Datum 30.04.2024

Schwachstellen leichter und effizienter melden - BSI empfiehlt den Einsatz von security.txt

Wenn Sicherheitsforschende in einem Produkt eine Schwachstelle finden, sind sie darauf angewiesen, dass Informationen bei der Organisation an der richtigen Stelle und über geeignete Kanäle ankommen. Wenn es für solche Fälle keinen adäquaten Kontakt gibt, bleiben Schwachstellen ungemeldet und werden ggf. nicht behoben. Eine Lösung hierfür bietet die über RFC 9116 standardisierte security.txt.

Die security.txt ist eine Textdatei, die relevante Kontaktinformationen in einfacher, standardisierter und maschinenlesbarer Form bereitstellt. Sie befindet sich an einem definierten Ort auf der Internetseite einer Organisation und kann so auch mittels automatischer Werkzeuge (z. B. per Web-Crawler) aufgefunden werden. Die security.txt enthält zwei verpflichtende Felder Contact: gefolgt von der gewünschten Form der Kontaktaufnahmen (z.B. eine URL, Mailadresse oder Telefonnummer) und Expires: wie lange die Information gültig ist. Mehr ist nicht notwendig!

Es gibt zusätzliche optionale Felder, über die organisationsspezifische Richtlinien oder auch öffentliche Schlüssel zur sicheren Kommunikation mit der Organisation bereit gestellt werden können. Da es sich bei Schwachstellenmeldungen um sensible Informationen handeln kann, ist es sinnvoll, dass nicht nur die Informationsweitergabe standardisiert erfolgt, sondern auch die Echtheit des angegebenen Kontakts kryptografisch gesichert bestätigt wird.

Die Cyber-Sicherheitsempfehlung gibt einen Praxisleitfaden zur Umsetzung an die Hand.