NCSC 24.01.2023, 13:06 Uhr

Der Sicherheitskontakt gehört auf die Website

Bei Cybersicherheitsproblemen ist es wichtig, den zuständigen Sicherheitskontakt einer Organisation unverzüglich zu informieren. Doch auf vielen Webseiten sind die nötigen Angaben nicht oder nur schwer zu finden. Der Standard «security.txt» soll dieses Problem lösen.
Mit «security.txt» soll es einfacher werden, die zuständigen Experten in einem Unternehmen bezüglich einer entdeckten Schwachstelle zu informieren
(Quelle: Pixabay/Gerd Altmann)
IT-Systeme sind nie zu 100 Prozent sicher und einzelne Schwachstellen gehören zum Alltag. Oft sind es Sicherheitsforschende, das Nationale Zentrum für Cybersicherheit (NCSC) oder sogar einzelne Mitarbeiter einer betroffenen Organisation selbst, die auf diese Sicherheitslücken aufmerksam werden. In solch einem Fall ist es essenziell, dass das Problem dem zuständigen Sicherheitskontakt unverzüglich gemeldet wird. Genau dieser Prozess soll durch den Standard «security.txt» so einfach und einheitlich wie möglich gemacht werden.

Ansprechpersonen nur schwer kontaktierbar

Heute ist es zu oft noch so, dass der zuständige Sicherheitskontakt eines Unternehmens nur schwer zu finden oder gar nicht erst auf der entsprechenden Webseite publiziert ist. Viele Webseiten bieten nur eine zentrale Telefonnummer oder eine allgemeine E-Mail-Adresse. Bis eine Person ihre Warnmeldung an den zuständigen Mitarbeiter bringen kann, ist oft ein «Durchfragen» nötig und das Problem muss mehrmals erklärt werden. Das kostet wertvolle Zeit. Im schlimmsten Fall kommt es sogar vor, dass solche wichtigen Informationen nicht richtig oder gar nicht weitergeleitet werden und der zuständige Sicherheitskontakt deshalb nichts von der Schwachstelle erfährt. Das soll sich mit «security.txt» ändern.

Einheitlich und schnell auffindbar

Mit dem Standard «security.txt» ist es möglich, den zuständigen Sicherheitskontakt eines Unternehmens schnell via deren Webseite zu finden. Denn dieser gibt vor, dass eine Textdatei mit dem Namen «security.txt» im vordefinierten Verzeichnis «/.well-known»  auf der Webseite eines Unternehmens oder einer Organisation abgespeichert wird. In dieser Datei müssen im Minimum die Kontaktdaten, mit denen man sich mit dem zuständigen Sicherheitskontakt in Verbindung setzen kann, enthalten sein. Auch weitere sicherheitsrelevante Informationen können dort abgelegt werden. Den Leitfaden des NCSC, in dem das Vorgehen genauer beschrieben und weiterführende Informationen bereitgestellt werden, finden Sie hier.
«Security.txt» kann gemäss NCSC von IT-Support eines Unternehmens technisch einfach implementiert werden und trägt stark zur Verbesserung des Sicherheitsmanagements bei. Laut einer Erhebung des NCSC haben bereits mehrere Tausend Webseiten in der Schweiz den «security.txt» Standard umgesetzt. Auch die Bundesverwaltung arbeitet daran. Im Verhältnis zur totalen Anzahl an Webseiten in der Schweiz ist das jedoch erst eine kleine Gruppe.
Artikel drucken
Das könnte Sie auch interessieren
Schweiz vor 1 Tag
Bund hat Domain «.swiss» für natürliche Personen geöffnet
Seit dem 24. April 2024 können auch Personen ohne Handelsregistereintrag mit Wohnsitz in der Schweiz sowie Auslandschweizer eine «.swiss»-Internetadresse beantragen.
 
vor 1 Tag
Digital Economy Award 2024 vor 1 Tag
Wo sind die Leuchttürme der digitalen Schweiz?
Am 14. November lädt swissICT im Hallenstadion Zürich zur Preisverleihung des Digital Economy Award ein. Bevor es soweit ist, stehen die Tore für Bewerbungen aus der Schweizer Digitalwirtschaft noch bis zum 15. Mai 2024 offen.
 
vor 1 Tag
asut IoT-Konferenz 2024 vor 2 Tagen
Trends und Zukunft von IoT im Rampenlicht
IoT hat seinen Platz in der ICT-Landschaft gefunden. Nach einer Dekade vorwiegend mit Start-Ups scheint sich das Internet der Dinge nunmehr auch in Grossfirmen und öffentlichen Verwaltungen zu etablieren. Dies zeigte auch die sechste IoT-Konferenz der asut in Bern.
 
vor 2 Tagen
#LockedShields2024 vor 2 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 2 Tagen