security.txt

security.txt ist eine Datei, die die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Das Schema dieser Datei ist im Request for Comments (RFC) 9116^[1] definiert und sieht unter anderem die Angabe relevanter Kontaktinformationen vor.^[2][3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.

Mit dem Schema, das im April 2022 von der Internet Engineering Task Force veröffentlicht wurde,^[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) unter einer vorgeschriebenen Internetadresse hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.^[4]

security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.^[5] Das Bundesamt für Cybersicherheit in der Schweiz empfiehlt den Unternehmen den Einsatz einer solchen Datei, da beim Entdecken von Schwachstellen häufig spezifischen Kontaktangaben kaum auffindbar oder nicht publiziert seien. Es gebe zwar oft nur eine zentrale Telefonnummer oder eine allgemeine E-Mail-Adresse. Als Konsequenz müsse sich die meldende Person bis zur richtigen Ansprechperson durchfragen und das Problem mehrfach erklären, wodurch Zeit verloren gehe.^[6] Trotz der behördlichen Empfehlung wurden bei einer Auswertung von watson.ch im Jahr 2022 nur bei rund 40 der 1000 meist aufgesuchten Webadressen in der Schweiz eine solche Datei gefunden.^[7]

security.txt-Dateien werden im Verzeichnis /.well-known/ (d. h. /.well-known/security.txt) oder im Stammverzeichnis (d. h. /security.txt) einer Website hinterlegt. Die Datei muss über HTTPS als reine Textdatei mit Internet Media Type text/plain vom Webserver zurückgegeben werden.

Die Angaben in der Datei stellen eine Schlüssel-Werte-Datenbank dar mit vorgegebenen und freiwilligen Angaben. Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei (in der Tabelle mit ✓ gekennzeichnet). Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.

• robots.txt

• Website zum Request for Proposal. securitytxt.org
• https://de.wikipedia.org/.well-known/security.txt – Beispiel einer security.txt-Datei: deutschsprachige Wikipedia

1. 1 2 Edwin Foudil, Yakov Shafranovich: RFC: 9116 – A File Format to Aid in Security Vulnerability Disclosure. April 2022 (englisch).
2. ↑ John Leyden: Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws… but who the heck do you tell? In: theregister.co.uk. 3. Januar 2018, abgerufen am 14. April 2019 (englisch). 
3. ↑ Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer, abgerufen am 14. April 2019 (amerikanisches Englisch). 
4. ↑ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence, abgerufen am 14. April 2019 (amerikanisches Englisch). 
5. ↑ Catalin Cimpanu: iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet, 29. November 2019, abgerufen am 16. Juni 2020 (englisch). 
6. ↑ Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS: Security.txt - Hinterlegen Sie Ihren Sicherheitskontakt auf Ihrer Webseite. Abgerufen am 20. Februar 2025. 
7. ↑ Petar Marjanović: security.txt: Eine Idee will das Internet sicherer machen. Abgerufen am 20. Februar 2025.