In einer zunehmend digitalisierten Welt ist Cybersicherheit nicht mehr optional. Für Unternehmen wird es immer wichtiger, Sicherheitslücken schnell zu identifizieren und zu beheben – am besten noch bevor ein Angreifer sie ausnutzt.
Werden Sicherheitsrisiken in Webdiensten entdeckt, fehlen oft die Kanäle, um diese ordnungsgemäß melden zu können.
Der standardisierte Einsatz einer sogenannten security.txt-Datei kann dazu beitragen, bei Sicherheitsvorfällen die verantwortlichen Stellen effizient zu erreichen.
Was ist eine security.txt?
Die security.txt ist eine Textdatei, die es ermöglicht, auf einfache Weise Kontaktinformationen für sicherheitsrelevante Meldungen bereitzustellen. Sie ist unter der folgenden standardisierten Pfadangabe abzulegen:
https://example.com/.well-known/security.txtDer Standard wird in der RFC 9116 beschrieben und verfolgt das Ziel, die Meldung von Schwachstellen zu erleichtern und dadurch die Sicherheit von Webdiensten zu erhöhen.
Nutzen und Relevanz
Die Datei bietet insbesondere für externe Sicherheitsforschende eine zuverlässige Möglichkeit, auf potenzielle Schwachstellen hinzuweisen – ohne langwierige Recherchen zur Kontaktaufnahme. Gleichzeitig unterstreicht eine Veröffentlichte security.txt das Engagement Ihres Unternehmens im Bereich Cybersicherheit und schafft Vertrauen bei Nutzerinnen und Nutzern.
Inhalt einer security.txt
Die Angaben in der Datei stellen eine Schlüssel-Werte-Datenbank dar. Diese enthält vorgegebenen und freiwilligen Angaben. Eine typische security.txt enthält strukturierte Angaben, beispielsweise:
Contact: mailto:security@example.com
Encryption: https://example.com/pgp-key.txt
Acknowledgments: https://example.com/hall-of-fame.html
Policy: https://example.com/vulnerability-disclosure-policy
Hiring: https://example.com/jobs/hiring
Preferred-Languages: en, de
Expires: 2025-12-31T23:59:00.000ZErläuterungen:
Contact: E-Mail-Adresse oder Webformular zur Kontaktaufnahme bei Sicherheitsmeldungen. (Verpflichtend)Expires: Ablaufdatum der Datei, um Aktualität zu gewährleisten. (Verpflichtend)Encryption: Link zu einem öffentlichen PGP-Schlüssel zur verschlüsselten Kommunikation (optional).Acknowledgments: Seite zur Anerkennung gemeldeter Schwachstellen (optional).Policy: Verweis auf die eigene Richtlinie zum Umgang mit Schwachstellenmeldungen.Hiring: Hinweis auf sicherheitsbezogene Stellenangebote (optional).Preferred-Languages: Erwünschte Sprachen für Meldungen. (optional)Canonical: Kanonische URL zur Datei. (optional)
Empfehlungen zur Umsetzung
- Die Datei sollte auf allen relevanten Domains im Verzeichnis
/.well-known/verfügbar sein. - Eine Absicherung über HTTPS ist obligatorisch.
- Die E-Mail-Adresse im Feld
Contactsollte regelmäßig überprüft und aktualisiert werden. - Bei der Nutzung von Verschlüsselung ist auf einen aktuellen und gültigen öffentlichen Schlüssel zu achten.
- Die Inhalte sollten regelmäßig überprüft und bei Bedarf aktualisiert werden.
Fazit
Die security.txt ist ein einfacher, aber wirkungsvoller Baustein für mehr Transparenz und Sicherheit im Umgang mit Schwachstellen. Sie trägt zur schnellen Kommunikation im Ernstfall bei und unterstützt Unternehmen dabei, verantwortungsvoll mit potenziellen Bedrohungen umzugehen. Die Implementierung empfiehlt sich für alle Betreiber von Webdiensten, die Wert auf IT-Sicherheit und vertrauensvolle Kommunikation legen.
Hilfen im Netz
Eine eigene security.txt kann sehr schnell mithilfe des Formulars auf der Seite https://securitytxt.org/ erzeugt werden.