Seite 2: CMS-Sicherheitsstudie: Was und wie untersucht wurde

Inhaltsverzeichnis

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Firma init AG für digitale Kommunikation und das Fraunhofer-Institut für sichere Informationstechnologie SIT beauftragt, gemeinsam eine Sicherheitsstudie zu gängigen Open-Source-Content-Management-Systemen zu erstellen. Ausgewählt wurden die drei in de-Domains am häufigsten genutzten CMS (Joomla, TYPO3, WordPress), das weltweit häufig verwendete Drupal sowie Plone, das bei öffentlichen Institutionen oft zum Einsatz kommt. Bis auf das mit Python entwickelte Plone basieren alle Systeme auf PHP.

Für die Untersuchung waren neutrale, für verschiedene Plattformen geeignete Kriterien erforderlich. Des Weiteren sollten die Bewertungsmerkmale auf andere Open-Source- oder kommerzielle CMS übertragbar sein. Auf dieser Basis sollte jeder Interessierte ein beliebiges CMS bewerten und mit anderen vergleichen können. Die Wahl fiel deshalb auf den De-facto-Standard ITIL (siehe „Alle Links”) mit den Phasen Service Design, Service Transition und Service Operation, die den Lebenszyklus einer Software beschreiben. Unterhalb der ITIL-Phasen wurden die Qualitätskriterien des Open Software Assurance Maturity Model (OpenSAMM) verwendet. Dabei liegt der Fokus immer auf Sicherheitsaspekten. Durch die Orientierung an ITIL-Kriterien entstand aber keine Untersuchung im Sinne einer Aufzählung einzelner Lücken, sondern die Studie bewertet grundlegende Aspekte der Architektur, den Umgang der Hersteller mit Schwachstellen, die Wartbarkeit durch den Betreiber und die Komplexität des Betriebs.

Zur besseren Einschätzung der unterschiedlichen Ausrichtung der CMS wurden zusätzlich vier typische Einsatzszenarien betrachtet.

Private Event Site: Dieses Szenario richtet sich an private Anwender, die eine Website für Anlässe wie Geburtstag, Party oder Hochzeit erstellen möchte. Hier stehen die Einfachheit der Handhabung und insbesondere die standardmäßig richtig vorkonfigurierten Sicherheitsfunktionen im Vordergrund.

Das Bürgerbüro in einer kleinen Gemeinde ist für kleine kommunale oder mittelständische Dienstanbieter geeignet, die nur geringe finanzielle Ressourcen für den Betrieb der Website zur Verfügung haben. Die richtig vorkonfigurierten Sicherheitsfunktionen und die Möglichkeiten, einen angemessen Datenschutz zu realisieren, stehen im Vordergrund.

Open Government Site einer Kleinstadt: Eine kleinere oder mittlere Kommune beschäftigt zwei oder drei Mitarbeiter mit IT-Wissen, die die Site selbst pflegen. Neben den Anforderungen aus den vorhergehenden Szenarien geht es in diesem Fall um die sichere Anbindung an kleinere Geschäftsprozesse sowie für den Informationsaustausch mit den Bürgern/Kunden die Realisierbarkeit einer sicheren Kommunikation.

Ein mittelständisches Unternehmen mit mehreren Standorten kann ein KMU oder eine größere Kommune sein, wo komplexere Redaktionsworkflows umgesetzt werden müssen. Neben den Anforderungen aus den vorhergehenden geht es in diesem Szenario vor allem um die Skalierbarkeit, die sichere Integration mit vorhandenen Systemen und bei Shopsystemen um den Datenschutz.

Zur Analyse der CMS-Schwachstellen auf der Basis der ITIL-Kriterien versuchten die Studienmitarbeiter zudem, von der diesbezüglichen Historie der Systeme auf die Häufigkeit und Kritikalität künftiger Fehler zu schließen. Selbstverständlich kann man das nicht pauschal tun. Deshalb konzentrierte sich die Arbeit auf Quellen des Herstellers oder andere seriöse Quellen. Zusätzlich war der betrachtete Zeitraum auf Anfang 2010 bis Ende 2012 eingeschränkt.

Ein weiterer wichtiger Aspekt ist die Zeit, die zwischen dem Bekanntwerden einer Schwachstelle und dem Erscheinen des zugehörigen Patches verging, kann man hieran doch erkennen, wie schnell die Anbieter der CMS auf Fehler reagieren. Für eine derartige Bewertung lagen aber bei den Anbietern kaum verwertbare Daten vor. Sie musste deshalb entfallen.

Die verwendeten Basistechniken lassen Rückschlüsse auf die zu erwartenden Schwachstellen zu, denn es gilt, dass Fehler in häufig verwendetem Quellcode schneller auffindbar sind als in selten oder einmalig verwendetem. Soweit Informationen dazu verfügbar waren, flossen sie in die Bewertung ein. (hb)