommen wurde.
• Ablehnen – Sie halten an der ursprünglichen Entscheidung fest. Der Forscher erhält eine E-Mail, dass die Entscheidung bestehen bleibt.

Die Entscheidung, der Prüfer und der Zeitstempel werden in der Meldung festgehalten und ihrer Zeitleiste hinzugefügt. Wie beim erneuten Öffnen stellt die Annahme eines Einspruchs eine widerrufene Prämie nicht wieder her – genehmigen Sie eine neue, sobald die Meldung erneut validiert ist.

Meldungen zuweisen

Klicken Sie auf den Avatar des Verantwortlichen (oder “Zuweisen”) auf einer Meldungskarte oder Detailansicht, um ein Teammitglied zuzuweisen. Der Verantwortliche erhält eine In-App-Benachrichtigung und eine E-Mail.

Wenn die automatische Zuweisung aktiviert ist, werden eingehende Meldungen automatisch der Person in Bereitschaft zugewiesen. Wenn niemand in Bereitschaft ist, wird der Standardverantwortliche als Fallback verwendet. Siehe Bereitschafts-Rotation für Details zur Konfiguration von Schichten und Zeitplänen.

Für die Massenzuweisung wählen Sie mehrere Meldungskarten über ihre Kontrollkästchen aus und wählen Zuweisen aus der Massenaktionsleiste, die am unteren Rand des Boards erscheint.

Meldungen mit Schweregrad Kritisch und Super-kritisch senden automatisch eine Eskalations-E-Mail an Ihre konfigurierten Eskalationskontakte, unabhängig von der Zuweisung. Konfigurieren Sie Eskalationskontakte unter VDP > Programmeinstellungen > Triage.

Massenoperationen

Wählen Sie mehrere Meldungskarten über ihre Kontrollkästchen aus, um in den Massenauswahlmodus zu wechseln. Eine schwebende Aktionsleiste erscheint am unteren Rand des Boards mit drei Optionen:

Aktion	Beschreibung
Zuweisen	Alle ausgewählten Meldungen einem Teammitglied zuweisen
Ablehnen	Alle ausgewählten Meldungen mit einem gemeinsamen Grund ablehnen
Schweregrad ändern	Den Schweregrad aller ausgewählten Meldungen aktualisieren

Eine Massenablehnung erfordert die Auswahl eines einzelnen Grundes, der auf alle ausgewählten Meldungen zutrifft. Meldungen mit genehmigter Prämie werden übersprungen – der Bestätigungshinweis zeigt, wie viele übersprungen wurden –, da der Widerruf einer Prämie das Ablehnungs-Modal auf der jeweiligen Meldungsseite erfordert. Jede Massenoperation wird einzeln im Audit-Trail jeder betroffenen Meldung protokolliert.

Auf einen Blick

• Überprüfen Sie das Triage-Board täglich auf neue Einreichungen
• Prüfen Sie den SLA-Filter “Überschritten” auf überfällige Meldungen
• Bewerten Sie den Schweregrad (CVSS) bei jeder validierten Meldung
• Weisen Sie Meldungen Teammitgliedern mit Fachkenntnis zu
• Lehnen Sie eindeutig ungültige Meldungen umgehend ab, um die Warteschlange sauber zu halten
• Nutzen Sie “Needs Clarification”, wenn die Reproduktionsschritte unzureichend sind
• Prüfen Sie KI-markierte Meldungen mit besonderer Sorgfalt, bevor Sie sie ablehnen oder validieren

Wie geht es weiter

• Mit Forschern kommunizieren – Nachrichtenthreads, E-Mail-Vorlagen, Slack-Benachrichtigungen und @KitBot zu Meldungen befragen
• Prämien und Auszahlungen – Prämien vergeben, Steuerdokumente und das Finanzhauptbuch