Ist ein Content Management System sicher?

Sind Content Management Systeme (CMS) sicher?

Unser Unternehmen ist auf die Entwicklung von Internetseiten mithilfe von Content Management Systemen spezialisiert, deshalb präsentieren wir einen von uns verfassten Beitrag über deren Sicherheit. Leider gibt es in allen CMS Schwachstellen wie auch in vielen anderen komplexen Computersystemen. Laut einer neuen Sicherheitsstudie über CMS von der Aktiengesellschaft für Digitale Kommunikation und dem Frauenhofer-Institut für Sichere Informationstechnologie (SIT) gibt es neue Ergebnisse, die uns Aufschluss darüber gibt, wie sich die Schwachstellen unter den Webbasierten CMS verteilen. Auf die für Sie wichtigsten Fakten aus der Studie wird in diesem Bericht eingegangen.

Uns ist die Sicherheit unserer Kunden sehr wichtig, weshalb wir ständig Verbesserungen im Bereich des IT-Datenschutzes vornehmen. Viele der Schwachstellen die sich im Hauptkern der CMS befinden fangen wir mit zusätzlichen selbst entwickelten Programmroutinen ab. Viele Sicherheitslücken können unter anderem durch zusätzliche Plugins entstehen. Diese Erweiterungen können heruntergeladen und direkt in das Content Management System installiert werden. Viele der Plugins werden jedoch frei von privaten Programmierern zur Verfügung gestellt, wodurch prozentual die meisten Schwachstellen über Plugins in das CMS geladen werden. Um Situationen wie diese zu vermeiden nutzen wir nur ausgewählte Erweiterungen für unsere Content Management System.

Anschließend ein kleines Diagramm über die Anzahl der Schwachstellen aus der Studie.

Diagram Contant Management System

Einer der am meist gravierenden Fehler sind die sogenannten Code-Executions. Wenn ein Angreifer einen solchen Fehler entdeckt, kann er die gesamte Kontrolle über den Arbeitsprozess eines Content Management Systems erlangen und somit den meisten Schaden anrichten.

WordPress und Drupal haben kaum schwerwiegende Sicherheitslücken, weshalb sich unser Unternehmen unter anderem auf genau diese CMS spezialisiert hat.

Fakt ist, dass der Anteil der Schwachstellen, die als schwerwiegend eingestuft wurden, bei TYPO 3 und Joomla! am meisten vertreten ist. Über 20 Prozent der bei TYPO 3 und Joomla! gefundenen Sicherheitslücken sind Code-Executions. Zudem ist der insgesamt gefundene Anteil von Schwachstellen bei Joomla! und TYPO3 am höchsten. Plone schneidet zwar mit der Gesamtanzahl von Schwachstellen gut ab, dennoch sind allein 70% der Sicherheitslücken bereits in der Basisinstallation enthalten.

 

Erstellt durch Martin Schütz (Praktikant, Wirtschaftsinformatik Student)

Quelle: Sicherheitsstudie Content Management Systeme (CMS) des BSI