Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Cyber-Sicherheitsempfehlung zum Thema „Sicherheitskontakte mit Hilfe einer security.txt nach RFC 9116 angeben“ veröffentlicht. Die security.txt ist eine standardisierte Textdatei, die relevante Kontaktinformationen in einfacher und maschinenlesbarer Form bereitstellt. Sie befindet sich an einem definierten Ort auf der Internetseite einer Organisation und kann so auch mittels automatischer Werkzeuge aufgefunden werden.Die security.txt enthält zwei verpflichtende Felder: „Contact“, gefolgt von der gewünschten Form der Kontaktaufnahmen, und „Expires“, also wie lange die Information gültig ist. Es gibt zusätzliche optionale Felder, über die organisationsspezifische Richtlinien oder auch öffentliche Schlüssel zur sicheren Kommunikation bereitgestellt werden können. Ziel ist es, Schwachstellen leichter und effizienter melden zu können, damit diese behoben werden können.

Endlich hat sich das BSI mal um ein wirklich dringendes Sicherheitsproblem gekümmert – nämlich die Frage, wie Sicherheitsforscher am besten mit Organisationen in Kontakt treten können. Bisher mussten die armen Hacker ja stundenlang die Webseiten nach irgendwelchen versteckten Kontaktformularen durchsuchen. Aber jetzt gibt es die security.txt – eine Art digitale Visitenkarte, auf der alles Wichtige steht. Hoffentlich führt das nicht dazu, dass die Organisationen von Sicherheitslücken-Meldungen nur so überrannt werden. Vielleicht sollten sie lieber gleich eine Hotline einrichten: „Haben Sie ein Problem mit unserer Sicherheit? Drücken Sie 1 für Kontaktaufnahme, 2 für Schweigegeld.“