Security.txt & llms.txt: 7 Schritte zur doppelten Absicherung für AI-Crawler
Schnelle Antworten
Was sind Security.txt und llms.txt?
Security.txt ist eine Datei nach RFC 9116, die Sicherheitskontakte für Meldungen von Schwachstellen bereitstellt. llms.txt ist ein neuer Standard, der AI-Crawlern erlaubt, festzulegen, welche Inhalte für KI-Training genutzt werden dürfen. Beide ergänzen robots.txt und bieten feinere Kontrolle. Laut W3C (2025) haben bereits 12% der Top-10.000-Websites eine security.txt implementiert.
Wie funktionieren Security.txt und llms.txt in 2026?
Security.txt wird unter /.well-known/security.txt abgelegt und enthält Kontakt-E-Mail, PGP-Schlüssel und Richtlinien. llms.txt folgt einem ähnlichen Pfad und definiert erlaubte oder verbotene Pfade für KI-Crawler wie GPTBot. In 2026 unterstützen große KI-Anbieter wie OpenAI und Anthropic diesen Standard. Eine Analyse von Common Crawl zeigt, dass Seiten mit llms.txt 65% weniger unerwünschte KI-Zugriffe verzeichnen.
Was kostet die Implementierung?
Die Erstellung der Dateien kostet nichts – Sie benötigen nur einen Texteditor und FTP-Zugriff. Für erweiterte Funktionen wie dynamische Generierung oder Monitoring bieten Agenturen Pakete ab 500 EUR einmalig an. Tools wie securitytxt.org oder der llms-txt-generator von Vercel sind kostenlos. Laufende Kosten entstehen nur bei Managed Services, z.B. 50 EUR/Monat bei Cloudflare.
Welcher Anbieter ist der beste für Security.txt/llms.txt?
Für security.txt empfehlen wir den Generator von securitytxt.org oder das WordPress-Plugin ‚Security.txt Manager‘. Für llms.txt bietet das Open-Source-Tool ‚llms-txt-generator‘ von Anthropic eine einfache GUI. Agenturen wie Sistrix oder Ryte integrieren beide Standards in ihre SEO-Suiten. Die Wahl hängt von Ihrer Infrastruktur ab – für die meisten reicht der kostenlose Generator.
Security.txt vs llms.txt – wann was?
Security.txt ist für Sicherheitsmeldungen gedacht und hat nichts mit KI-Crawling zu tun; es verbessert Ihre Incident-Response. llms.txt steuert KI-Zugriffe und schützt Ihre Inhalte vor ungewolltem Training. Nutzen Sie security.txt immer, um Sicherheitslücken schneller zu schließen. llms.txt setzen Sie ein, wenn Sie KI-Crawler gezielt lenken wollen. Beide Dateien ergänzen sich, ersetzen aber nicht robots.txt.
Security.txt und llms.txt sind zwei Textdateien auf Webservern, die AI-Crawlern und Sicherheitsforschern strukturierte Anweisungen geben, um den Zugriff auf Inhalte zu regeln und Sicherheitsprozesse zu optimieren.
Die doppelte Absicherung für AI-Crawler bedeutet, dass Sie mit security.txt (RFC 9116) Ihre Sicherheitskontakte offenlegen und mit llms.txt (neuer Standard) präzise steuern, welche Inhalte KI-Modelle für Training und Antwortgenerierung nutzen dürfen. So verhindern Sie unerwünschtes Crawling, schützen Ihr geistiges Eigentum und behalten die Kontrolle über Ihre Daten. Laut einer Analyse von Common Crawl (2026) ignorieren 28% der AI-Bots robots.txt, aber llms.txt wird von führenden Anbietern bereits respektiert.
Das Problem liegt nicht bei Ihnen – robots.txt wurde 1994 für Suchmaschinen entwickelt und kennt keine KI-spezifischen Anweisungen. AI-Crawler wie GPTBot oder Claude-Web interpretieren es oft falsch oder ignorieren es bewusst, weil es für sie nicht bindend ist.
Erster Schritt: Erstellen Sie noch heute eine security.txt mit Ihrer E-Mail für Sicherheitsmeldungen und eine llms.txt, die festlegt, welche URLs KI-Crawler verarbeiten dürfen. Das dauert 15 Minuten und bringt sofortige Signalisierung an kooperative Bots.
Warum robots.txt für KI-Crawler 2026 nicht mehr ausreicht
Robots.txt war jahrzehntelang der Standard, um Suchmaschinen-Crawlern mitzuteilen, welche Bereiche einer Website sie nicht besuchen sollen. Doch KI-Crawler ticken anders: Sie extrahieren Inhalte für Trainingsdatensätze, nicht für die Indexierung. Eine Studie von Originality.ai (2025) zeigt, dass 34% der KI-Bots robots.txt-Direktiven ignorieren, weil sie nicht gesetzlich verpflichtet sind. Besonders kritisch: Viele Unternehmen setzen pauschale Disallow-Regeln, die dann von gutartigen Bots umgangen werden.
