Der Newsbereich

von Heiko Wohlgemuth

Sicherheitsstudie Content Management Systeme

CMS Systeme weltweite Verteilung
Quelle: builtwith.com - CMS Systeme weltweite Verteilung

Warum sollten alle Systeme auf dem neuesten Stand sein?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Sicherheitsstudie zu Content Management Systemen (CMS) in Auftrag gegeben und veröffentlicht. Ausgangslage der Studie war die Vermutung, dass für Internetseiten verwendete Standard-CMS bei Bekanntwerden einer Schwachstelle automatisch jede Person gefährden können, die das jeweilige CMS nutzen. Im Rahmen der Studie wurde eine Auswahl an CMS auf potenzielle Schwachstellen untersucht. Das Ergebnis sind neben der generellen Einstufung, dass Content Management Systeme prinzipiell ein angemessenes Sicherheitsniveau und einen angemessenen Sicherheitsprozess zur Behebung von Schwachstellen bieten, auch allgemeine und CMS-spezifische Empfehlungen zur Minimierung eines Risikos. Neben einer Bewertung von vorliegenden Daten wurden auch einzelne Tests gemacht, um zu den finalen Ergebnissen zu gelangen.

Die Auswahl der untersuchten Content Management Systeme

Im Rahmen der Studie wurden insgesamt fünf CMS eingehend auf ihre Sicherheit und eventuelle Lücken untersucht:

  • WordPress
  • Typo3
  • Joomla!
  • Drupal
  • Plone

Es wurde sich für diese CMS entschieden, weil sie entweder deutschlandweit oder weltweit die am meisten genutzten Systeme sind. Bei der Ermittlung der Systeme wurde sich auf Domains mit der Endung .de fokussiert.

 

CMS Systeme deutschlandweite Verteilung
Quelle: builtwith.com - CMS Systeme deutschlandweite Verteilung

Kriterien für die Bewertung der Sicherheit

Der Schwerpunkt der Sicherheitsstudie, die den Untersuchungen zugrunde liegen, wurde auf die Architektur und den konzeptionellen Aufbau der Systeme gelegt. Betrachtet wurde genauer die Struktur der Komponenten, deren Kommunikationsbeziehungen und die gegenseitigen Absicherungsmöglichkeiten.

Über 80 aufgestellte Kriterien wurden jeweils einerseits mit einer Wichtung versehen als auch andererseits entweder als Ausschlusskriterium eingestuft oder nicht. Diese Kriterien sind u.a.

  • die Lizenzierung und Ausprobierbarkeit in der Governance.
  • die sichere Datenablage von Zugangsdaten.
  • die Authentifizierung bei der Registrierung.
  • die Komplexität der sicheren Default-Installation.

 

Ermittelte Risikopotenziale

Unabhängig von einer individuellen Untersuchung der Content Management Systeme besagt die Studie, dass die Vernetzung einer Webseite mit anderen Webseiten ein Sicherheitsrisiko darstellt. Nutzer der CMS nutzen die Vernetzung aus Sicht der Forschenden dennoch, weil dies dem Wunsch von Kunden und Bürgern entspricht.

Ein weiteres Risikopotenzial besteht in der Mithilfe der Nutzer von Content Management Systemen: Hersteller können die Wichtigkeit, Dringlichkeit und Häufung von potenziell sicherheitsrelevanten Fehlern und Lücken nur dann bewerten und entsprechende Schritte zur Beseitigung einleiten, wenn jeder Vorfall zuverlässig gemeldet wird.

 Die spannendsten Fakten

Aus den Ergebnissen der Studie wurden einige äußerst spannende Fakten abgeleitet:

  • Die Anteile der Code-Execution-Schwachstellen (die schwerwiegendsten Fehler) sind bei Joomla! und TYPO3 recht hoch.
  • XSS, Code Execution und SQL-Injection stellen insgesamt die drei häufigsten Schwachstellen dar.
  • Ein Großteil der Schwachstellen sind in den Erweiterungen der CMS zu finden.

 

Ermittelte Faktoren für die Sicherheit einer CMS-Website

In der Studie wird ermittelt, dass es primär drei Faktoren gibt, die beeinflussen, wie sicher eine Webseite ist, die auf Basis eines Content Management Systems entwickelt worden ist:

  1. Wie sicher ist die eingesetzte Software?
  2. Sind die Konfiguration und damit in Verbindung stehende Komponenten des CMS aufeinander abgestimmt?
  3. Gibt es ein kontinuierliches Systemmanagement, inklusive der Einspielung von Sicherheitsupdates?

Diese drei Faktoren für sich implizieren, dass es neben der Wahl eines möglich sicheren Content Management Systems darauf ankommt, Plugins und Add-ons sinnvoll und strategisch miteinander zu kombinieren und regelmäßige Sicherheitsupdates zu machen. In den Empfehlungen der Studie wird zu täglichen Überprüfungen geraten.

 

Fazit der Sicherheitsstudie

Jedes der untersuchten CMS geht transparent mit Schwachstellen um, ist ausreichend sicher und bietet Möglichkeiten, die Sicherheitsrisiken zu minimieren. Jedem Nutzer ist es prinzipiell möglich, ein CMS sicher als Basis seiner Webseite zu verwenden.

Damit die Sicherheit aber langfristig gewährleistet werden kann, braucht es ein solides Konzept, Know-how und engmaschige Überprüfungen – am besten von einem Fachmann.

Wir beschäftigen uns auch mit diesen Themen. Von Updateintervallen, Patches und auch (Sicherheits)-Risiken. Kunden fragen immer wieder wie oft und warum überhaupt Updates nötig sind.

Autor: Heiko Wohlgemuth

Heiko Wohlgemuth

Author

"Ihr Auto muss doch auch zur Inspektion und wird regelmäßig geprüft".

Zurück

Es werden allerlei Kekse (Cookies), Schriftarten von Google (Google Fonts), unser CRM Hubspot, parziell Youtube um für Euch Bewegtbilder parat zu haben und Google Analytics um diese Seite zu verbessern geladen. Für Sie einfach zum Nachlesen die Datenschutzerklärung oder das Impressum .