Sicherheitsstudie zu Content Management Systemen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einer Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht.
CMS werden für zahlreiche Internet- und Intranetauftritte in kleinen und mittelständischen Unternehmen eingesetzt und bieten Angriffsflächen für Hacker und Schadprogramme. Web Content Management Systeme sind meist Systeme „von der Stange“, so dass aufgrund ihres weit verbreiteten Einsatzes eine bekannt gewordene Sicherheitslücke viele Websites gleichzeitig gefährdet. Schon durch kleine Sicherheitslücken oder Fehlkonfigurationen öffnen sich im schlimmsten Fall unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten der Websitebetreiber.
Die Studie beschreibt relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress. Die Ergebnisse sollen IT-Verantwortliche bei der verlässlichen sicherheitstechnischen Beurteilung von CMS im Rahmen der Planung und Beschaffung unterstützen. Dazu spricht die Studie Handlungsempfehlungen zur Absicherung der betrachteten Software bezogen auf vier typische Anwendungsszenarien aus: „Private Event Site“, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.
Die Studie zeigt, dass auch Open Source-CMS ein angemessenes Sicherheitsniveau besitzen können. Alle betrachteten Open Source-CMS hätten vernünftige Sicherungssysteme, die vor allem auf drei Faktoren beruhen:
- der Sicherheit der eingesetzten Software,
- der abgestimmten Konfiguration des CMS und der damit in Verbindung stehenden Komponenten,
- dem kontinuierlichen Systemmanagement einschließlich des Einspielens von Sicherheitsupdates.
Interessant, dass es so große Sicherheitsprobleme bei CMS Systemen gibt. Mein Onkel arbeitet im Infrastrukturkosten Management in einem großen IT Unternehmen. Er sagt, solche Sicherheitslücken verursachen immer wieder große Kosten.