Haben Sie das auch schon mal auf den sozialen Netzwerken gesehen?

Kennt jemand einen Veranwortlichen für IT Sicherheit by XYZ? Ich hätte da eine wichtige Information.

In der Regel hat jemand ein Sicherheitsproblem der Firma gefunden und versucht nun jemanden zu finden um diese verantwortungsvoll zu melden. Für diesen Fall gibt es jetzt einen Standardisierungsvorschlag

When security vulnerabilities are discovered by researchers, proper reporting channels are often lacking. As a result, vulnerabilities may be left unreported. This document defines a machine-parsable format (“security.txt”) to help organizations describe their vulnerability disclosure practices to make it easier for researchers to report vulnerabilities.

In diesem Standard wird vorgeschlagen eine bestimmte Datei an einen definierten Platz zu legen der die notwendigen Informationen für die zielführenden Kontaktaufnahme bei gefundenen Sicherheitsproblemen bereitstellt. So könnte zum Beispiel eine solche Datei aussehen:

# Our security address
Contact: mailto:security@example.com
# Our security policy
Policy: https://example.com/security-policy.html
Acknowledgments: https://example.com/hall-of-fame.html
Expires: 2021-12-31T18:37:07z

Auch wenn dieser Vorschlag noch nicht beschlossen ist gibt es schon ein Vielzahl von Unternehmen welche diesen Weg eingeschlagen haben. Einige von diesen Firmen kann man bei gotsecuritytxt.com finden.

Auch wenn dieser Ansatz recht einfach erscheint sollte man sich auf unerwünschte Nebenwirkungen vorbereiten:

  • Die Mailadresse wird für SPAM missbraucht
  • Man bekommt halbgare “Sicherheitswarnungen” von automatisierten Scans mit einem Beratungsangebot

Den ersten Punkt wird man vermutlich mit dem Link auf ein CAPTCHA gesichertes Formular adressieren können. Der zweite Punkt wird vermutlich einen erhöhten Aufwand am Anfang bedeuten. Es ist zu erwarten das man nicht zutreffende oder unbedeutende Warnungen erhalten wird und diese natürlich prüfen muss. Das ist zwar Aufwand aber hilft am Ende ein besseren Verständnis für vermeintliche Risiken zu gewinnen. Wenn ich eine angebliche Sicherheitslücke nicht ausschließen kann dann sollte ich das vielleicht mal prüfen.

Ich denke also das es besser ist so einen Eintrag auf seiner Seite zu haben und zu Beginn eine (hoffentlich ergebnisslose) Mehrarbeit für den genannten Kontakt einzuplanen.

Türklopfer