Was ist eine Sicherheits-Txt-Datei?
Fast alle Websites haben eine Reihe von txt-Dateien im wwwroot der Installation. Dabei kann es sich um eine Readme-Datei handeln, die mit der Installation mitgeliefert wurde, eine ads.txt zur Weitergabe von Informationen an Werbetreibende oder eine robots.txt-Datei, die sicherstellt, dass die Website korrekt indiziert wird. Eine security.txt-Datei hat die Aufgabe, sicherzustellen, dass klar ist, wie und wo eine digitale Schwachstelle gemeldet werden kann. Oft handelt es sich dabei um eine Sicherheitslücke innerhalb der Anwendung oder um einen Konfigurationsfehler, der einen Missbrauch ermöglicht. In diesem Artikel erfahren Sie, wie dies funktioniert und wie Sie es für Ihre Website nutzen können.
Nicht jeder Hacker ist darauf aus, Ihre Website zu missbrauchen. Es gibt auch viele Einzelpersonen und oft Programme, die von Einzelpersonen geschrieben werden, die das Web nach Schwachstellen durchsuchen und diese dann an die zuständige Stelle melden. Dies dient genau dem Zweck, Missbrauch zu verhindern. Es ist jedoch nicht immer klar, wo Sie Sicherheitslücken melden können. Deshalb ist die Datei security.txt eine Möglichkeit, um sicherzustellen, dass diese Informationen verfügbar sind. Diese Datei enthält Anweisungen, wie man sich mit der richtigen Abteilung in Verbindung setzen kann, damit das Problem aufgegriffen und behoben werden kann.
Nach dem Auffinden eines Lecks oder einer Schwachstelle gibt es verschiedene Möglichkeiten, wie damit umgegangen werden kann.
Teil der verantwortungsvollen Offenlegung
Es gibt verschiedene Möglichkeiten, wie ein ethischer Hacker eine Sicherheitslücke in einer Anwendung aufdecken kann.
Full Disclosure oder vollständige Offenlegung: In diesem Fall gibt der Finder das Vorhandensein einer Sicherheitslücke sofort öffentlich bekannt. Dies ist oft unerwünscht, da die Schwachstelle dann von jedermann, auch von böswilligen Parteien, ausgenutzt werden kann.
Non Disclosure oder Nichtoffenlegung des Fundes der undichten Stelle. In diesem Fall wird der Organisation nicht mitgeteilt, dass ein Leck vorliegt. Dies hat den großen Nachteil, dass das Leck von der Organisation auch nicht behoben werden kann.
Dieverantwortungsbewusste Offenlegung ist ein guter Mittelweg zwischen diesen beiden Möglichkeiten; nachdem das Leck oder die Schwachstelle gefunden wurde, wird die Organisation darüber informiert. Dabei wird die Schwachstelle technisch beschrieben. Die betroffene Organisation hat dann die Möglichkeit, die Schwachstelle zu beheben und zu patchen. Eine Security.txt-Datei kann dabei eine große Hilfe sein, da dem Finder der Schwachstelle sofort klar ist, wo er sie melden kann.
Erstellen einer Security.txt-Datei
Eine security.txt-Datei lässt sich leicht erstellen, indem man einfach Notepad öffnet und die Informationen einträgt, wo die Berichte abgelegt werden sollen. Eine andere und bessere Möglichkeit ist die Verwendung einer Website wie https://securitytxt.org/. Das Format der Datei entspricht nämlich am besten den Standards und die Informationen können dann am besten von automatisierten Systemen analysiert werden. Auf diese Weise können Sie die Datei leicht erstellen. Anschließend können Sie die erstellte Datei in Ihren Hosting-Bereich hochladen. Dies kann sowohl im WWWROOT als auch in dem bekannten Ordner geschehen. So ist diese immer verfügbar.
Indem Sie den Dateinamen hinter Ihren regulären Domainnamen setzen, können Sie testen, ob es funktioniert. Die txt-Datei sollte dann auftauchen. Ist dies nicht der Fall, können Sie überprüfen, ob der Name korrekt ist und ob Sie die Datei an der richtigen Stelle abgelegt haben. Schließlich sollte sie von außen zugänglich sein, damit sie sowohl von wohlmeinenden Menschen als auch von Programmen/Crawlern gefunden werden kann.
Gründe für das Aktivieren einer security.txt-Datei
Eine security.txt-Datei kann es also wohlmeinenden Personen erleichtern, zu melden, wenn etwas mit Ihrer Website nicht stimmt. Das Vorhandensein einer security.txt-Datei stellt sicher, dass dies für Personen, die danach suchen, klar ist. Eine solche Datei macht es wahrscheinlicher, dass jemand eine Sicherheitslücke meldet. Sie kann auch die notwendigen Informationen in Form einer Belohnung oder Bug Bounty, wie es auch genannt wird, liefern.
Ein weiterer wichtiger Grund für das Vorhandensein einer security.txt-Datei ist, dass ethische Hacker Ihre Website auf Schwachstellen testen können. Dadurch können mehr oder wichtigere Probleme aufgedeckt werden als durch eine Momentaufnahme eines Audits oder Penetrationstests.
Wenn es in Ihrem Unternehmen jemanden gibt, der für diese Art von Sicherheitsfragen zuständig ist, ist es ratsam, eine security.txt-Datei zu erstellen. Wahrscheinlich werden Sie eine ganze Reihe von Berichten in dieser Datei erhalten; es liegt an Ihnen, herauszufiltern, welche Berichte authentisch sind und welche mit hoher Priorität abgeholt werden sollten. Schließlich steht nicht jede Meldung gleich weit oben auf der Prioritätenliste. Es wird sogar Berichte geben, die nichts mit der Sicherheit Ihrer Website zu tun haben.
Beispiel für eine security.txt
Als Beispiel für eine security.txt sehen Sie sich die security.txt von Google an, die unter folgendem Link eingesehen werden kann
Sie sieht wie folgt aus:
Sie sehen also, dass es einen klaren Link zu den Informationen gibt, die für ethische Hacker notwendig sind, und es ist auch sofort klar, wie die Richtlinien für die Meldung aussehen und wie hoch die mögliche Belohnung ist.
Ist eine security.txt-Datei für jeden empfehlenswert?
Eine security.txt kann also dazu beitragen, Ihre Website sicherer zu machen. Vor allem etwas größere Unternehmen oder Spezialisten werden dies auf ihrer Website anwenden. Die Frage ist, ob dies auch für eine durchschnittliche Hobby-Website, die von einem Anfänger gepflegt und mit WordPress erstellt wird, interessant ist. Abgesehen von der Standardaktualisierung eines Plug-ins oder Themes wird er wahrscheinlich nicht über das technische Wissen verfügen, um eine tiefer gehende Fehlermeldung lösen zu können.
Für Unternehmen, die regelmäßig einen Pen-Test oder ein Sicherheitsaudit durchführen lassen, ist eine solche Datei natürlich von Vorteil, da der Bericht dann an die für die Sicherheit zuständige Stelle weitergeleitet werden kann.
Möchten Sie sich weitergehend beraten lassen und Fragen speziell für Ihr Unternehmen beantwortet haben? Dann schauen Sie doch mal bei unserem Partner MijnSecurityPartner.nl vorbei. Unsere Spezialisten sind hier, um Ihnen zu helfen!