BSI-Studie:
Portale sicher betreiben


[17.10.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content-Management-Systemen veröffentlicht. Demnach lassen sich Internet-Seiten auf Basis von Open-Source-Lösungen weitgehend sicher betreiben.

Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) erlauben Open-Source-Content-Management-Systeme einen sicheren Web-Seiten-Betrieb. Auf Content-Management-Systemen (CMS) basierende Web-Seiten sind nach wie vor ein beliebtes Angriffsziel für Hacker. Schon eine einzelne Sicherheitslücke ist eine latente Gefahr für hunderte oder tausende Websites. So etwas wie absolute Sicherheit gibt es angesichts der über ausreichend Zeit, Mittel und Wege verfügenden Angreifer nicht. Zielführender ist es, relative Sicherheit anzustreben. Denn ein geringer sicherheitstechnischer Vorsprung lässt sich meist schon mit regelmäßigen Sicherheitsupdates erreichen und bietet hinreichend Schutz gegen alle Angreifer, die mit geringem Aufwand irgendein Ziel schädigen wollen. Leichte Beute identifizieren Hacker meist mit Werkzeugen, die das Internet nach anfälligen Seiten durchsuchen und eine Auswahl lukrativer Opfer präsentieren. Um Seitenbetreiber beim Erreichen eines relativen Sicherheitsniveaus zu unterstützen, veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich die Sicherheitsstudie Content-Management-Systeme. Die von der Firma init und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT durchgeführte Studie leistet wichtige Grundlagenarbeit im Bereich der CMS-Sicherheit und untersucht die weit verbreiteten Open-Source-Systeme Drupal, Joomla!, Plone, TYPO3 und WordPress. Um nicht nur eine Aussage über den Zustand eines Systems zu einem bestimmten Zeitpunkt machen zu können, sondern die Sicherheit längerfristig einschätzen zu können, konzentrierten sich die Autoren der Studie auf die Entwicklung eines robusten Kriterienkatalogs, der eine detaillierte Beurteilung der CMS ermöglicht. Die Ergebnisse zeigen für jedes System sehr differenziert, wie Sicherheitsbelange in den unterschiedlichen Phasen des Software-Entwicklungslebenszyklus berücksichtigt werden – von der Konzeption über die Software-Erstellung, die Integration bestehender Back-End-Systeme bis hin zum späteren Betrieb. Die Kriterien werden auf vier typische Szenarien angewendet: Private Event Site, Bürgerbüro einer kleinen Gemeinde, Open Government Site einer Kleinstadt und mittelständisches Unternehmen mit mehreren Standorten.

Zentrale Ergebnisse der Studie

Im Fokus der Studie stand eine umfangreiche Analyse der bekannten Bedrohungslagen für die betrachteten Content-Management-Systeme. Den Ausgangspunkt bildete die Untersuchung gemeldeter und von den Open-Source-Projekten anerkannten Schwachstellen. Dafür wurde die National Vulnerability Database (NVD) der US-amerikanischen Standardisierungsbehörde NIST herangezogen. In ihr werden alle nachvollziehbaren Schwachstellen mit eindeutigem Identifikator geführt. Die Vermutung lag nahe, dass jene Systeme, welche bei der Beurteilung der Sicherheitskriterien gut abschneiden würden, die wenigsten Schwachstellen aufweisen würden. Im Rückblick erwies sich die Selektion und Zuordnung aber als schwierig. Die Standardisierung der gemeldeten Schwachstellen reicht gegenwärtig noch nicht aus, um daraus Rückschlüsse auf künftige Risiken beim Einsatz des jeweiligen Systems zu ziehen. Sehr aufschlussreich waren hingegen die von den Open-Source-Projekten veröffentlichten Advisories. Sie lassen sehr schnell erkennen, in welcher Frequenz Sicherheits­Updates notwendig sind, wie kritisch Lücken von der Entwickler-Community eingeschätzt und wie gut diese dokumentiert werden. Das zentrale Ergebnis der Studie: Alle betrachteten Open-Source-Systeme besitzen ein angemessenes Sicherheitsniveau und haben nachweislich einen Sicherheitsprozess zur Behebung von Schwachstellen implementiert. Tatsächlich entspricht die Umsetzung eines solchen Sicherheitsprozesses dem aktuellen Stand der Technik, den selbst viele kommerzielle Software-Pakete nicht erreichen. Sicherheitsrelevante Unterschiede zwischen den betrachteten CMS ergeben sich vor allem aus dem Konfigurationsaufwand bei der Erstinstallation und dem Einspielen von Patches. Ein CMS zu konfigurieren ist aufwändiger als die Installation einer spezialisierten Web-Applikation. Denn das CMS liefert lediglich eine Basisinstallation, die sehr genau an die verschiedenen Anwendungsfälle und Rahmenbedingungen angepasst werden muss. Deshalb steht und fällt die effektive Sicherheit einer Website mit der Sorgfalt bei der Konfiguration und der Auswahl der Erweiterungen.

