Cyber-News

Cyber news

Für nationale Behörden,
kritische Infrastrukturen
und Dienstleister

Coaching, Beratung oder
wahlweise auch Zertifizierung

Security.txt: Wieso jede Website sie haben sollte

Sicherheitslücken und Cyber-Angriffe sind in der heutigen digitalen Welt keine Seltenheit. Unternehmen, Organisationen und selbst kleine Websites stehen ständig vor dem Risiko, Opfer von Sicherheitsproblemen zu werden. In diesem Zusammenhang ist die Kommunikation zwischen Sicherheitsexperten und Webseitenbetreibern von entscheidender Bedeutung. An dieser Stelle kommt security.txt ins Spiel – eine einfache, aber effektive Methode, um Sicherheitsforscher und Administratoren miteinander in Kontakt zu bringen. In diesem Blogbeitrag erklären wir, was es mit security.txt auf sich hat sowie deren Aufbau anhand eines Beispiels und warum es sich dabei um ein unverzichtbares Werkzeug zur Verbesserung der Sicherheit im Internet handelt. Erfahren Sie, wie Sie mit einem einfachen Textdokument auf Ihrer Website dazu beitragen können, Sicherheitsprobleme schneller zu erkennen und zu beheben.



Was ist eine Security.txt?

Eine security.txt ist eine Datei auf einer Website, definiert durch den Internetstandard RFC 9116 (Request for Comments). Die Datei wird auf einem standardisierten Ort einer Website abgelegt, ähnlich zur „robot.txt“. Dabei dient sie als Standardmethode für die Betreiber einer Website, um Informationen darüber zur Verfügung zu stellen, wie Sicherheitsprobleme gemeldet werden können. Dadurch kann diese Datei Sicherheitsforschern beim Melden von Schwachstellen behilflich sein, was wiederum zur Verbesserung der Sicherheit der Website beiträgt. Es ist somit eine bewährte Methode zur Erleichterung der Kommunikation zwischen Sicherheitsforschern und Websitebetreibern.

Sicherheitsprobleme von Websites können dank Security.txt vereinfacht durch Sicherheitsforscher an die Website-Betreiber gemeldet werden. | Bildquelle: Von ckybe.adobe-stock.com | DATEI NR. 719177838

Die Datei enthält in der Regel Informationen wie die Kontaktdaten für die Meldung von Sicherheitsproblemen, den öffentlichen Pretty Good Privacy (PGP) Schlüssel für die sichere Kommunikation, Richtlinien für das Melden von Sicherheitsproblemen und möglicherweise auch Hinweise auf Belohnungen für das Melden von Sicherheitsproblemen (sogenannte Bug Bounties). Der PGP-Schlüssel kann zur sicheren Verschlüsselung der E-Mail-Kommunikation zum Website-Betreiber genutzt werden.

Das Vorhandensein einer security.txt-Datei erleichtert Sicherheitsforschern die Suche nach der richtigen Kontaktperson auf einer Website zum Melden von Sicherheitsproblemen. Dadurch wird es den Website-Betreibern ermöglicht, schneller auf gemeldete Schwachstellen zu reagieren und ihre Systeme zu schützen. Daher hat sich der Einsatz einer security.txt als Bestandteil eines umfassenden Sicherheitskonzepts für Websites und Webapplikationen etabliert.

Melden von Sicherheitslücken zur Verbesserung der Website-Sicherheit

Das Melden von Sicherheitslücken wird von vielen großen Unternehmen begrüßt. Dadurch kann das Unternehmen Sicherheitslücken frühzeitig erkennen und beheben. In diesem Fall kommt die Security.txt ins Spiel, da der Benutzer dort alle notwendigen Daten findet, um diesen Bug zu melden. Sie dient auch der Effizienz, da sie eine koordiniertere Zusammenarbeit zwischen den Sicherheitsforschern und dem Sicherheitsteam ermöglicht. Das Melden einer Sicherheitslücke hat immer eine Verbesserung der Sicherheit der Website und eine Minimierung des Risikos von Exploits und Angriffen zur Folge.

Bug-Bounty-Programme

Eine strukturierte Möglichkeit für Unternehmen, Sicherheitsforscher zu ermutigen, Schwachstellen zu melden, ist die Integration von Bug-Bounty-Programmen in eine security.txt-Datei. Ein Bug-Bounty-Programm ist in der Datei security.txt aufgelistet und soll Sicherheitsforscher durch Belohnungen motivieren, Sicherheitslücken zu melden. Dabei profitieren beide Seiten: Der Sicherheitsforscher erhält für gefundene Sicherheitslücken finanzielle Belohnungen oder Anerkennung. Auf der anderen Seite muss das Sicherheitsteam nicht aktiv nach Sicherheitslücken suchen, sondern nur die Sicherheitslücken beheben, die von den Sicherheitsforschern gefunden wurden.

