"Security.txt"

Warum Firmen auf Websites einen Sicherheitskontakt hinterlegen sollten - und wo

Uhr
von Maximilian Schenner und jor

Im Cyber-Ernstfall gilt es, schnell die zuständigen Personen zu informieren. Oftmals sind jedoch Sicherheitskontakte auf Firmenwebsites schwer zu finden oder gar nicht hinterlegt. Das NCSC erklärt, warum und wo Unternehmen ihren Cyber-Notfallkontakt ablegen sollten.

(Source: Bojan89 / iStock.com)
(Source: Bojan89 / iStock.com)

Spätestens im Kindergarten gibt es für jede und jeden von uns einen Notfallkontakt - jene Person, die zuerst informiert wird, wenn uns etwas passiert. Wenn einem Unternehmen etwas passiert, genauer gesagt in puncto Cybersicherheit, gilt es ebenfalls, die zuständigen Personen zu informieren. Wer das ist, ist aber oftmals gar nicht so leicht herauszufinden, wie das Nationale Zentrum für Cybersicherheit (NCSC) schreibt. Eigentlich sollte der Sicherheitskontakt auf der Unternehmenswebsite hinterlegt sein - was aber oft nicht der Fall sei.

Die Konsequenz: Wer einen Vorfall meldet, muss sich bis zum zuständigen Kontakt durchfragen und mehrfach das Problem schildern, was wertvolle Zeit kostet. Im schlimmsten Fall werden Meldungen gar ignoriert und gelangen überhaupt nicht bis zur zuständigen Person.

Leitfaden für den Meldeprozess

Dieser Meldeprozess sollte von der zuständigen IT-Stelle des Unternehmens klar definiert sein, schreibt das NCSC in seinem Leitfaden zum Thema Vulnerability Disclosure Management (PDF). Der Leitfaden soll Firmen oder Organisationen helfen, einen solchen Prozess zu implementieren. Damit wüssten bei einem Zwischenfall sowohl meldende Personen als auch die Zuständigen sofort, was zu tun ist.

Die Kontaktdaten der IT-Verantwortlichen müssen leicht zu finden sein, wie das NCSC erklärt. Einerseits sollten Firmen diese auf der Website-Navigation "Kontakt" anführen. Andererseits sollten die Kontaktdaten auch in einer Textdatei erfasst und auf der Website hinterlegt werden.

Kleine Textdatei, grosse Wirkung

Die Datei soll laut NCSC den Namen "security.txt" tragen und im vordefinierten Verzeichnis "/.well-known" auf der Website abgespeichert werden. Sie muss laut NCSC zwingend die Kontaktinformationen der zuständigen Personen enthalten, entweder in Form einer E-Mail-Adresse oder als Web-Formular. Ein Ablaufdatum dieser Daten sei ebenfalls verpflichtend anzuführen. Das NCSC rät, diesen Wert regelmässig zu aktualisieren und die Datei ständig zu überprüfen. 

Die folgenden Informationen können in der Datei "security.txt" laut NCSC ebenfalls Platz finden:

  • Bevorzugte Sprache(n) für die Kommunikation mit der IT-Stelle
  • Links zu einem Schlüssel (etwa PGB oder S/MIME) für den sicheren Austausch mit Security-Forschenden
  • Link zur Datei security.txt, falls diese digital signiert ist
  • Link zu Danksagungen an die IT-Stelle 
  • Link zu einer Richtlinie für das Meldeverfahren
  • Jobangebote für sicherheitsrelevante Positionen im Unternehmen

Als Beispiel führt das NCSC seinen eigenen Webauftritt an:
Die Textdatei security.txt auf der Website des NCSC.

Die Textdatei security.txt auf der Website des NCSC. (Source: Screenshot)

Der Standard könne vom IT-Support des Unternehmens technisch einfach implementiert werden, schreibt das NCSC. Dabei trage es aber erheblich zur Verbesserung des Sicherheitsmanagements bei.

Wenn Sie mehr zu Cybersecurity und Datenschutz lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
dUEmf2gU