Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Security.txt – Sicherheitsprobleme einfach melden

Dr. Matteo Große-Kampmann

Webseiten, Applikationen und digitale Plattformen sind über das Internet für jeden erreichbar. Enthält eine Webseite eine Schwachstelle kann die sogenannte security.txt dabei helfen, dem Betreiber die Schwachstelle zu melden und dadurch die NutzerInnen der Webseite optimal zu schützen.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Wieso braucht es eine Security.txt?

Viele Sicherheitsforscher kommen in Situationen in denen Sie Schwachstellen auf zum Beispiel einer Webseite finden aber nicht wissen, wie und an wen diese Schwachstelle gemeldet werden soll. Verschicken Sicherheitsforscher gefundene Schwachstellen aber an allgemeine Postfächer versanden die Informationen häufig oder es kommt zu nicht-technischen Nachfragen oder auch zur Drohung der Betreiber. Dadurch wird weder die Webseite sicherer noch das Problem beseitigt. Häufig kommt es auch zu Missverständnissen, so wurde beispielsweise dieses Statement an den Autor des Artikels übersendet, nachdem eine kritische Schwachstelle übermittelt wurde.

Sicher haben Sie Verständnis dafür, dass wir Fragen zur IT-Sicherheit bzw. zu Details der Sicherheitsaspekte unserer Website nur gegenüber offiziellen Ermittlungsbehörden erörtern oder beantworten können.

Kundenservice aus DE nach Meldung einer kritischen Sicherheitslücke

Nun können in einem solchen Fall weitere Stellen eingeschaltet werden, wie beispielsweise das Computer Emergency Response Team (CERT-Bund), welches die zentrale Anlaufstelle für präventive und reaktive Maßnahmen in Computersystemen darstellt. Dies bedeutet meist jedoch erheblichen Mehraufwand für die Entdecker von Sicherheitslücken, sodass sich nicht immer für diesen Weg entschieden wird und die Schwachstelle bestehen bleibt.


Laden Sie jetzt unsere kostenfreie Penetrationstest Checkliste herunter

 

7 Schritte zum umfangreichen Aufbau und Ablauf eines Penetrationstests.

Kostenfrei. Jetzt anfordern


Woraus besteht eine Security.txt

Die Security.txt soll Sicherheitsforschenden das Leben erleichtern und wurde daher als RFC 9116 standardisiert. Die Security.txt sollt eim sogenannten /.well-known/-Verzeichnis einer Webseite abgelegt sein (domain.de/.well-known/security.txt) oder direkt im Stammverzeichnis (domain.de/security.txt). Die Datei muss per HTTPS erreichbar sein und es muss mindestens eine Kontaktadresse und ein Ablaufdatum enthalten sein. Die meisten Firmen ergänzen die Security.txt aber um weitere Informationen. So enthält die Security.txt der AWARE7 GmbH noch Informationen zur Sprache in der Sicherheitsmeldungen entgegengenommen werden, einen Canonical-Link sowie Informationen, wo sich Interessenten bei uns bewerben können. Die Webseite hilft also dabei, mit Unternehmen in Kontakt zu treten, wenn eine Sicherheitslücke gefunden wurd.

Wie verbreitet ist diese Praxis?

Wir haben uns gefragt, inwieweit dies von Webseiten umgesetzt wurde. In einem ersten Vorexperiment haben wir eine alte Alexa-Top Liste verwendet, um zu analysieren, wieviele deutsche Webseiten eine Security.txt gemäß Standard haben. Das ernüchternde Ergebnis lautet, dass nur 147 der 11.737 deutschsprachigen Webseiten eine solche Security.txt Standardkonform umsetzen. Die Zuordnung einer Webseite als „deutschsprachige Webseite“ erfolgte ausschließlich auf Basis der „.de“-Top-Level-Domain. Diese Zuordnung haben wir auch bei unserer nachfolgenden Messung beibehalten.