Von Bug-Bounty Programmen profitieren Sicherheitsforscher und Unternehmen zugleich. |
Bildquelle: Von irissca.adobe-stock.com | DATEI NR.:  814910299

Studie zeigt: Nutzung von Security.txt noch zu gering

Laut einer Studie von Red Maple Technologies verwenden weniger als 1 % der Top-Million-Websites eine security.txt-Datei. Die Ergebnisse zeigen, dass insgesamt 3.724 (0,37 %) über eine Datei security.txt verfügen, wohingegen 996.276 (99,63 %) keine Datei besitzen. Die Mehrheit der Sites hat entweder gar nicht geantwortet oder hat das Timeout-Limit von 10 Sekunden erreicht, das auf dem Client eingestellt ist. Dies schließt auch TLS-Zertifikate mit ein, die ungültig oder abgelaufen sind. Obwohl es sich um eine relativ neue Methode handelt, um die Cybersicherheit zu verbessern, wird diese nur langsam angenommen. Es ist interessant festzustellen, dass Plattformen wie z. B. HackerOne für das Melden von Sicherheitsproblemen immer beliebter werden.

Aufbau einer Security.txt

Der Aufbau einer Security.txt besteht aus Feldern, die ausgefüllt werden müssen, wie der Kontakt und das Ablaufdatum. Daneben sind die restlichen Felder optional. Doch auch wenn viele von ihnen optional sind, wird empfohlen, sie alle zu haben.

Die Textdatei muss den Namen „security.txt“ tragen. Diese Security.txt Datei sollte unter dem Pfad /.well-known“ abgelegt werden. Beispielsweise https://www.itsecuritycoach.com/.well-known/security.txt

FeldInhaltErforderlich/Optional
KontaktHier ist die Kontaktinformation für Sicherheitsmeldungen anzugeben. Dies kann eine E-Mail-Adresse oder eine URL mit Verweis auf ein Kontaktformular oder ähnliches sein.Erforderlich
VerschlüsselungEin Link zu einem Schlüssel für Sicherheitsforscher zur sicheren Kommunikation mit Ihnen.Optional
AnerkennungHier finden Sie einen Link zu einer Seite mit den Namen oder Pseudonymen der Sicherheitsforscher, die Schwachstellen gemeldet haben.Optional
AblaufdatumDas Ablaufdatum sichert die regelmäßige Überprüfung der Daten. Es wird empfohlen ein Ablaufdatum im ISO 8601 Format hinzuzufügen.
Beispiel für das ISO 8601 Format:
Expires: 2021-12-31T18:37:07.000Z
Erforderlich
SpracheIn diesem Feld werden die bevorzugten Sprachen für die Kommunikation angegeben. Dies kann nützlich sein, wenn sichergestellt werden soll, dass Sicherheitsforscher in ihrer bevorzugten Sprache antworten können.Optional
RichtlinieEin Link zu einer Richtlinie, in der detailliert beschrieben wird, was Sicherheitsforscherinnen und -forscher bei der Suche nach und der Meldung von Sicherheitsproblemen tun sollten.Optional
ErreichbarkeitÜberprüfen Sie, ob diese Datei ohne Anmeldung öffentlich zugänglich ist.Optional
Übersicht zum Inhalt einer Security.txt.

Beispiel Security.txt

So könnte eine Security.txt aussehen:

Contact: mailto:security@[domain].[com]
Expires: 2025-[07]-09T13:00:00.000Z
Preferred-Languages: en, de
Canonical: https://www.[domain].[com]/.well-known/security.txt
Hiring: https://www.[domain].[com]/karriere

Beispiel für den Inhalt einer Security.txt Datei.

Beispiel für eine Security.txt Datei. | Bildquelle: https://securitytxt.org/

Fazit

In der heutigen Sicherheitswelt ist die Implementierung einer Security.txt für Unternehmen, Organisationen und Websites von entscheidender Bedeutung. Denn diese einfache Textdatei, die klare Anweisungen für die Kontaktaufnahme bei Sicherheitsproblemen enthält, kann die Arbeit von Administratoren und Sicherheitsteams erheblich erleichtern. Wie die Statistiken zeigen, wird sie trotz ihres offensichtlichen Nutzens noch viel zu selten verwendet. Dabei ist der Aufwand für die Erstellung einer Security.txt minimal im Vergleich zu den potenziellen Auswirkungen auf die Sicherheit und das Vertrauen der Anwender.

Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!

Quellen:

https://www.gosecurity.ch/warum-jeder-eine-security-txt-datei-haben-sollte

https://www.vdma.org/viewer/-/v2article/render/89937073?TSPD_101_R0=0859c4beb1ab2000c9f90f131da0df31666297fe13c8a2984c1fb5b0bfc053958874869fde3808f4088b0338e71430000090d647e392498b5a7a965d1d0410fdbbf73f2fc3164f9ba645d4730a03f237bc79eca09d3b081afb124e653c4e0885

https://27001.blog/de/schwachstellen-korrekt-melden-coordinated-vulnerability-disclosure-cvd

https://redmaple.tech/blogs/2022/survey-of-security-txt/#summary

https://securitytxt.org

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!