security.txt und Kontaktinformationen

Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.

security.txt

Die Datei security.txt weisst ein definiertes Format auf und wird auf dem Webserver unter https://<domain>/.well-known/security.txt gespeichert. Im security.txt wird definiert wer und wie kontaktiert werden soll. Die Datei kann auch signiert werden, um ihre Echtheit zu bestätigen. Praktisch alle grossen Techfirmen benutzen diesen Mechanismus.

Mehr Informationen und ein security.txt Generator ist auf https://securitytxt.org zu finden.

Was wenn ich betreffend einer Sicherheitslücke kontaktiert werde?

Nehmen Sie die Sicherheitslücke ernst und prüfen Sie selber, ob Ihre Systeme wirklich davon betroffen sind. Leider gibt es sehr viele Werbemails, welche genau diese Strategie ausnutzen und "Sicherheitslücken" melden, welche gar keine sind. Nachdem sie die Meldung verifiziert haben, beheben Sie die Lücke so schnell wie möglich. Über einen Dank und eine kurze Bestätigung, dass die Lücke behoben wurde, wird sich der Reporter freuen. Denn dann wurde das Internet ein Stück sicherer gemacht.

Wenn Sie die Meldung nicht selber beurteilen können, klären Sie es mit einem Spezialisten ab.

Es ist schon bedenklich, dass wenn das NCSC per eingeschriebenen Briefen betroffene Firmen über schwerwiegende Lücken informiert und ein Grossteil auch nach Tagen nicht reagiert und die Lücke nicht schliesst.