Du hast für Deine Webseite vermutlich an einiges gedacht. Ein Backup läuft, das Login ist abgesichert, und für den Ernstfall liegt ein Plan bereit. Eine Sache fehlt aber den meisten Seiten, und zwar der Weg nach innen. Wenn jemand von außen eine Sicherheitslücke entdeckt, weiß er oft nicht, wohin er sie melden soll.
Stell es Dir wie ein gut gesichertes Haus ohne Klingel vor. Schloss und Alarmanlage sind da, aber wer Dir etwas Wichtiges sagen will, steht ratlos vor der Tür. Genau diese Klingel ist security.txt. Eine winzige Datei, die einem ehrlichen Finder den Weg zu Dir weist.
Warum jemand Deine Webseite prüft
Das Internet wird ständig durchsucht, oft von Menschen mit guten Absichten. Sicherheitsforscher, Studierende und neugierige Technik-Fans scannen Domains und stoßen dabei manchmal auf eine Schwachstelle. Auch eine veraltete Erweiterung in Deinem System kann so auffallen, ohne dass es Dir je aufgefallen wäre.
Der ehrliche Finder will Dir helfen. Doch wenn er keinen Weg findet, Dich zu erreichen, hat er drei Möglichkeiten. Er schweigt, und die Lücke bleibt offen. Er schreibt blind an eine info-Adresse, die niemand liest. Oder die Information landet bei jemandem, der sie gegen Dich verwendet.
Ein klarer Meldekanal sorgt dafür, dass die erste Variante gewinnt. Der Finder erreicht Dich, Du schließt die Lücke, und niemand kommt zu Schaden.
Was security.txt eigentlich ist
security.txt ist eine schlichte Textdatei, die an einer fest vereinbarten Stelle Deiner Webseite liegt. Der genaue Ort ist im Verzeichnis /.well-known/ direkt unter Deiner Domain. Jeder Sicherheitsforscher kennt diese Adresse und schaut dort zuerst nach.
Hinter der Datei steht mit RFC 9116 ein offizieller Standard, also eine verbindliche Vereinbarung darüber, wie so eine Meldeadresse aussieht. Große Unternehmen, Behörden und viele Hoster setzen sie längst ein. Für Deine eigene Webseite ist sie genauso sinnvoll und in wenigen Minuten eingerichtet.
Inhaltlich ist die Datei bewusst einfach gehalten. Sie nennt in wenigen Zeilen, an wen sich ein Finder wenden soll und worauf er sich dabei verlassen kann. Mehr braucht es nicht.
Welche Angaben in die Datei gehören
Ein paar Felder bilden den Kern, und jedes hat eine klare Aufgabe. Du musst nicht alle ausfüllen, aber die erste Angabe ist Pflicht.
- Contact: Die Adresse, unter der Dich ein Finder erreicht. Eine E-Mail wie security@deine-domain reicht völlig, ein Link zu einem Meldeformular geht auch.
- Expires: Ein Ablaufdatum, ab dem die Angaben überprüft werden sollen. So bleibt die Datei aktuell und verweist nie auf eine tote Adresse.
- Encryption: Ein Hinweis darauf, wie Dir jemand eine verschlüsselte Nachricht schicken kann. Sinnvoll, wenn die Lücke selbst heikel ist und unterwegs niemand mitlesen soll.
- Policy: Ein Link zu einer kurzen Seite, auf der Du beschreibst, wie Du mit Meldungen umgehst und was sich ein Finder von Dir erwarten darf.
Für den Anfang genügen die ersten beiden Felder. Damit hat ein Finder eine Adresse und die Gewissheit, dass sie gepflegt wird.
Wie Du die Datei anlegst
Die Datei ist reiner Text, den Du in jedem einfachen Editor schreibst. Pro Zeile steht ein Feldname, dahinter Dein Eintrag. Anschließend lädst Du sie über Deinen Hoster oder Dein System in das Verzeichnis /.well-known/ hoch, sodass sie unter Deiner Domain erreichbar ist.
Arbeitest Du mit einer Agentur oder einem Hoster zusammen, ist das eine kleine Aufgabe, die Du kurz beauftragst. Sag, dass Du eine security.txt nach RFC 9116 mit einer Kontaktadresse hinterlegt haben möchtest. Das ist verstanden und meist in Minuten erledigt.
Achte bei der Kontaktadresse darauf, dass sie auch wirklich gelesen wird. Eine eigene Adresse für Sicherheitsmeldungen, die in Deinem normalen Postfach landet, ist hier die sicherste Wahl. Wie bei jedem öffentlich genannten Kontakt lohnt sich ein Blick auf Social Engineering, denn auch eine Meldeadresse kann ein Einfallstor für Täuschungsversuche sein.
Was nach der ersten Meldung passiert
Irgendwann kommt die erste echte Meldung, und dann beginnt die sogenannte Triage. Damit ist das ruhige Sortieren gemeint. Du prüfst, ob die gemeldete Lücke echt ist, wie schwer sie wiegt und wie dringend Du handeln musst.
Bestätige dem Finder zuerst kurz, dass seine Nachricht angekommen ist. Allein das schafft Vertrauen und hält ihn davon ab, die Sache anderswo öffentlich zu machen. Danach schaust Du Dir den Hinweis in Ruhe an, statt sofort in Aktionismus zu verfallen.
Stellt sich die Lücke als ernst heraus, greift Dein Notfallplan für die Website. security.txt ist der Eingangskanal, der Notfallplan die geordnete Reaktion dahinter. Beide zusammen verwandeln eine böse Überraschung in einen geübten Ablauf.
Häufige Fehler, die den Kanal entwerten
Der häufigste Fehler ist eine Kontaktadresse, die niemand liest. Eine security.txt, deren Meldung in einem vergessenen Postfach versickert, ist schlechter als gar keine, weil sie ein falsches Versprechen gibt. Lege die Adresse darum auf ein Postfach, das Du täglich siehst.
Ein zweiter Stolperstein ist ein abgelaufenes Datum im Expires-Feld. Steht dort ein Termin, der längst vorbei ist, wirkt Deine Seite verwaist, und mancher Finder meldet dann gar nicht erst. Setze Dir eine jährliche Erinnerung, die Angaben einmal durchzugehen.
Drittens lohnt es sich, die Datei in dieselbe stille Grundausstattung einzureihen wie die unsichtbaren Security-Header. Beide arbeiten im Hintergrund, beide sieht ein Besucher nie, und beide zeigen Profis, dass hinter Deiner Webseite jemand mit Sorgfalt steht.
Fazit
security.txt kostet Dich ein paar Minuten und schließt eine Lücke, die den meisten kleinen Webseiten gar nicht bewusst ist. Du gibst ehrlichen Findern eine Adresse, statt sie ratlos vor verschlossener Tür stehen zu lassen.
Lege die Datei mit einer gepflegten Kontaktadresse an, hänge sie an Deinen Notfallplan, und prüfe sie einmal im Jahr. So wird aus einer unbeachteten Lücke ein ruhiger, vorbereiteter Weg, falls doch einmal jemand klingelt.