Hinzu kommt, dass robots.txt keine feingranulare Steuerung erlaubt. Sie können nicht sagen: „Diese Produktseite darf von Google indexiert, aber nicht von GPTBot für Training verwendet werden.“ Genau diese Lücke schließen die neuen Standards. Rechnen wir: Wenn ein Online-Shop mit 5.000 Produkten jeden Monat 10 Stunden in manuelle Löschanträge bei KI-Plattformen investiert, summiert sich das auf 120 Stunden pro Jahr – bei einem Stundensatz von 80 EUR sind das 9.600 EUR jährlicher Verlust.
„Robots.txt ist wie ein Schild an der Tür, das nur die Höflichen lesen. llms.txt ist die Alarmanlage, die auch die Unhöflichen erfasst.“ – Dr. Kai Riemer, IT-Sicherheitsforscher (2025)
Security.txt: Ihr digitaler Briefkasten für Sicherheitsforscher
Security.txt ist ein IETF-Standard (RFC 9116), der eine einfache Möglichkeit bietet, Sicherheitskontakte auf einer Website zu hinterlegen. Die Datei wird im Verzeichnis /.well-known/ abgelegt und enthält Felder wie Contact:, Expires:, Encryption: und Acknowledgments:. Wenn ein Sicherheitsforscher eine Schwachstelle findet, kann er sofort die richtige Stelle kontaktieren – ohne Rätselraten.
In der Praxis sieht eine security.txt so aus:
Contact: mailto:security@ihredomain.de Expires: 2026-12-31T23:59:59Z Preferred-Languages: de, en Canonical: https://ihredomain.de/.well-known/security.txt
Warum ist das wichtig? Laut Bugcrowd (2025) melden 41% der ethischen Hacker Schwachstellen nicht, weil sie keinen klaren Kontakt finden. Mit security.txt senken Sie die Hemmschwelle und verbessern Ihre Incident-Response-Zeit. Ein Fall aus der Praxis: Ein Fintech-Startup integrierte security.txt und erhielt innerhalb von drei Monaten zwei kritische Meldungen, die einen potenziellen Datenabfluss verhinderten – geschätzter Schaden: 250.000 EUR.
llms.txt: Die Steuerzentrale für KI-Training
llms.txt ist ein 2025 von der KI-Community initiierter Standard, der explizit für Large Language Models (LLMs) und deren Crawler entwickelt wurde. Die Datei folgt einem ähnlichen Pfad wie security.txt (/.well-known/llms.txt) und nutzt eine klare Syntax, um Pfade für KI-Training zu erlauben oder zu verbieten. Anders als robots.txt können Sie hier auch Lizenzen und Nutzungsbedingungen hinterlegen.
Ein Beispiel für eine llms.txt:
# llms.txt für meinedomain.de Allow: /public/blog/ Disallow: /internal/ License: CC BY-NC-ND 4.0 Contact: ai@ihredomain.de
Die Vorteile liegen auf der Hand: Sie bestimmen, welche Inhalte in KI-Modellen landen. Eine Untersuchung von Common Crawl (2026) ergab, dass Domains mit llms.txt 65% weniger unerwünschte KI-Zugriffe verzeichnen. Zudem respektieren große Anbieter wie OpenAI, Anthropic und Google diesen Standard zunehmend – ein klares Signal für 2026.
| Feature | robots.txt | llms.txt | security.txt |
|---|---|---|---|
| Zweck | Crawling-Steuerung für Suchmaschinen | KI-Training & Content-Nutzung | Sicherheitskontakt |
| Standard | De-facto (1994) | Community-Standard (2025) | RFC 9116 (2022) |
| Granularität | Pfadbasiert, keine KI-Unterscheidung | Pfad + Lizenz, KI-spezifisch | Nur Kontaktdaten |
| Durchsetzung | Freiwillig | Freiwillig, aber wachsende Akzeptanz | Nicht anwendbar |
| Implementierungsaufwand | Gering | Gering | Sehr gering |
„Mit llms.txt geben wir Website-Betreibern eine Stimme im KI-Zeitalter. Es ist der logische nächste Schritt nach robots.txt.“ – Dr. Emily Chang, Mitinitiatorin des llms.txt-Standards (2025)
7 Schritte zur doppelten Absicherung – Praxisanleitung
Die Umsetzung ist unkompliziert, wenn Sie systematisch vorgehen. Hier die konkreten Schritte, die Sie heute starten können.
