security.txt: Standardisierte Kontaktinfos für IT-Sicherheitsmeldungen

Film: Industriesteuerungen mit Sicherheitslücken sind eine Gefahr. Angriffe auf Netzwerke verursachen nicht nur wirtschaftliche Schäden, sondern können auch Auswirkungen auf die Gesundheit der Beschäftigten haben. Wer ist bei Bekanntwerden einer kritischen Schwachstelle zuständig? Jedes Unternehmen sollte einen Notfallkontakt hinterlegen, z.B. mit dem internationalen Standard RFC 9116.

IT-Sicherheitslücken sind ein Problem unserer digitalen, vernetzten Welt. Sie entstehen vor allem durch Design- und Programmierfehler und können ganz unterschiedliche Systeme bedrohen: Mal wird eine Webcam gekapert, mal werden Zugangsdaten ausgespäht - und mitunter verschaffen sich Angreifer auch Zugriff auf Maschinensteuerungen.

Wenn Sicherheitsforschende oder Behörden ein kritisches Sicherheitsproblem in einem Produkt oder dem Netzwerk eines Betriebs entdeckt haben, muss die Information schnell den zuständigen IT-Fachleuten übermittelt werden. Die Erfahrung hat jedoch gezeigt, dass Webseitenformulare und allgemeine Kontaktadressen auf Unterseiten dazu ungeeignet sind. Wichtige Informationen müssen oft erst aufwändig weitergeleitet werden oder gehen manchmal sogar ganz verloren. Wer eine Meldung machen möchte, weiß darüber hinaus nicht, ob verschlüsselt kommuniziert werden soll (und wenn ja, wie) oder welche weiteren Vereinbarungen gegebenenfalls gelten sollen.

Am entscheidendsten ist jedoch: Woher weiß ich, ob meine Warnung überhaupt willkommen ist? Macht sich vielleicht nicht sogar verdächtig, wer ein Einfallstor in der Unternehmens-IT aufdeckt? Durch die Grauzone des "Hackerparagraphen" StGB 202c werden Sicherheitsforscherinnen und Sicherheitsforscher potenziell kriminalisiert und müssen hohe Strafen fürchten. Immer wieder kommt es vor, dass engagierte Fachleute, die Betreiber auf ein Problem aufmerksam machen, selbst angezeigt werden.

Dabei ist die wohlmeinende, verantwortungsvolle Offenlegung erkannter Sicherheitslücken - die sogenannte Responsible Disclosure - ein wichtiger Beitrag zu einer sicheren IT-Infrastruktur. Eine praktikable Lösung bietet hier eine internationale technische Spezifikation, die allen Beteiligten einen vertrauensvollen Austausch ermöglicht:

Dazu werden in einer einfachen Textdatei mit dem festgelegten Namen security.txt und in einem vorgegebenen Format Kontaktinformationen und Angaben zur Verschlüsselung etc. hinterlegt. Diese Datei wird dann auf dem Webserver der Unternehmung im Verzeichnis .well-known/ unterhalb des Wurzelverzeichnisses abgelegt. Sie ist dann für alle über HTTPS unter der URL folgenden Schemas verfügbar:

https://www.example.com/.well-known/security.txt

Diesen Ablageort kennen alle Sicherheitsforscherinnen und Sicherheitsforscher weltweit und so wenden viele Unternehmen diese Spezifikation bereits an, z. B. die DGUV:
https://www.dguv.de/.well-known/security.txt

Die Definition der technischen Spezifikation ist als ein Request for Comments (RFC) kostenlos online verfügbar (RFC 9116). Dieses Verfahren bietet aber auch noch weitere Vorteile – für beide Seiten: Wer eine gravierende Sicherheitslücke meldet, wird unter dem Stichwort "Acknowledgements" gewürdigt und kann mitunter sogar mit einer Vergütung rechnen. Unter "Hiring" bieten Unternehmen attraktive Stellen für Sicherheitsfachleute an und finden qualifizierte Nachwuchskräfte.

Für Hersteller digitaler Produkte wird es nach dem Entwurf einer neuen EU-Verordnung in naher Zukunft sogar Pflicht, einen gut erreichbaren Kontakt zu hinterlegen und sieht bei Verstößen hohe Bußgelder vor [2]. Mit der Spezifikation security.txt sind Unternehmen auch hier einen großen Schritt weiter.

Wenn Sie security.txt auch für Ihr Unternehmen umsetzen möchten, finden Sie auf https://securitytxt.org/ einen einfachen Generator, der Ihnen bei der Erstellung der Datei hilft.

Alle technischen Details und die vollständige Definition der Spezifikation finden Sie im RFC 9116 der Internet Engineering Task Force (IETF).

FAQ – Häufig gestellte Fragen zu RFC 9116

Q: Könnte man unerwünschte Nachrichten an diese Kontaktadresse erhalten?
A: Ja. Auf Betreiberseite greifen die üblichen Maßnahmen zur Bekämpfung von ungewünschten Mails. Es ist wichtig, ohne große Hürden erreichbar zu sein. Damit geht einher, dass Absender auch ungewünschte Nachrichten an den Notfallkontakt schreiben können. Allerdings sind selbst Webformulare und Webseiten mit Captcha davor nicht geschützt. Durch das Deaktivieren von HTML kann die Sicherheit beim Lesen von E-Mails jedoch deutlich erhöht werden.
Weitere Tipps liefert das BSI unter Sicherheits-Irrtümer: E-Mail-Sicherheit.

Q: Wie wird verhindert, dass die Mail über Sicherheitslücken in meinem Betrieb von Fremden mitgelesen wird?
A: Dazu können Mails verschlüsselt werden.

Q: Empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Datei security.txt anzulegen?
A: Ja, das BSI empfiehlt dies auch, denn: "Eine der größten Herausforderungen im CVD-Prozess ist die Identifizierung des richtigen Ansprechpartners." (CVD = Coordinated Vulnerability Disclosure, also die koordinierte Veröffentlichung bekannter Schwachstellen)

Q: Gibt es Tipps zur Einrichtung des Mailverteilers?
A: Sinnvoll ist die Nutzung von Funktionspostfächern (wie etwa security@example.com), darüber hinaus können auch themenspezifische Kontakte angegeben werden. Das ist besonders für große Hersteller praktisch, die eingehende Hinweise zum eigenen Betrieb und zu ihren Produkten so direkt trennen können.

Q: Wie oft muss die Datei aktualisiert werden?
A: Die technische Spezifikation empfiehlt, die Geltungsdauer der Datei auf maximal ein Jahr zu setzen.