Security.txt

Security.txt ist ein standardisiertes Textformat (RFC 9116), das Sicherheitsforschern den Kontaktweg für die Meldung von Schwachstellen angibt. Die Datei wird unter /.well-known/security.txt abgelegt und enthält mindestens eine Kontaktadresse und ein Ablaufdatum. Einfach. Wirkungsvoll. In fünf Minuten eingerichtet.

Warum security.txt wichtig ist

Stellen Sie sich vor, ein Sicherheitsforscher findet eine Schwachstelle auf Ihrer Website. Er will sie Ihnen melden — bevor ein Angreifer sie ausnutzt. Aber an wen? Das Impressum zeigt die Geschäftsführung. Der Support antwortet mit Textbausteinen. Die info@-Adresse geht ins Nirwana.

Das ist keine hypothetische Situation. Sicherheitsforscher berichten regelmäßig, dass sie Schwachstellen nicht melden können, weil der richtige Ansprechpartner nicht auffindbar ist. Die Folge: Die Schwachstelle bleibt offen — oder wird öffentlich gemacht, bevor sie behoben ist.

Security.txt löst dieses Problem mit einer einzigen Datei: Ein standardisierter Ort, den jeder Sicherheitsforscher kennt, mit einer klaren Kontaktadresse und einem definierten Prozess.

Pflichtfelder nach RFC 9116

• Contact: — E-Mail-Adresse oder URL für Sicherheitsmeldungen (Pflicht, kann mehrfach vorkommen)
• Expires: — Ablaufdatum der Datei im ISO-8601-Format (Pflicht seit RFC 9116)

Optionale Felder

• Encryption: — URL zu einem PGP-Schlüssel für verschlüsselte Kommunikation
• Preferred-Languages: — Bevorzugte Sprachen (z. B. de, en)
• Policy: — Link zur Responsible-Disclosure-Richtlinie
• Acknowledgments: — Link zu einer Seite, die Sicherheitsforscher würdigt
• Hiring: — Link zu Security-Stellenangeboten
• Canonical: — URL der kanonischen Version der security.txt

Beispiel: security.txt einrichten

Schritt 1: Erstellen Sie die Datei /.well-known/security.txt auf Ihrem Webserver:

# /.well-known/security.txt
Contact: mailto:security@example.de
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://example.de/.well-known/security.txt

Schritt 2: Stellen Sie sicher, dass die Datei über HTTPS erreichbar ist. Testen Sie: https://example.de/.well-known/security.txt

Schritt 3: Tragen Sie das Ablaufdatum in Ihren Kalender ein. Wenn die Datei abläuft, ist sie ungültig — Sicherheitsforscher werden sie ignorieren.

Wer setzt security.txt ein?

Die Liste ist beeindruckend: Google, Facebook, GitHub, das BSI, die Bundesregierung, die Europäische Kommission. Auch viele deutsche Unternehmen und Behörden setzen security.txt mittlerweile ein. Das BSI empfiehlt die Einrichtung ausdrücklich als Bestandteil einer professionellen Sicherheitskultur.

Häufige Fehler

• Nur unter /security.txt statt /.well-known/security.txt — RFC 9116 definiert /.well-known/security.txt als primären Speicherort. /security.txt im Root wird als Fallback akzeptiert, aber der .well-known-Pfad ist Standard.
• Abgelaufenes Expires-Datum — Eine abgelaufene security.txt ist wertlos. Setzen Sie das Datum nicht zu weit in die Zukunft (max. 1 Jahr) und erneuern Sie es rechtzeitig.
• Nicht über HTTPS erreichbar — Die Datei muss über HTTPS ausgeliefert werden, damit ihre Integrität gewährleistet ist.
• info@-Adresse als Contact — Sicherheitsmeldungen gehen in der allgemeinen Info-Mailbox unter. Richten Sie eine dedizierte Adresse ein (z. B. security@).

Ist security.txt verpflichtend?

Nein — aber die Frage ist falsch gestellt.

Es gibt keine gesetzliche Pflicht. Aber DSGVO Art. 32 verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Ein klarer Kontaktweg für Sicherheitsmeldungen ist eine organisatorische Maßnahme, die fast keinen Aufwand erfordert. Wenn eine Schwachstelle ungemeldet bleibt, weil kein Kontaktweg existiert, und dadurch Daten abfließen — dann war die fehlende security.txt im Nachhinein eine vermeidbare Lücke.

Verwandte Begriffe

• HTTP Security Headers
• HTTPS / SSL / TLS

Weiterführende Ratgeber:

• HTTP Security Headers: Welche Ihre Website wirklich braucht
• HTTPS einrichten: SSL-Zertifikat installieren