Was ist das?
Die security.txt ist eine kleine Textdatei nach RFC 9116, die im versteckten
Pfad /.well-known/security.txt Ihrer Website liegt. Sie sagt Sicherheits- Forscherinnen
und -Forschern auf einen Blick, an welche Adresse sie Schwachstellen melden können (Mail, PGP-Key,
Web-Formular) - und in welchen Sprachen, mit welcher Antwortzeit, unter welcher Disclosure-Policy.
Ohne security.txt landen Meldungen entweder im allgemeinen Postfach (wo sie
liegenbleiben) oder gar nicht (weil der Finder keine Adresse findet und resigniert). Mit security.txt bekommen Sie strukturierte, ernst gemeinte Reports.
Wann brauche ich das?
Direkt nützlich wenn Sie eine Web-Anwendung, eine Login-Maske, einen API-Endpunkt oder einen Online-Dienst betreiben - kurz gesagt: alles wo unsachgemäße Nutzung Daten abgreifen oder Schaden anrichten kann.
Ab September 2026 Pflicht für Hersteller digitaler Produkte mit Marktzugang
in der EU. Der EU Cyber Resilience Act (CRA) verlangt einen veröffentlichten, koordinierten
Disclosure-Kanal - security.txt ist der einfachste Weg, diese Pflicht zu erfüllen.