BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe
Das Bundesamt für Sicherheit in der Informationstechnologie hat im Rahmen einer Studie das Sicherheitsniveau der gängigen Content Management Systeme analysiert. Die Gefahr geht demnach zu bis zu 95 Prozent von Add-Ons aus.
- Uli Ries
In einer über 160 Seiten starken Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die gängigen Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Security-Lupe genommen. Untersucht wurden unter anderem die Phasen des jeweiligen Lebenszyklus' der Software, vorhandene Protokollierungseinstellungen und der gebotene Datenschutz.
(Bild: BSI)
Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt sich unmittelbar negativ auf die Gesamteinschätzung durch das BSI aus, wohingegen eine hakelige Integration in bestehende Managementsoftware nur zu moderater Abwertung führt. Auf einen Penetrationstest haben die BSI-Experten vorerst jedoch verzichtet.
Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten Stellung: Sie können für Angreifer ein erstes Ziel sein beim Versuch, in das interne Netzwerk eines Unternehmens einzudringen. Dazu kommt, dass diese Systeme meist ohne weitere Anpassung installiert und verwendet werden, so dass eine aufgetauchte Schwachstelle auf einen Schlag viele Websites gleichzeitig in Gefahr bringt.
Eines der – wenig überraschenden – Resultate der Studie ist, dass im Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in der Basissoftware des CMS an sich. Im Fall von WordPress beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich krasser.
Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie jedoch, ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen. Dazu gehören beispielsweise der Einsatz von nicht-standardisierten Admin-Accounts, eines automatisierten Update-Managements sowie das Verwenden von HTTPS für den Betrieb des Front- und auch Backends. (rei)
