WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Wo sollte security.txt veroeffentlicht werden?

Veroeffentlichen Sie sie unter /.well-known/security.txt auf Ihrer oeffentlichen Website, damit automatisierte Tools und Forscher sie vorhersehbar entdecken koennen.

Brauche ich ein Bug-Bounty-Programm, um security.txt zu nutzen?

Nein. security.txt ist auch ohne finanzielle Belohnungen nuetzlich. Sie bietet einen klaren Weg fuer verantwortungsvolle Offenlegung und setzt Erwartungen fuer die Kommunikation.

Wie oft sollte die Datei aktualisiert werden?

Ueberpruefen Sie sie bei jedem Wechsel von Eigentuemern, Meldekaenaelen oder Richtlinienseiten und aktualisieren Sie das Ablaufdatum nach einem regelmaessigen Zeitplan, damit die Datei glaubwuerdig bleibt.

Sollten Rechtsteams die Offenlegungsrichtlinie ueberpruefen?

Ja. Rechts-, Produkt- und Technikverantwortliche sollten sich vor der Veroeffentlichung auf Antworterwartungen, Safe-Harbor-Sprache und Umfangsgrenzen abstimmen.

security.txt Leitfaden — Schwachstellen-Offenlegung fuer Websites

Warum eine security.txt-Datei wichtig ist

Wenn ein Forscher, Kunde, Partner oder automatisiertes System eine moegliche Schwachstelle auf Ihrer Website entdeckt, ist das Schwierigste oft nicht der Bug selbst. Es ist zu wissen, wo man ihn melden kann, ohne Tage in generischen Support-Postfaechern oder oeffentlichen Social-Media-Beitraegen zu verschwenden. security.txt loest dieses Entdeckungsproblem mit einem einfachen, standardisierten Einstiegspunkt.

Fuer KMU geht es nicht nur darum, reif zu wirken. Es geht darum, die Offenlegungsreibung zu reduzieren. Je schneller legitime Melder den richtigen Kontakt erreichen, desto wahrscheinlicher loesen Sie Probleme privat, dokumentieren Entscheidungen und vermeiden chaotische Behandlung, wenn der Fund echt ist.

Ein oeffentlicher Offenlegungseinstiegspunkt signalisiert intern auch etwas Wichtiges: Sicherheitsmeldungen werden erwartet, triagiert und verantwortet. Diese Denkweise ist gesuender als vorzugeben, dass Meldungen nie eintreffen werden oder dass der Support unter Druck einen sicheren Prozess improvisieren kann.

Was eine minimale security.txt enthalten sollte

Die Datei ist absichtlich einfach. Veroeffentlichen Sie sie unter /.well-known/security.txt und halten Sie den Inhalt fuer Menschen und Maschinen lesbar. Sie brauchen kein grosses Bug-Bounty-Programm, um davon zu profitieren. Sie brauchen klare Kontaktinformationen, Erwartungen zum Umfang und einen gepflegten Prozess dahinter.

Contact: eine ueberwachte E-Mail-Adresse oder ein sicherer Meldekanal, der Personen gehoert, die Sicherheitsfunde schnell weiterleiten koennen.
Expires: ein Datum, das beweist, dass die Datei gepflegt und nicht aufgegeben ist.
Policy: eine Seite, die beschreibt, wie Sie Meldungen behandeln, erwartete Antwortzeiten und grundlegende Safe-Harbor-Sprache, falls Sie diese bereitstellen.
Preferred-Languages: optional, nuetzlich wenn Ihr Betriebsteam hauptsaechlich auf Deutsch oder Englisch arbeitet.
Acknowledgments oder Hiring: optional, nur wenn sie einen echten, gepflegten Prozess widerspiegeln.

Wie man die Offenlegungsbearbeitung operationalisiert

Die Veroeffentlichung der Datei ist der einfache Teil. Die eigentliche Arbeit besteht darin, sicherzustellen, dass Meldungen nicht in einem Postfach verschwinden. Jemand muss die Annahme verwalten, die Schwere validieren, Reproduktionsschritte anfordern, die Behebung zuweisen und die Schleife mit dem Melder schliessen, wenn angemessen.

Hier scheitern viele Unternehmen. Sie fuegen eine security.txt-Datei fuer die Optik hinzu, aber die Adresse leitet zu einem gemeinsamen Postfach weiter, das niemand ueberwacht, oder zu einem Rechtsteam, das nicht weiss, was es mit technischen Berichten anfangen soll. Wenn Sie nicht verantwortungsvoll antworten koennen, halten Sie den Umfang einfach und dokumentieren Sie realistische Antworterwartungen.

Binden Sie die Offenlegungsbearbeitung an Ihren bestehenden Incident- und Schwachstellenmanagement-Prozess an. Selbst ein kleines Team kann einen leichten Workflow ausfuehren: Annahme, Triage, Zuweisung, Behebung, Validierung und Archivierung von Nachweisen. WarDeks Zuverlaessigkeits-First-Haltung passt hier gut, da das Produkt auf Nachweisen, Behebungskontext und auditierbarer Entscheidungsfindung aufgebaut ist statt auf vagen Warnungen.

Implementierungsschritte fuer eine Produktions-Website

Veroeffentlichen Sie zunaechst die Datei auf Ihrer kanonischen Domain und bestaetigen Sie, dass sie ohne Weiterleitungen oder Content-Type-Ueberraschungen erreichbar ist. Spiegeln Sie dann dieselbe Offenlegungsrichtlinie auf einer fuer Menschen lesbaren Seite wider, wenn Sie die Antworterwartungen ausfuehrlicher erklaeren moechten.

Testen Sie dann den Kontakt-Workflow von Ende zu Ende. Senden Sie einen Beispielbericht, bestaetigen Sie, dass die richtigen Personen ihn erhalten, und definieren Sie, wer entscheidet, ob ein Fund gueltig, doppelt, ausserhalb des Umfangs oder dringend ist. security.txt ist nur nuetzlich, wenn der operative Pfad dahinter funktioniert.

Pflegen Sie sie schliesslich. Eine abgelaufene Datei oder ein totes Postfach ist schlimmer als keine Datei, weil es falsches Vertrauen schafft. Setzen Sie Erneuerungs- und Eigentuemerpruefungen auf dieselbe Kadenz wie andere Vertrauensoberflaechen wie TLS, Datenschutzseiten und Compliance-Dokumente.

Fehler, die das Vertrauen schwaechen

Veroeffentlichen Sie keinen Offenlegungskontakt, der automatische Antworten sendet und sonst nichts. Versprechen Sie kein Bug Bounty, wenn keines existiert. Kopieren Sie keine Safe-Harbor-Erklaerung von einer grossen Plattform, wenn Ihre Rechts- und Technikteams sich nie darueber geeinigt haben, wie externe Tests gehandhabt werden sollen.

Vermeiden Sie es auch, security.txt als Compliance-Kontrollkaestchen zu behandeln. Sein Wert ist praktisch: Er verkuerzt den Weg zwischen Entdeckung und verantwortungsvoller Behandlung. Wenn er mit einem echten Prozess verbunden ist, staerkt er das Vertrauen bei Forschern, Kunden und internen Betreibern gleichermassen.