2022 / Awareness / IT Security / Offensive Services

Security.txt – Sicherheitsprobleme einfach melden

Webseiten, Applikationen und digitale Plattformen sind über das Internet für jeden erreichbar. Enthält eine Webseite eine Schwachstelle kann die sogenannte security.txt dabei helfen, dem Betreiber die Schwachstelle zu melden und dadurch die NutzerInnen der Webseite optimal zu schützen.

Wieso braucht es eine Security.txt?

Viele Sicherheitsforscher kommen in Situationen in denen Sie Schwachstellen auf zum Beispiel einer Webseite finden aber nicht wissen, wie und an wen diese Schwachstelle gemeldet werden soll. Verschicken Sicherheitsforscher gefundene Schwachstellen aber an allgemeine Postfächer versanden die Informationen häufig oder es kommt zu nicht-technischen Nachfragen oder auch zur Drohung der Betreiber. Dadurch wird weder die Webseite sicherer noch das Problem beseitigt. Häufig kommt es auch zu Missverständnissen, so wurde beispielsweise dieses Statement an den Autor des Artikels übersendet, nachdem eine kritische Schwachstelle übermittelt wurde.

Sicher haben Sie Verständnis dafür, dass wir Fragen zur IT-Sicherheit bzw. zu Details der Sicherheitsaspekte unserer Website nur gegenüber offiziellen Ermittlungsbehörden erörtern oder beantworten können.

Kundenservice aus DE nach Meldung einer kritischen Sicherheitslücke

Nun können in einem solchen Fall weitere Stellen eingeschaltet werden, wie beispielsweise das Computer Emergency Response Team (CERT-Bund), welches die zentrale Anlaufstelle für präventive und reaktive Maßnahmen in Computersystemen darstellt. Dies bedeutet meist jedoch erheblichen Mehraufwand für die Entdecker von Sicherheitslücken, sodass sich nicht immer für diesen Weg entschieden wird und die Schwachstelle bestehen bleibt.

Woraus besteht eine Security.txt

Die Security.txt soll Sicherheitsforschenden das Leben erleichtern und wurde daher als RFC 9116 standardisiert. Die Security.txt sollt eim sogenannten /.well-known/-Verzeichnis einer Webseite abgelegt sein (domain.de/.well-known/security.txt) oder direkt im Stammverzeichnis (domain.de/security.txt). Die Datei muss per HTTPS erreichbar sein und es muss mindestens eine Kontaktadresse und ein Ablaufdatum enthalten sein. Die meisten Firmen ergänzen die Security.txt aber um weitere Informationen. So enthält die Security.txt der AWARE7 GmbH noch Informationen zur Sprache in der Sicherheitsmeldungen entgegengenommen werden, einen Canonical-Link sowie Informationen, wo sich Interessenten bei uns bewerben können. Die Webseite hilft also dabei, mit Unternehmen in Kontakt zu treten, wenn eine Sicherheitslücke gefunden wurd.

Wie verbreitet ist diese Praxis?

Wir haben uns gefragt, inwieweit dies von Webseiten umgesetzt wurde. In einem ersten Vorexperiment haben wir eine alte Alexa-Top Liste verwendet, um zu analysieren, wieviele deutsche Webseiten eine Security.txt gemäß Standard haben. Das ernüchternde Ergebnis lautet, dass nur 147 der 11.737 deutschsprachigen Webseiten eine solche Security.txt Standardkonform umsetzen. Die Zuordnung einer Webseite als “deutschsprachige Webseite” erfolgte ausschließlich auf Basis der “.de”-Top-Level-Domain. Diese Zuordnung haben wir auch bei unserer nachfolgenden Messung beibehalten.

Darauf aufsetzend wollten wir es genauer und globaler Wissen. Aus diesem Grund haben wir uns eine aktuelle Tranco-Liste heruntergeladen und die entsprechenden Verzeichnisse auf den einzelnen Webseiten durchsucht. Die Tranco-Liste ist eine wissenschaftliche Liste der beliebtesten Webseiten, welche die Unzulänglichkeiten der aktuellen Listen verbessert. Insbesondere die Reproduzierbarkeit dieser Ranglisten ist ein Punkt den die Tranco-Liste deutlich verbessert.

TLDAnzahl der Domains in der Tranco-ListeAnzahl der Domains mit einer Security.txt
com461.4481.739
de25.708458
nl8.914245
se2.887200
org50.610178
net60.249149
cz3.559149
co.uk11.85686
io8.83285
fr6.15774
ch3.18869
pl5.81569
ru57.84860
no1.51150
eu4.74850
it6.73447
sk1.16040
fi1.45938
be2.57338
Die Top-Level Domains mit den meisten Security.txt’s

Im Rahmen unserer Analyse fällt auf, dass Deutschland in dieser Top 20 den zweiten Platz hinsichtlich der Verbreitung der Security.txt belegt. Weiterhin zeigt sich, dass die Wahl der Tranco-Liste auch eine höhere Verbreitung der Meldeseite vorzeigt. Dies liegt vermutlich daran, dass die Alexa Top-Liste seit Mai 2022 nicht mehr angeboten wird. Was sich hier nach einem Erfolg anhört, wirkt ernüchternd beim Blick auf die absoluten Zahlen: Nur 458 (1,78 %) der 25.708 “.de-Domains” bieten eine Security.txt an. Am weitesten verbreitet in dieser Top-20 ist die Security.txt bei den “.com-Domains”, jedoch sind es hier nur 0,37 % der Webseiten, welche eine Security.txt anbieten. Prozentual betrachtet sind schwedische Webseiten am weitesten, was die Verbreitung angeht, da hier 6,92 % der Webseiten eine entsprechende Richtlinie haben. Insgesamt ist die Verbreitung nicht weit vorangeschritten. Von den eine Millionen untersuchten Domains haben lediglich 4.903 Domains insgesamt eine Security.txt, dies sind 0,005 %.

Bedeutung der Messergebnisse

Die Messergebnisse bedeuten im wesentlichen, dass die Security.txt global und national noch nicht weit verbreitet ist. Dies ist hinsichtlich der IT-Sicherheit zu beanstanden, da viele Benachrichtigungen von Sicherheitslücken in digitalen Produkten und Webseiten nicht an ein dediziertes Postfach oder Team geleitet werden können, sondern an allgemeine Postfächer gesendet werden müssen. Dort ist die Frage, inwieweit diese Meldungen ernst genommen werden beziehungsweise technisch gelöst werden. Im Einzelfall ist ein Kontakt ein allgemeines Postfach sicherlich zielführend, nach unserer Erfahrung im Bereich der Meldung von Sicherheitslücken ist dies aber nicht immer der Fall.

Sie sind Webseitenbetreiber und benötigen Unterstützung?

Kontaktieren Sie uns gerne, falls Sie Unterstützung bei der Umsetzung der RFC 9116 brauchen. Ansonsten finden Sie auf dieser Webseite einen Generator und müssen das Ergebnis nur noch am korrekten Ort ihrer Webseite ablegen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.