Wie können Webseitenbetreiber erreicht werden, wenn festgestellt wird, dass sie gehackt wurden?
Genau diese Frage fällt unter einen der drei Hauptbestandteile des Forschungsprojekts INSPECTION: Finden, Behandeln, Verhindern.
Bei der Ansprache ergibt sich häufig das Problem der Glaubhaftigkeit, denn über die üblich angebotenen Kontaktmöglichkeiten, wie Kontaktformulare oder info@-Adressen, werden nicht direkt Spezialisten für Security angesprochen, sondern die Botschaft muss erst einmal erfolgreich den Firmenprozess durchwandern und sich gegen alle möglichen Spam-Nachrichten behaupten.
Der .well-known/security.txt Standard
Ein Vorschlag vom IETF unter den sogenannten .well-known Uri´s beschäftigt sich ebenso mit der Frage nach einer besseren Kontaktaufnahme in Sicherheitsfällen.
Das dazu veröffentlichte Dokument RFC 9116 beschreibt den Aufbau, die Lokalisation und weitere wichtige Eigenschaften, welches eine „security.txt“-Datei erfüllen soll und beinhalten kann.
In seiner einfachsten Form enthält das „security.txt“ eine Zeile, welche der bestmöglichen Kontaktaufnahme dient, und eine Zeile, welche das Ablaufdatum der Information enthält.
Contact: security@meine-domaene.de
Expires: 2027-07-07T14:28:42z
Wie häufig wird diese sinnvolle Möglichkeit schon genutzt? Ist sie bei Webmastern schon so bekannt wie die robots.txt oder die sitemap.xml ?
In einer aktuell durchgeführten Suche nach diesen hilfreichen Dateien konnten wir bei 4.145 Domänen, welche wir als gehackt bzw. ehemalig gehackt klassifiziert haben, leider keine Webseite finden, welche eine „security.txt“ besitzt. D.h. für die Ansprache im Forschungsprojekt INSPECTION gab es keinen Fall bei dem die security.txt bisher hilfreich gewesen wäre.
Etwas besser sieht es bei breiteren Suche von Domänen aus: Bei einer Analyse von 36.000 Domänen vornehmlich aus Deutschland, Österreich und der Schweiz, die im Rahmen des Forschungsprojekts analysiert wurden, war gerade einmal bei 64 eine „security.txt“ abgelegt. Dies entspricht weniger als 0,18% – als Tortendiagramm kaum darstellbar.
Für den Erfolg einer schnellen und zielführenden Ansprache ist es wichtig solche Standards zu unterstützen.
Sprechen Sie am besten noch heute Ihren Webmaster an. Den Dateiordner .well-known gibt es bereits auf den meisten Webpräsenzen, da er auch für die Schlüsselverwaltung genutzt wird. Dort lediglich die kleine security.txt Datei anlegen und schon ist man bereit im Falle eines Falles für eine zielführende Information.