(Un-)Sicherheit in Open Source Content Management Systemen

DruckversionPDF version

Das Bundesamt für Sicherheit im Informationswesen hat eine Studie zur Sicherheit von häufig benutzten Content Management Systemen herausgebracht. Drupal, Joomla, Plone, WordPress und Typo3.

"5.3.3
Alternative Sicherheitsstrategien
Seit Jahren, fast Jahrzehnten gibt es Forschungen, Strategien und Tools zur Vermeidung von Sicherheitslücken. Das Wissen um mögliche Sicherheitslücken und deren Vermeidung erweitert sich beständig. Gleichzeitig werden immer neue Schwachstellen gefunden und produziert. Die Anzahl der unveröffentlichten Schwachstellen wird vermutlich größer, da ein Markt für funktionierende, noch ungemeldete Exploits (Zero-Day-Exploits)
entstanden ist. So ist es nachvollziehbar, dass einige Experten daran zweifeln, dass komplexe Systeme überhaupt abzusichern sind: zu viele Entwickler, zu viele Einflussfaktoren, Anwendungsfälle, eine Wissensbandbreite, die selbst Experten nie in Gänze überschauen. Aktuelle Strategien gehen vom Gegenteil aus und versuchen komplexere Systeme zu kapseln. Die Intelligenz wird in die Unterscheidung des „normalen“ vom „auffälligen“ Verhalten der Website gesteckt. Sobald das Verhalten auffällig wird, kann der Betreiber prüfen, ob es sich um „reguläre“ gewollte Benutzung der Dienste handelt oder um einen Angriff. So wird entweder eine Sicherheitslücke identifiziert oder die umgebende Kapsel nachjustiert. Die ENISA Studie „Proactive Detection of Security Incidents" legt großen Dienstanbietern nahe, scheinbar lohnenswerte Angriffsziele als Spielwiese für Angreifer zu erstellen, um sie leicht von den eigentlichen Ressourcen abzulenken und besser aufspüren zu können. Beide Strategien sind nicht neu, sie sind mit herkömmlichen, ggf. auch Open Source Mitteln, zu realisieren. Beide Ansätze sind valide, sie entbinden den Dienstanbieter jedoch nicht von seinen eigentlichen Pflichten: von einer professionellen Installation, professionellem Systemmanagement und wiederkehrenden externen Sicherheitschecks. Sie können die Sicherheit etwas erhöhen, sind aber kein Ersatz für die täglichen 15 Minuten umsichtigen Handelns des Administrators."

Das BSI kommt zu folgenden vier Empfehlungen:

"

  1. Dienstanbieter müssen permanent in der Lage sein, Patches einzuspielen.
  2. Dienstanbieter sollten ihre Websites konzipieren, bevor sie sie aufsetzen. Das Prinzip „Verteidigung in der Tiefe“ ist dabei von herausragender Bedeutung.
  3. Dienstanbieter sollten ihre Websites permanent monitoren.
  4. Eine „sichere Konfiguration“ muss übergreifend über die Infrastruktur auf Basis von Hauptanwendungszwecken unterstützt werden.

"

rhein-main-experten.de wird überprüft von der Initiative-S