Es gab eine Zeit, in der Hacker wie die «Cool Folks» auf dem Pausenplatz dargestellt wurden. Sie waren in Spielfilmen wie «Hackers» die verspielten Gutmenschen, die viel Schaden anrichten konnten, aber auch grosse Kämpfe gegen die Bösen führten. Solche Zeiten sind vorbei: Wenn heute irgendwo von diesen Nerds die Rede ist, dann geht es meist um ein gekapertes Instagram- oder TikTok-Konto.
Die Popkultur dieser wohlwollenden IT-Fachleute mag verschwunden sein, ihre Arbeit blieb jedoch. Netzwerk-Spezialistinnen und Software-Ingenieure suchen nach wie vor weltweit aus «ethischen Gründen» nach Sicherheitslöchern in Computersystemen. Sie werden in der Szene White Hats genannt und unterscheiden sich von den Black Hats, die mit ihrem Fachwissen bloss Schaden anrichten wollen.
Ihre Motive sind unterschiedlich: Manche versuchen, aus spielerischen Gründen einen Server zu kapern, andere wollen sich mit Erfolgen besser auf dem Arbeitsmarkt präsentieren. Ihre Gemeinsamkeit ist aber, dass sie Schaden vermeiden und die Internet- bzw. Computerwelt zu einem sicheren Ort machen wollen. So geschehen etwa im öffentlich bekannten Fall um MeineImpfungen.ch, wo ein IT-Spezialist während der Coronapandemie schwerwiegende Defizite im System der schweizerischen Impfdatenbank publik machte.
2017 versuchten die beiden Informatiker Edwin «EdOverflow» Foudil und Yakov Shafranovich von Nightwatch Cybersecurity, die Arbeit solcher White-Hat-Hacker zu vereinfachen. Sie setzten dort an, wo die grösste Knacknuss der ethischen Schnüffelarbeit herrscht: Informatikerinnen und Programmierer wissen nicht immer, was sie dürfen, wo sie sich melden können und auf welche Entschädigungen sie hoffen dürfen.
Der Ansatz der beiden Herren ist simpel: Jede Website soll unter einer bestimmten Adresse diese grundlegenden Informationen liefern, darunter etwa die E-Mail-Adresse zur IT-Abteilung oder allfällige Verhaltensregeln. Solche Angaben werden üblicherweise in den Untiefen einer Website versteckt oder fehlen komplett, da sie sich nur an ein kleines Publikum richten. Das Konzept sah vor, dass diese Informationen unter dem Pfad beispiel.ch/.well-known/security.txt aufgerufen werden können.
Die Idee überzeugte. Namhafte Konzerne, darunter Google, Facebook, Dropbox und Co., entschieden sich, eine solche Textdatei auf ihren Webservern zu installieren. Auch in der Schweiz zogen vereinzelte Firmen und Behörden nach: Sie wird heute etwa vom Bund (admin.ch), von der Swisscom, der Chat-App Threema und verschiedenen Medien angeboten. Bei vielen Websites fehlen diese Angaben jedoch: watson fand nur bei rund 40 der 1000 meist aufgesuchten Webadressen eine solche security.txt-Datei, die wohlgesinnten Cyberexperten die Arbeit erleichtert. Unter den Kantonen zählten die ländlichen Kantone Glarus und Schwyz zu den Vorbildern – beide Websites wurden von derselben Internetagentur Backslash entwickelt.
Die zögerliche Verbreitung dürfte damit zu tun haben, dass das Konzept beinahe in anarchistischer Art und Weise zum Tech-Standard erklärt wurde: Es gab keinen Staat und keine Organisation, welche die Form dieser security.txt-Datei verordneten, sondern nur die beiden Herren und ihre Gefolgschaft in der Open-Source-Gemeinschaft. Mit zunehmendem Erfolg wurde das Konzept 2019 von der US-amerikanischen Bundesbehörde für Cybersicherheit für sämtliche Bundesämter zum Pflichtprogramm erklärt. Im Frühling 2022 wurde das Konzept gar zum Quasi-Standard für moderne Internet-Entwicklung deklariert.