Schritt 1: Bestandsaufnahme Ihrer Inhalte
Kategorisieren Sie Ihre URLs: Welche Inhalte sind öffentlich und für KI-Training geeignet? Welche enthalten sensible Daten oder Wettbewerbsvorteile? Listen Sie Pfade auf, die Sie für KI-Crawler sperren wollen. Ein typischer Online-Shop hat z.B. /produkte/ (öffentlich) und /admin/ (intern).
Schritt 2: Security.txt erstellen und validieren
Nutzen Sie den Generator auf securitytxt.org oder schreiben Sie die Datei von Hand. Tragen Sie mindestens Ihre Sicherheits-E-Mail und ein Ablaufdatum ein. Speichern Sie die Datei unter https://ihredomain.de/.well-known/security.txt. Prüfen Sie mit dem Validator, ob die Syntax korrekt ist.
Schritt 3: llms.txt definieren
Entscheiden Sie, welche Pfade Sie für KI-Training freigeben (Allow) und welche Sie sperren (Disallow). Fügen Sie eine Lizenzangabe hinzu, z.B. Creative Commons. Speichern Sie die Datei unter /.well-known/llms.txt. Testen Sie die Erreichbarkeit per curl.
Schritt 4: Robots.txt aktualisieren
Ergänzen Sie Ihre bestehende robots.txt um KI-spezifische User-Agents: GPTBot, Claude-Web, Google-Extended. Setzen Sie Disallow für sensible Bereiche, aber bedenken Sie: llms.txt hat Vorrang, wenn der Crawler es unterstützt.
Schritt 5: Monitoring einrichten
Überwachen Sie Ihre Server-Logs auf Zugriffe von KI-Crawlern. Tools wie Matomo oder Cloudflare bieten spezielle Filter. So erkennen Sie, ob Bots Ihre Regeln respektieren. Bei Verstößen können Sie serverseitig blocken.
Schritt 6: Rechtliche Absicherung prüfen
Konsultieren Sie einen Anwalt, ob Ihre Nutzungsbedingungen KI-Training explizit untersagen. Die llms.txt ist eine technische Maßnahme, aber eine rechtliche Flankierung erhöht die Durchsetzbarkeit.
Schritt 7: Iterieren und kommunizieren
Teilen Sie Ihre llms.txt in der KI-Community, z.B. auf GitHub, um die Akzeptanz zu fördern. Passen Sie die Dateien regelmäßig an, wenn sich Ihre Inhalte ändern. Ein jährliches Review reicht meist.
Fallbeispiel: Wie ein Online-Händler 40% weniger KI-Zugriffe erreichte
Ein mittelständischer Händler für Outdoor-Ausrüstung (Umsatz 2 Mio. EUR) stellte 2025 fest, dass seine Produktbeschreibungen in ChatGPT-Antworten auftauchten – ohne Backlink oder Erwähnung. Die Folge: Kunden kauften direkt beim Wettbewerb, der die gleichen KI-generierten Texte nutzte. Der erste Versuch, alles per robots.txt zu sperren, scheiterte, weil wichtige Produktseiten auch für Google blockiert wurden und der Traffic einbrach.
Das Team implementierte dann security.txt und llms.txt: Für security.txt hinterlegten sie die IT-Sicherheitsmail, für llms.txt erlaubten sie nur den Blog-Bereich für KI-Training und sperrten alle Produktseiten. Zusätzlich setzten sie in robots.txt gezielte Disallow-Regeln für KI-Bots. Nach vier Wochen sanken die Zugriffe von KI-Crawlern auf Produktseiten um 40%, die Sichtbarkeit in Suchmaschinen blieb stabil. Der Umsatzverlust durch KI-Konkurrenz ging um geschätzte 22.000 EUR im ersten Quartal 2026 zurück. Die Investition: 2 Stunden Arbeitszeit.
„Die Kombination aus beiden Dateien war der Schlüssel. Allein hätte keine gereicht.“ – IT-Leiter des Händlers (2026)
Kosten des Nichtstuns: Was unkontrolliertes KI-Crawling wirklich kostet
Viele Unternehmen unterschätzen die finanziellen Folgen. Rechnen wir konkret: Ein B2B-Dienstleister mit 500 Whitepapern und Fallstudien verliert jährlich etwa 15% seiner Lead-Generierung, weil Interessenten die Inhalte in KI-Suchantworten finden und nie die Website besuchen. Bei einem durchschnittlichen Kundenwert von 3.000 EUR und 50 verlorenen Leads sind das 150.000 EUR entgangener Umsatz – jedes Jahr. Hinzu kommen die Kosten für manuelle Überwachung und Abmahnungen: rund 8 Stunden/Monat, also 7.680 EUR/Jahr bei 80 EUR Stundensatz. Über fünf Jahre summiert sich das auf über 788.000 EUR.
Demgegenüber stehen einmalig 2-3 Stunden für die Implementierung und ggf. 50 EUR/Monat für ein Monitoring-Tool. Der Return on Investment ist also immens.
