Sicherheitslücken und Cyber-Angriffe sind in der heutigen digitalen Welt keine Seltenheit. Unternehmen, Organisationen und selbst kleine Websites stehen ständig vor dem Risiko, Opfer von Sicherheitsproblemen zu werden. In diesem Zusammenhang ist die Kommunikation zwischen Sicherheitsexperten und Webseitenbetreibern von entscheidender Bedeutung. An dieser Stelle kommt security.txt ins Spiel – eine einfache, aber effektive Methode, um Sicherheitsforscher und Administratoren miteinander in Kontakt zu bringen. In diesem Blogbeitrag erklären wir, was es mit security.txt auf sich hat sowie deren Aufbau anhand eines Beispiels und warum es sich dabei um ein unverzichtbares Werkzeug zur Verbesserung der Sicherheit im Internet handelt. Erfahren Sie, wie Sie mit einem einfachen Textdokument auf Ihrer Website dazu beitragen können, Sicherheitsprobleme schneller zu erkennen und zu beheben.
Was ist eine Security.txt?
Eine security.txt ist eine Datei auf einer Website, definiert durch den Internetstandard RFC 9116 (Request for Comments). Die Datei wird auf einem standardisierten Ort einer Website abgelegt, ähnlich zur „robot.txt“. Dabei dient sie als Standardmethode für die Betreiber einer Website, um Informationen darüber zur Verfügung zu stellen, wie Sicherheitsprobleme gemeldet werden können. Dadurch kann diese Datei Sicherheitsforschern beim Melden von Schwachstellen behilflich sein, was wiederum zur Verbesserung der Sicherheit der Website beiträgt. Es ist somit eine bewährte Methode zur Erleichterung der Kommunikation zwischen Sicherheitsforschern und Websitebetreibern.
Die Datei enthält in der Regel Informationen wie die Kontaktdaten für die Meldung von Sicherheitsproblemen, den öffentlichen Pretty Good Privacy (PGP) Schlüssel für die sichere Kommunikation, Richtlinien für das Melden von Sicherheitsproblemen und möglicherweise auch Hinweise auf Belohnungen für das Melden von Sicherheitsproblemen (sogenannte Bug Bounties). Der PGP-Schlüssel kann zur sicheren Verschlüsselung der E-Mail-Kommunikation zum Website-Betreiber genutzt werden.
Das Vorhandensein einer security.txt-Datei erleichtert Sicherheitsforschern die Suche nach der richtigen Kontaktperson auf einer Website zum Melden von Sicherheitsproblemen. Dadurch wird es den Website-Betreibern ermöglicht, schneller auf gemeldete Schwachstellen zu reagieren und ihre Systeme zu schützen. Daher hat sich der Einsatz einer security.txt als Bestandteil eines umfassenden Sicherheitskonzepts für Websites und Webapplikationen etabliert.
Melden von Sicherheitslücken zur Verbesserung der Website-Sicherheit
Das Melden von Sicherheitslücken wird von vielen großen Unternehmen begrüßt. Dadurch kann das Unternehmen Sicherheitslücken frühzeitig erkennen und beheben. In diesem Fall kommt die Security.txt ins Spiel, da der Benutzer dort alle notwendigen Daten findet, um diesen Bug zu melden. Sie dient auch der Effizienz, da sie eine koordiniertere Zusammenarbeit zwischen den Sicherheitsforschern und dem Sicherheitsteam ermöglicht. Das Melden einer Sicherheitslücke hat immer eine Verbesserung der Sicherheit der Website und eine Minimierung des Risikos von Exploits und Angriffen zur Folge.
Bug-Bounty-Programme
Eine strukturierte Möglichkeit für Unternehmen, Sicherheitsforscher zu ermutigen, Schwachstellen zu melden, ist die Integration von Bug-Bounty-Programmen in eine security.txt-Datei. Ein Bug-Bounty-Programm ist in der Datei security.txt aufgelistet und soll Sicherheitsforscher durch Belohnungen motivieren, Sicherheitslücken zu melden. Dabei profitieren beide Seiten: Der Sicherheitsforscher erhält für gefundene Sicherheitslücken finanzielle Belohnungen oder Anerkennung. Auf der anderen Seite muss das Sicherheitsteam nicht aktiv nach Sicherheitslücken suchen, sondern nur die Sicherheitslücken beheben, die von den Sicherheitsforschern gefunden wurden.