Angefragte Firmen, die das Konzept noch nicht umgesetzt haben, erklären ihr Zögern damit, dass das Konzept erst vor drei Monaten standardisiert wurde oder sie es bislang nicht kannten. «Ich kannte als Netzwerk-Engineer das Konzept von security.txt bislang nicht. Bei den Kollegen des System-Engineerings stand es aber bereits auf der To-do-Liste», sagt etwa Fredy Künzler vom Winterthurer Internet-Provider Init7. Er sagt, dass die Anfrage von watson das Vorhaben auf der Prioritätenliste nach oben gerückt hat. Andere angefragte Unternehmen, darunter die IT-Abteilung von watson, prüfen derzeit die Umsetzung des Standards.
Einer der beiden Erfinder, Edwin Foudil, erklärt sich den Erfolg gegenüber watson mit der Einfachheit des Standards: Verlangt werde eine einfache Textdatei, die nach bestimmten Regeln Kontaktangaben und weitere Informationen liefert. Mehr nicht. Neu ist die Idee der schnellen Kontaktaufnahme für IT-Fachleute nicht: Ein Papier aus dem Jahr 1997 empfahl allen Website-Betreiberinnen und -Betreibern die Einrichtung einer einheitlichen E-Mail-Adresse (abuse@beispiel.ch) für besondere Angelegenheiten.
Der Erfolg hielt sich in Grenzen, da sich nicht nur Hacker, sondern auch Polizeibehörden oder Anwälte an die Adresse hätten wenden sollen. Die security.txt-Datei löst das Problem mit der Möglichkeit, neben der E-Mail-Adresse auch Kontaktformulare oder WhatsApp-Nummern angeben zu können. Verbunden wird das mit der unausgesprochenen Garantie, dass die E-Mails auch gelesen werden, weil kein Unternehmen und keine Behörde einen sicherheitsrelevanten Hinweis verpassen wollen.
Foudil teilt diese Ansicht und erinnert an die Entstehungsgeschichte. 2017 bemerkten einige sogenannte «ethische Hacker» bei einem Treffen in Las Vegas, dass beim White-Hat-Hacking immer wieder dieselbe Frage auftaucht: «Warum gibt es keine einfache Möglichkeit, die sicherheitsrelevanten Kontaktdaten eines Website-Betreibers zu finden?» Auch Foudil stolperte mehrfach über dieses Problem. Das Konzept, an dem er mitwirkte, überzeugte jedoch und wurde innert fünf Jahren zum Pflichtprogramm im Internet.
Der Sicherheitsexperte erhofft sich nun, dass sich weitere Website-Betreiberinnen und -Betreiber dem Trend der Cybersecurity-Gemeinschaft anschliessen. Er warnt jedoch davor, dass Unternehmen und Behörden das Konzept auf die leichte Schulter nehmen: «Die Bereitstellung der security.txt-Datei mag zwar einfach sein, das allein aber reicht nicht aus.» So müssten sich die zuständigen IT-Fachleute gut überlegen, wie sie die Meldungen triagieren und die Angaben aktuell halten.
Das gelte auch für Schweizer Behörden: Der Bund müsste sich sorgfältig überlegen, wie er andere Ämter, Kantone und Gemeinden beim Vorhaben unterstützt. Die Probleme, die sich ansonsten stellen könnten, wenn die Umsetzung von oben angeordnet werde, seien banal: «Wie können eine Behörde oder ein Unternehmen eine solche Datei auf einem Server bereitstellen, wenn sie nicht mal wissen, dass ihnen ein bestimmter Rechner gehört?» Dieses Problem zeigt in der Schweiz mit den zahlreichen Gemeinde- und Kantonswebseiten: So ist jede Institution selbstständig für die Cybersicherheit ihres Internetauftritts verantwortlich. Viele würden den technischen Betrieb jedoch auslagern.
