NCSC 20.01.2023, 13:06 Uhr

Der Sicherheitskontakt gehört auf die Website

Bei Cybersicherheitsproblemen ist es wichtig, den zuständigen Sicherheitskontakt einer Organisation unverzüglich zu informieren. Doch auf vielen Webseiten sind die nötigen Angaben nicht oder nur schwer zu finden. Der Standard «security.txt» soll dieses Problem lösen.
Mit «security.txt» soll es einfacher werden, die zuständigen Experten in einem Unternehmen bezüglich einer entdeckten Schwachstelle zu informieren
(Quelle: Pixabay/Gerd Altmann)
IT-Systeme sind nie zu 100 Prozent sicher und einzelne Schwachstellen gehören zum Alltag. Oft sind es Sicherheitsforschende, das Nationale Zentrum für Cybersicherheit (NCSC) oder sogar einzelne Mitarbeiter einer betroffenen Organisation selbst, die auf diese Sicherheitslücken aufmerksam werden. In solch einem Fall ist es essenziell, dass das Problem dem zuständigen Sicherheitskontakt unverzüglich gemeldet wird. Genau dieser Prozess soll durch den Standard «security.txt» so einfach und einheitlich wie möglich gemacht werden.

Ansprechpersonen nur schwer kontaktierbar

Heute ist es zu oft noch so, dass der zuständige Sicherheitskontakt eines Unternehmens nur schwer zu finden oder gar nicht erst auf der entsprechenden Webseite publiziert ist. Viele Webseiten bieten nur eine zentrale Telefonnummer oder eine allgemeine E-Mail-Adresse. Bis eine Person ihre Warnmeldung an den zuständigen Mitarbeiter bringen kann, ist oft ein «Durchfragen» nötig und das Problem muss mehrmals erklärt werden. Das kostet wertvolle Zeit. Im schlimmsten Fall kommt es sogar vor, dass solche wichtigen Informationen nicht richtig oder gar nicht weitergeleitet werden und der zuständige Sicherheitskontakt deshalb nichts von der Schwachstelle erfährt. Das soll sich mit «security.txt» ändern.

Einheitlich und schnell auffindbar

Mit dem Standard «security.txt» ist es möglich, den zuständigen Sicherheitskontakt eines Unternehmens schnell via deren Webseite zu finden. Denn dieser gibt vor, dass eine Textdatei mit dem Namen «security.txt» im vordefinierten Verzeichnis «/.well-known»  auf der Webseite eines Unternehmens oder einer Organisation abgespeichert wird. In dieser Datei müssen im Minimum die Kontaktdaten, mit denen man sich mit dem zuständigen Sicherheitskontakt in Verbindung setzen kann, enthalten sein. Auch weitere sicherheitsrelevante Informationen können dort abgelegt werden. Den Leitfaden des NCSC, in dem das Vorgehen genauer beschrieben und weiterführende Informationen bereitgestellt werden, finden Sie hier.
«Security.txt» kann gemäss NCSC von IT-Support eines Unternehmens technisch einfach implementiert werden und trägt stark zur Verbesserung des Sicherheitsmanagements bei. Laut einer Erhebung des NCSC haben bereits mehrere Tausend Webseiten in der Schweiz den «security.txt» Standard umgesetzt. Auch die Bundesverwaltung arbeitet daran. Im Verhältnis zur totalen Anzahl an Webseiten in der Schweiz ist das jedoch erst eine kleine Gruppe.



Das könnte Sie auch interessieren