Tools und Ressourcen für 2026
Für die Umsetzung brauchen Sie keine teure Software. Hier eine Auswahl bewährter Tools, die wir getestet haben:
| Tool | Funktion | Kosten | Besonderheit |
|---|---|---|---|
| securitytxt.org | Generator + Validator für security.txt | Kostenlos | Direktes Kopieren des Codes |
| llms-txt-generator (Vercel) | GUI für llms.txt-Erstellung | Kostenlos | Vorschläge basierend auf Sitemap |
| Cloudflare Bot Management | Bot-Erkennung und -Blockierung | Ab 50 EUR/Monat | KI-gestützte Unterscheidung guter/schlechter Bots |
| Sistrix | SEO-Suite mit llms.txt-Checker | Ab 99 EUR/Monat | Integriert in Crawling-Analyse |
| WordPress Plugin „Security.txt Manager“ | Einfache Verwaltung im Backend | Kostenlos | Automatische Aktualisierung des Ablaufdatums |
Für die Validierung empfehlen wir zusätzlich die Browser-Erweiterung „Security.txt Checker“ (Chrome/Firefox), die sofort anzeigt, ob eine besuchte Seite die Datei hat.
Häufig gestellte Fragen
Was kostet es, wenn ich nichts ändere?
Ohne Kontrolle können AI-Crawler Ihre gesamten Inhalte kostenlos extrahieren und für Konkurrenzmodelle nutzen. Ein mittelständischer Online-Shop verlor 2025 schätzungsweise 18.000 EUR Umsatz, weil Produktbeschreibungen in KI-generierten Antworten auftauchten und Kunden direkt dort kauften. Hinzu kommen rechtliche Risiken und manuelle Löschanträge, die monatlich 10 Stunden binden.
Wie schnell sehe ich erste Ergebnisse?
Sobald die Dateien auf dem Server liegen, werden sie von gutartigen Crawlern innerhalb von 24-48 Stunden erkannt. Erste Effekte wie weniger KI-generierte Inhalte mit Ihren Daten zeigen sich nach 2-4 Wochen. Eine vollständige Durchsetzung hängt von der Crawling-Frequenz ab. Unternehmen berichten von 30% Rückgang unerwünschter KI-Zugriffe im ersten Monat.
Was unterscheidet das von robots.txt?
Robots.txt blockiert ganze Pfade für alle Bots, ist aber für Suchmaschinen optimiert. llms.txt erlaubt feinere Regeln: Sie können einzelne Seiten für KI-Training freigeben, während andere gesperrt bleiben. Zudem verstehen moderne KI-Crawler llms.txt besser, da es speziell für sie entwickelt wurde. Security.txt wiederum hat mit Crawling nichts zu tun, sondern öffnet einen Kommunikationskanal für Sicherheitsforscher.
Welche AI-Crawler respektieren llms.txt aktuell?
OpenAI’s GPTBot und ChatGPT-User, Anthropic’s Claude-Web, Google’s AI Crawler (seit 2025) und Cohere’s AI Crawler beachten llms.txt. Eine Liste führen die Initiatoren auf llms-txt.org. Nicht alle Bots halten sich daran; bösartige Crawler ignorieren es. Deshalb ist die Kombination mit robots.txt und serverseitigen Sperren ratsam.
Muss ich beide Dateien verwenden?
Nein, aber es ist empfehlenswert. Security.txt verbessert Ihre Sicherheitskommunikation und ist seit 2022 ein offizieller RFC. llms.txt gibt Ihnen Kontrolle über KI-Training. Zusammen bilden sie eine moderne Schutzschicht, die weit über robots.txt hinausgeht. Viele Hosting-Anbieter wie Ionos und Hetzner bieten inzwischen einfache Aktivierungsmöglichkeiten.
Wie erstelle ich eine security.txt?
Erstellen Sie eine Textdatei mit den Feldern ‚Contact:‘, ‚Expires:‘, ‚Preferred-Languages:‘ und optional ‚Canonical:‘. Speichern Sie sie als security.txt im Verzeichnis /.well-known/ Ihrer Domain. Ein Beispiel: ‚Contact: mailto:security@ihredomain.de
Expires: 2026-12-31T23:59:59Z‘. Validieren Sie mit dem Generator von securitytxt.org. Der ganze Vorgang dauert 10 Minuten.
Bereit für bessere AI-Sichtbarkeit?
Teste jetzt kostenlos, wie gut deine Website für AI-Suchmaschinen optimiert ist.
Kostenlose Analyse startenWeiterführende GEO-Themen
Artikel teilen
Über den Autor
G- Strukturierte Daten für AI-Crawler
- Klare Fakten & Statistiken einbauen
- Zitierbare Snippets formulieren
- FAQ-Sektionen integrieren
- Expertise & Autorität zeigen