security.txt: Standardisierte Kontaktinfos für IT-Sicherheitsmeldungen

IT-Sicherheitslücken sind ein Problem unserer digitalen, vernetzten Welt. Sie entstehen vor allem durch Design- und Programmierfehler und können ganz unterschiedliche Systeme bedrohen: Mal wird eine Webcam gekapert, mal werden Zugangsdaten ausgespäht - und mitunter verschaffen sich Angreifer auch Zugriff auf Maschinensteuerungen.

Wenn Sicherheitsforschende oder Behörden ein kritisches Sicherheitsproblem in einem Produkt oder dem Netzwerk eines Betriebs entdeckt haben, muss die Information schnell den zuständigen IT-Fachleuten übermittelt werden. Die Erfahrung hat jedoch gezeigt, dass Webseitenformulare und allgemeine Kontaktadressen auf Unterseiten dazu ungeeignet sind. Wichtige Informationen müssen oft erst aufwändig weitergeleitet werden oder gehen manchmal sogar ganz verloren. Wer eine Meldung machen möchte, weiß darüber hinaus nicht, ob verschlüsselt kommuniziert werden soll (und wenn ja, wie) oder welche weiteren Vereinbarungen gegebenenfalls gelten sollen.

Am entscheidendsten ist jedoch: Woher weiß ich, ob meine Warnung überhaupt willkommen ist? Macht sich vielleicht nicht sogar verdächtig, wer ein Einfallstor in der Unternehmens-IT aufdeckt? Durch die Grauzone des "Hackerparagraphen" StGB 202c werden Sicherheitsforscherinnen und Sicherheitsforscher potenziell kriminalisiert und müssen hohe Strafen fürchten. Immer wieder kommt es vor, dass engagierte Fachleute, die Betreiber auf ein Problem aufmerksam machen, selbst angezeigt werden.

Dabei ist die wohlmeinende, verantwortungsvolle Offenlegung erkannter Sicherheitslücken - die sogenannte Responsible Disclosure - ein wichtiger Beitrag zu einer sicheren IT-Infrastruktur. Eine praktikable Lösung bietet hier eine internationale technische Spezifikation, die allen Beteiligten einen vertrauensvollen Austausch ermöglicht:

Dazu werden in einer einfachen Textdatei mit dem festgelegten Namen security.txt und in einem vorgegebenen Format Kontaktinformationen und Angaben zur Verschlüsselung etc. hinterlegt. Diese Datei wird dann auf dem Webserver der Unternehmung im Verzeichnis .well-known/ unterhalb des Wurzelverzeichnisses abgelegt. Sie ist dann für alle über HTTPS unter der URL folgenden Schemas verfügbar:

https://www.example.com/.well-known/security.txt

Diesen Ablageort kennen alle Sicherheitsforscherinnen und Sicherheitsforscher weltweit und so wenden viele Unternehmen diese Spezifikation bereits an, z. B. die DGUV:
https://www.dguv.de/.well-known/security.txt

Die Definition der technischen Spezifikation ist als ein Request for Comments (RFC) kostenlos online verfügbar (RFC 9116). Dieses Verfahren bietet aber auch noch weitere Vorteile – für beide Seiten: Wer eine gravierende Sicherheitslücke meldet, wird unter dem Stichwort "Acknowledgements" gewürdigt und kann mitunter sogar mit einer Vergütung rechnen. Unter "Hiring" bieten Unternehmen attraktive Stellen für Sicherheitsfachleute an und finden qualifizierte Nachwuchskräfte.

Für Hersteller digitaler Produkte wird es nach dem Entwurf einer neuen EU-Verordnung in naher Zukunft sogar Pflicht, einen gut erreichbaren Kontakt zu hinterlegen und sieht bei Verstößen hohe Bußgelder vor [2]. Mit der Spezifikation security.txt sind Unternehmen auch hier einen großen Schritt weiter.

Wenn Sie security.txt auch für Ihr Unternehmen umsetzen möchten, finden Sie auf https://securitytxt.org/ einen einfachen Generator, der Ihnen bei der Erstellung der Datei hilft.

Die technische Spezifikation empfiehlt, die Geltungsdauer der Datei auf maximal ein Jahr zu setzen. Alle technischen Details und die vollständige Definition der Spezifikation finden Sie im RFC 9116 der Internet Engineering Task Force (IETF).