Studie zeigt: Nutzung von Security.txt noch zu gering
Laut einer Studie von Red Maple Technologies verwenden weniger als 1 % der Top-Million-Websites eine security.txt-Datei. Die Ergebnisse zeigen, dass insgesamt 3.724 (0,37 %) über eine Datei security.txt verfügen, wohingegen 996.276 (99,63 %) keine Datei besitzen. Die Mehrheit der Sites hat entweder gar nicht geantwortet oder hat das Timeout-Limit von 10 Sekunden erreicht, das auf dem Client eingestellt ist. Dies schließt auch TLS-Zertifikate mit ein, die ungültig oder abgelaufen sind. Obwohl es sich um eine relativ neue Methode handelt, um die Cybersicherheit zu verbessern, wird diese nur langsam angenommen. Es ist interessant festzustellen, dass Plattformen wie z. B. HackerOne für das Melden von Sicherheitsproblemen immer beliebter werden.
Aufbau einer Security.txt
Der Aufbau einer Security.txt besteht aus Feldern, die ausgefüllt werden müssen, wie der Kontakt und das Ablaufdatum. Daneben sind die restlichen Felder optional. Doch auch wenn viele von ihnen optional sind, wird empfohlen, sie alle zu haben.
Die Textdatei muss den Namen „security.txt“ tragen. Diese Security.txt Datei sollte unter dem Pfad /.well-known“ abgelegt werden. Beispielsweise https://www.itsecuritycoach.com/.well-known/security.txt
Feld | Inhalt | Erforderlich/Optional |
Kontakt | Hier ist die Kontaktinformation für Sicherheitsmeldungen anzugeben. Dies kann eine E-Mail-Adresse oder eine URL mit Verweis auf ein Kontaktformular oder ähnliches sein. | Erforderlich |
Verschlüsselung | Ein Link zu einem Schlüssel für Sicherheitsforscher zur sicheren Kommunikation mit Ihnen. | Optional |
Anerkennung | Hier finden Sie einen Link zu einer Seite mit den Namen oder Pseudonymen der Sicherheitsforscher, die Schwachstellen gemeldet haben. | Optional |
Ablaufdatum | Das Ablaufdatum sichert die regelmäßige Überprüfung der Daten. Es wird empfohlen ein Ablaufdatum im ISO 8601 Format hinzuzufügen. Beispiel für das ISO 8601 Format: Expires: 2021-12-31T18:37:07.000Z | Erforderlich |
Sprache | In diesem Feld werden die bevorzugten Sprachen für die Kommunikation angegeben. Dies kann nützlich sein, wenn sichergestellt werden soll, dass Sicherheitsforscher in ihrer bevorzugten Sprache antworten können. | Optional |
Richtlinie | Ein Link zu einer Richtlinie, in der detailliert beschrieben wird, was Sicherheitsforscherinnen und -forscher bei der Suche nach und der Meldung von Sicherheitsproblemen tun sollten. | Optional |
Erreichbarkeit | Überprüfen Sie, ob diese Datei ohne Anmeldung öffentlich zugänglich ist. | Optional |
Beispiel Security.txt
So könnte eine Security.txt aussehen:
Contact: mailto:security@[domain].[com] Expires: 2025-[07]-09T13:00:00.000Z Preferred-Languages: en, de Canonical: https://www.[domain].[com]/.well-known/security.txt Hiring: https://www.[domain].[com]/karriere
Fazit
In der heutigen Sicherheitswelt ist die Implementierung einer Security.txt für Unternehmen, Organisationen und Websites von entscheidender Bedeutung. Denn diese einfache Textdatei, die klare Anweisungen für die Kontaktaufnahme bei Sicherheitsproblemen enthält, kann die Arbeit von Administratoren und Sicherheitsteams erheblich erleichtern. Wie die Statistiken zeigen, wird sie trotz ihres offensichtlichen Nutzens noch viel zu selten verwendet. Dabei ist der Aufwand für die Erstellung einer Security.txt minimal im Vergleich zu den potenziellen Auswirkungen auf die Sicherheit und das Vertrauen der Anwender.
Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!
- Neue Partnerschaft mit SG Finnentrop/Bamenohl 12/27 e.V.
- NIS2UmsuCG: Was Unternehmen wissen müssen
- Free Wifi: Risiken und Schutzmaßnahmen in öffentlichen Netzwerken
- CrowdStrike: Alles Wichtige zum Vorfall
- Security.txt: Wieso jede Website sie haben sollte
- Smishing: die Phishing-Gefahr per SMS
- Spear-Phishing: Fallbeispiele und Schutzmaßnahmen
- Spear-Phishing: was die Angriffe so gefährlich macht
- DORA: Neue IT-Verordnung für die Finanzbranche
Quellen:
https://www.gosecurity.ch/warum-jeder-eine-security-txt-datei-haben-sollte
https://27001.blog/de/schwachstellen-korrekt-melden-coordinated-vulnerability-disclosure-cvd
https://redmaple.tech/blogs/2022/survey-of-security-txt/#summary