Vulnerability Disclosure und security.txt für Unternehmenswebsites
Ein praktischer security.txt- und Vulnerability-Disclosure-Workflow für kleine Unternehmen, die einen glaubwürdigen Security-Kontaktweg brauchen.
Kernpunkte
- security.txt gibt Forschern einen vorhersehbaren Ort für den Security-Kontakt.
- Die Mailbox hinter diesem Kontakt muss überwacht und intern richtig geroutet werden.
- Eine öffentliche Policy reduziert Unklarheiten, bevor ein Incident passiert.
Was security.txt löst
Forscher und Kunden sollten nicht raten müssen, ob Security-Themen in ein Kontaktformular, ein Support-Postfach oder eine Social-Media-Nachricht gehören. Eine security.txt-Datei schafft einen Standardpfad für Vulnerability Reports.
Die Datei ist klein, signalisiert aber operative Reife, wenn sie einen echten Kontakt, eine kanonische URL, eine Policy-URL und bevorzugte Sprache enthält.
Praktisches Minimum
- Veröffentlichen Sie /.well-known/security.txt auf der kanonischen Domain.
- Nutzen Sie eine überwachte Security-Mailbox wie security@example.com.
- Verlinken Sie eine Vulnerability-Disclosure-Policy oder Security-Seite.
- Stellen Sie sicher, dass Support- und Contact-Teams wissen, wohin Security Reports weitergeleitet werden.
Response-Workflow
Die Website ist nur der Einstiegspunkt. Ein Setup auf Unternehmensniveau braucht zusätzlich einen Response Owner, Severity Triage, Evidence Capture, Fix Tracking und ein kurzes Kommunikationstemplate zur Bestätigung valider Reports.
Häufige Fehler
- Eine Security-Mailbox veröffentlichen, die niemand überwacht.
- Eine persönliche E-Mail-Adresse statt eines Unternehmensalias verwenden.
- Nach einer Domain-Migration die kanonische URL nicht aktualisieren.
- Disclosure Handling als reine Rechtsseite statt als operativen Workflow behandeln.