security.txt – so stellst du sicher, dass Sicherheitsforscher dich bei Problemen erreichen

Die Datei security.txt ist ein internationaler Standard, der festlegt, wie Sicherheitsforscher, CERTs oder Dritte dich im Falle eines Sicherheitsvorfalls kontaktieren können.
Sie ist das digitale Pendant zu einem Notfall-Kontaktformular für IT-Sicherheit und hilft, bei Schwachstellen oder Missbrauchsfällen schnell die richtige Ansprechperson zu finden.

Was ist die security.txt?

Die Datei liegt auf deiner Domain unter
https://www.deine-domain.ch/.well-known/security.txt

Darin stehen Kontaktinformationen, damit externe Spezialisten oder ethische Hacker Sicherheitsprobleme direkt und verantwortungsvoll melden können.

Ein Beispiel für eine einfache security.txt:

Contact: mailto:security@meinefirma.ch
Encryption: https://www.meinefirma.ch/pgp-key.txt
Acknowledgments: https://www.meinefirma.ch/security-thanks.html
Preferred-Languages: de, en
Canonical: https://www.meinefirma.ch/.well-known/security.txt

Warum das wichtig ist

  1. Schnelle Reaktionszeit: Wenn eine Schwachstelle entdeckt wird, wissen Sicherheitsforscher sofort, an wen sie sich wenden müssen.
  2. Vertrauen: Eine öffentlich zugängliche security.txt zeigt, dass du verantwortungsvoll mit IT-Sicherheit umgehst.
  3. Reputation: Du vermeidest, dass Sicherheitslücken publik werden, bevor du reagieren konntest.
  4. Compliance: Viele Cybersecurity-Frameworks und ISO-Zertifizierungen empfehlen oder verlangen diese Datei.

Verbindung mit dem Schweizer BACS-System

In der Schweiz wurde zusätzlich das BACS-System (Bug- and Abuse-Contact-System) eingeführt.
Damit können Sicherheitskontakte zentral über eine standardisierte Datenbank abgefragt werden.
Wenn du deine security.txt ergänzt oder im BACS registrierst, wirst du dort automatisch als offizieller Sicherheitskontakt geführt.

👉 Mehr Informationen findest du direkt beim BACS:
https://www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-unternehmen/aktuelle-themen/security-txt.html

Wie INSOR dich unterstützt

Unsere Monitoring-Lösung prüft automatisch, ob deine Website über eine gültige security.txt-Datei verfügt.
Wenn sie fehlt oder fehlerhaft ist, wirst du informiert – inklusive Anleitung, wie du sie korrekt einrichtest.

Auf Wunsch erstellen wir deine security.txt gemäss internationalen Best Practices und tragen deinen Kontakt im BACS-System ein.
Dieser Check ist Teil unseres Service Level Agreements (SLA) und stärkt die digitale Vertrauenswürdigkeit deines Unternehmens.

Mehr zu unserem Monitoring und SLA erfährst du hier

Artikel zuletzt aktualisiert am:
9.10.2025 8:04

Weitere Artikel zum Thema Checks & Empfehlungen