Darauf aufsetzend wollten wir es genauer und globaler Wissen. Aus diesem Grund haben wir uns eine aktuelle Tranco-Liste heruntergeladen und die entsprechenden Verzeichnisse auf den einzelnen Webseiten durchsucht. Die Tranco-Liste ist eine wissenschaftliche Liste der beliebtesten Webseiten, welche die Unzulänglichkeiten der aktuellen Listen verbessert. Insbesondere die Reproduzierbarkeit dieser Ranglisten ist ein Punkt den die Tranco-Liste deutlich verbessert.

TLDAnzahl der Domains in der Tranco-ListeAnzahl der Domains mit einer Security.txt
com461.4481.739
de25.708458
nl8.914245
se2.887200
org50.610178
net60.249149
cz3.559149
co.uk11.85686
io8.83285
fr6.15774
ch3.18869
pl5.81569
ru57.84860
no1.51150
eu4.74850
it6.73447
sk1.16040
fi1.45938
be2.57338
Die Top-Level Domains mit den meisten Security.txt’s

Im Rahmen unserer Analyse fällt auf, dass Deutschland in dieser Top 20 den zweiten Platz hinsichtlich der Verbreitung der Security.txt belegt. Weiterhin zeigt sich, dass die Wahl der Tranco-Liste auch eine höhere Verbreitung der Meldeseite vorzeigt. Dies liegt vermutlich daran, dass die Alexa Top-Liste seit Mai 2022 nicht mehr angeboten wird. Was sich hier nach einem Erfolg anhört, wirkt ernüchternd beim Blick auf die absoluten Zahlen: Nur 458 (1,78 %) der 25.708 „.de-Domains“ bieten eine Security.txt an. Am weitesten verbreitet in dieser Top-20 ist die Security.txt bei den „.com-Domains“, jedoch sind es hier nur 0,37 % der Webseiten, welche eine Security.txt anbieten. Prozentual betrachtet sind schwedische Webseiten am weitesten, was die Verbreitung angeht, da hier 6,92 % der Webseiten eine entsprechende Richtlinie haben. Insgesamt ist die Verbreitung nicht weit vorangeschritten. Von den eine Millionen untersuchten Domains haben lediglich 4.903 Domains insgesamt eine Security.txt, dies sind 0,005 %.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Bedeutung der Messergebnisse

Die Messergebnisse bedeuten im wesentlichen, dass die Security.txt global und national noch nicht weit verbreitet ist. Dies ist hinsichtlich der IT-Sicherheit zu beanstanden, da viele Benachrichtigungen von Sicherheitslücken in digitalen Produkten und Webseiten nicht an ein dediziertes Postfach oder Team geleitet werden können, sondern an allgemeine Postfächer gesendet werden müssen. Dort ist die Frage, inwieweit diese Meldungen ernst genommen werden beziehungsweise technisch gelöst werden. Im Einzelfall ist ein Kontakt ein allgemeines Postfach sicherlich zielführend, nach unserer Erfahrung im Bereich der Meldung von Sicherheitslücken ist dies aber nicht immer der Fall.

Sie sind Webseitenbetreiber und benötigen Unterstützung?

Kontaktieren Sie uns gerne, falls Sie Unterstützung bei der Umsetzung der RFC 9116 brauchen. Ansonsten finden Sie auf dieser Webseite einen Generator und müssen das Ergebnis nur noch am korrekten Ort ihrer Webseite ablegen.

LiveHacking-Banner-Blog

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

Dr. Matteo Große-Kampmann

Mein Name ist Matteo Große-Kampmann. Gemeinsam mit Chris Wojzechowski habe ich die AWARE7 GmbH in Gelsenkirchen gegründet. Ich habe meine Promotion zum Thema "Towards Understanding Attack Surfaces of Analog and Digital Threats" abgeschlossen und bin ausgebildeter ISO 27001 Lead Auditor.