Bei Cybersicherheitsproblemen in einem Unternehmen oder einer Organisation ist es sehr wichtig den zuständigen Sicherheitskontakt schnell zu informieren. Oftmals sind diese Kontakte auf den Webseiten aber nicht einfach zu finden oder gar nicht hinterlegt. Mit dem Standard «security.txt» steht eine Möglichkeit zur Verfügung, den Sicherheitskontakt einer Organisation oder Unternehmung einheitlich zu publizieren und somit schneller aufzufinden.
Eine hundertprozentige Sicherheit bei IT-Systemen gibt es nicht, und Schwachstellen gehören zum Alltag. Solche Sicherheitslücken werden oftmals auch durch Sicherheitsforschende, das BACS, durch die Mitarbeitenden der betroffenen Unternehmung oder Organisation selbst oder durch die Öffentlichkeit entdeckt und sollten möglichst rasch dem zuständigen Sicherheitskontakt gemeldet werden können.
Häufig sind diese spezifischen Kontaktangaben jedoch kaum auffindbar oder nicht publiziert. Auf der jeweiligen Webseite ist oft nur eine zentrale Telefonnummer oder eine allgemeine E-Mail-Adresse aufgeführt. Als Konsequenz muss sich die meldende Person bis zur richtigen Ansprechperson durchfragen und das Problem mehrfach erklären. Dadurch vergeht oft wertvolle Zeit. Bis die Information die verantwortliche Person erreicht, kann es unter Umständen schon zu spät sein. Oft kommt es auch vor, dass diese Informationen gar nicht weitergeleitet und ignoriert werden und der dafür zuständige Sicherheitskontakt keine Kenntnis über die Schwachstelle erhält.
Der Standard «security.txt» ermöglicht es, den zuständigen Sicherheitskontakt auf der Webseite einer Unternehmung oder Organisation schnell zu finden. Der Standard gibt vor, eine Textdatei mit dem Namen «security.txt» im vordefinierten Verzeichnis «/.well-known» auf der Webseite der Unternehmung oder Organisation abzuspeichern. In dieser Datei sind mindestens die Kontaktdaten abgespeichert, mit denen man sich mit dem zuständigen Sicherheitskontakt einer Unternehmung oder Organisation in Verbindung setzen kann. Zusätzlich können auch weitere Sicherheitsrelevante Informationen dort abgelegt werden. Das BACS hat einen Leitfaden für Organisationen und Unternehmungen erstellt, der das genaue Vorgehen beschreibt und weiterführende Informationen liefert.
Der Standard «security.txt» kann vom IT-Support der Unternehmung oder der Organisation technisch einfach implementiert werden und trägt wesentlich zur Verbesserung des Sicherheitsmanagements bei.
Eine Erhebung des BACS hat gezeigt, dass bereits einige Tausend Webseiten in der Schweiz den «security.txt» Standard umgesetzt haben. Im Verhältnis zur Gesamtzahl der Webseiten in der Schweiz von mehreren Millionen gibt es aber noch Luft nach oben. Das BACS ermutigt die Unternehmen, Organisationen und Verwaltungen in der Schweiz, diesen Sicherheitsstandard umzusetzen und so einen wesentlichen Beitrag zur Cybersicherheit beizutragen.
Auch die Bundesverwaltung ist daran, diesen Standard umzusetzen. Unter anderem ist auf der Website www.admin.ch ein security.txt bereits verfügbar: https://www.admin.ch/.well-known/security.txt.
Weitere Internetseiten der Bundesverwaltung werden folgen.
Leitfaden des BACS:
Beispiel:
Letzte Änderung 01.01.2024