Der Sicherheitskontakt muss auffindbar sein
Bei Sicherheitsvorfällen ist es wichtig, schnell und unverzüglich die verantwortliche IT-Ansprechperson des Unternehmens zu finden. Oftmals sind diese Kontakte gar nicht hinterlegt. Der Standard «security.txt» soll dieses Problem lösen.
Eine hundertprozentige Sicherheit bei IT-Systemen gibt es nicht, und Schwachstellen gehören zum Alltag. Oftmals sind diese Kontakte auf den Webseiten aber nicht einfach zu finden oder gar nicht hinterlegt. Mit dem Standard «security.txt» steht eine Möglichkeit zur Verfügung, den Sicherheitskontakt einer Organisation oder Unternehmung einheitlich zu publizieren und somit schneller aufzufinden.
Der Standard gibt vor, eine Textdatei mit dem Namen «security.txt» im vordefinierten Verzeichnis «/.well-known» auf der Webseite der Unternehmung oder Organisation abzuspeichern. In dieser Datei sind mindestens die Kontaktdaten abgespeichert, mit denen man sich mit dem zuständigen Sicherheitskontakt einer Unternehmung oder Organisation in Verbindung setzen kann. Zusätzlich können auch weitere Sicherheitsrelevante Informationen dort abgelegt werden.
Der Standard «security.txt» kann laut dem Nationalen Zentrum für Cybersicherheit (NCSC) vom IT-Support der Unternehmung oder der Organisation technisch einfach implementiert werden und trägt wesentlich zur Verbesserung des Sicherheitsmanagements bei. Eine Erhebung des NCSC habe gezeigt, dass bereits einige Tausend Webseiten in der Schweiz den «security.txt» Standard umgesetzt haben. Im Verhältnis zur Gesamtzahl der Webseiten in der Schweiz von mehreren Millionen gäbe es aber noch «Luft nach oben».
Das NCSC hat einen Leitfaden für Organisationen und Unternehmungen erstellt, der das genaue Vorgehen beschreibt und weiterführende Informationen liefert.
Quelle: NCSC
