20.06.2013 (eh)
4.5 von 5, (13 Bewertungen)

BSI-Studie: Nur ein gepflegtes CMS ist wirklich sicher

  • Inhalt dieses Artikels
  • Open-Source-CMS werden viel im E-Governement und von kleineren und Mittelstandsfirmen eingesetzt
  • Open-Source-CMS sollte nicht ‚as is‘ installiert und betrieben werden
Durchschnittswerte aller CMS und ihre Schwachstellentypen (Bild: BSI/init)
Durchschnittswerte aller CMS und ihre Schwachstellentypen (Bild: BSI/init)
In jüngster Zeit gab es vermehrt Angriffe von Hackern und Schadprogramme auf Content-Management-Systeme (CMS). Denn wenn es hier kleine Sicherheitslücken oder Fehlkonfigurationen gibt, eröffnen sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten. Vorletztes Jahr sind Hacker auf einem Kongress ganz öffentlich in bekannte Websites durch das Hacken von CMS-Systemen eingedrungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb eine sicherheitstechnische Untersuchung der Open-Source-CMS-Pakete »Drupal«, »Joomla!«, »Plone«, »TYPO3« und »WordPress« initiert.

Ergebnis der soeben veröffentlichten »Sicherheitsstudie Content Management Systeme«: Die untersuchten CMS-Pakete sind im Prinzip sicher – aber nur, wenn die IT-Verantwortlichen täglich mindestens 15 Minuten pro Website für Patches einplanen. Denn es ist nun mal ein inhärenter Nachteil der Open-Source-Philosophie, dass Patches erstens etwas später kommen als bei den kommerziellen CMS-Systemen, und zweitens seltener automatisiert eingepflegt werden. Bekannte kommerzielle CMS-Pakete stammen beispielsweise von e-Spirit, Bitrix, Contens, Coremedia oder OpenText.

Open-Source-CMS werden viel im E-Governement und von kleineren und Mittelstandsfirmen eingesetzt

Die Studie spricht denn auch Handlungsempfehlungen zur Absicherung der betrachteten Software bezogen auf vier typische Anwendungsszenarien aus: »Private Event Site«, »Bürgerbüro einer kleinen Gemeinde«, »Open Government Site einer Kleinstadt« und »Mittelständisches Unternehmen mit mehreren Standorten«. Mit der Durchführung der Studie der im Bereich E-Government und E-Business spezialisierter IT-Dienstleister init sowie das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

»Die Studie leistet wichtige Grundlagenarbeit im Bereich der IT-Sicherheit. Sie ist eine wertvolle Unterstützung für öffentliche Verwaltungen, die mit den Handlungsempfehlungen Sicherheitsrisiken in ihren CMS-Websites minimieren und so auch das Vertrauen der Bürgerinnen und Bürger in E-Government-Angebote stärken wollen«, sagt Dirk Stocksmeier, Vorstandsvorsitzender von Init. »Unerlässlich sind hierfür sichere CMS-Konfigurationen, ein professionelles Systemmanagement und regelmäßige Security Reviews. Ein wie ich finde interessantes Ergebnis ist, dass IT-Verantwortliche täglich mindestens 15 Minuten pro Website einplanen sollten, um verfügbare Patches zu erkennen, Datensicherungen vorzunehmen und Patches einzupflegen. Das geht im Tagesgeschäft häufig unter. Sicherheit muss aber nicht nur grundsätzlich ernst genommen, sondern in der täglichen Arbeitsorganisation auch konkret abgebildet werden.«

Open-Source-CMS sollte nicht ‚as is‘ installiert und betrieben werden

»Die Sicherheitsstudie hat gezeigt, dass auch Open-Source-CMS ein angemessenes Sicherheitsniveau besitzen können. Alle betrachteten Open-Source-CMS haben einen vernünftigen Sicherheitsprozess zur Behebung von Schwachstellen implementiert«, erklärt Michael Waidner, Leiter des Fraunhofer SIT. »Die CMS sollten jedoch nicht ‚as is‘ installiert und betrieben werden, sondern müssen sachgemäß konfiguriert permanent beobachtet und gepflegt werden. Nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Studie gibt IT-Verantwortlichen wertvolle Hinweise worauf dabei zu achten ist.«

.