Empfehlungen für einen sicheren Betrieb

Die positive Bewertung der Open-Source-CMS darf nicht darüber hinwegtäuschen, dass keines der betrachteten Systeme unbeobachtet oder durch einen unbedarften Anwender betrieben werden kann. Die Studie empfiehlt täglich 15 Minuten professionelle CMS-Pflege pro Website. Erst dann sind die Systeme sicherheitstechnisch weitgehend gebrauchstauglich. Um den Aufwand für eine nachhaltig sichere CMS-Konfiguration, ein professionelles System-Management und regelmäßige Security Reviews überschaubar zu halten, greifen Entwickler in der Regel auf bewährte Hard- und Software-Bausteine zurück. Die Studie diskutiert diesen Ansatz anhand geeigneter Module und Konfigurationen in den vier genannten Anwendungsszenarien.
Content-Management-Systeme unterliegen dem permanenten Wettstreit zwischen Exploit-Entwicklern und Security Teams. Vor dem Hintergrund der Handlungsempfehlungen der Studie und angesichts des durch Angriffe entstehenden Schadens, sind intelligente Sicherheitsgateways ein geeignetes Mittel zur Abwehr. Denn jeder Seitenbetreiber ist solange einem latenten Risiko ausgesetzt, bis für eine Sicherheitsschwachstelle ein Bugfix verfügbar ist. Ein intelligentes Sicherheitsgateway, das unveröffentlichte Sicherheitslücken an ungewohnten Kommunikationsmustern erkennt, kann hier eine große Hilfe sein. Diese regelbasierten Firewall-Systeme erkennen von der Norm abweichendes Verhalten und verhindern, dass Websites vor dem Erscheinen von Sicherheits-Updates befallen werden. Ein sehr effektives Werkzeug sind zudem spezialisierte CMS-Sicherheitstests. Einmal gemeinsam mit einem externen Spezialisten zusammengestellt und auf das System abgestimmt, sollten die Penetration-Tests nach jedem CMS-Update durchgeführt werden.

Malgorzata Mochol ist Professional Consultant für IT-Lösungen bei der init AG.

http://www.bsi.de
http://www.init.de
Hier können Sie die BSI-Studie herunterladen. (Deep Link)
Dieser Beitrag ist in der Oktober-Ausgabe von Kommune21 im Schwerpunkt Portale erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Portale, CMS, IT-Sicherheit, BSI, Open Source, Studie

Bildquelle: init AG für digitale Kommunikation

Druckversion    PDF     Link mailen


ekom21

 Anzeige

Weitere Meldungen und Beiträge aus dem Bereich CMS | Portale
OZG-Umsetzung: Erstes Themenfeld bereit für die Praxis
[20.5.2019] Das vom IT-Planungsrat zur OZG-Umsetzung bestimmte Themenfeld Ein- und Auswanderung hat als erstes die Planungsphase erfolgreich abgeschlossen. Nun soll es in die Umsetzung starten. mehr...
OZG-Umsetzung: Brandenburg und das Auswärtige Amt starten im Themenfeld Ein- und Auswanderung von der Planungs- in die Umsetzungsphase.
Havelberg: Neu im Web
[15.5.2019] Das Online-Portal der Stadt Havelberg ist in Zusammenarbeit mit Anbieter brain-SCC überarbeitet worden. Es bietet aktualisierte Inhalte und erscheint im Responsive Design. mehr...
Havelberg: Hansestadt mit neuem Gesicht im Web.
Kassel: Gebündelte Informationen
[14.5.2019] Die neue Internet-Präsenz von Kassel soll die erste Adresse für die nordhessische Stadt sein. Hierfür wurden Erscheinungsbild und Technik erneuert, der Aufritt verschlankt und Inhalte mehrerer Plattformen zentral zusammengeführt. mehr...
Stadt Kassel hat ihren Web-Auftritt überarbeitet und die Inhalte mehrerer Plattformen zusammengeführt.
M-Login: Schlüssel zum digitalen München
[9.5.2019] Mit dem neuen M-Login schaffen die Stadtwerke München eine europaweit einzigartige lokale Single-Sign-On-Lösung, die den Bürgern Zugang zu immer mehr digitalen Services der bayerischen Landeshauptstadt bietet. mehr...
Mit dem M-Login erhalten die Bürger einen Schlüssel zum digitalen München.
Rüsselsheim: 50. Nutzer der Integreat-App
[9.5.2019] Mit der Stadt Rüsselsheim nutzt jetzt die 50. Kommune die App Integreat für Neuzugewanderte. mehr...
50 Kommunen nutzen aktuell die App Integreat.
Weitere FirmennewsAnzeige

Citrix: Die Digitale Transformation der Verwaltung ist machbar
[21.5.2019] Bereits 2013 verabschiedete der Bundestag das E-Government-Gesetz (EGovG). Bisher gibt es aber nur wenige Anwendungen, über die die Bürger oder Auftragnehmer mit der Verwaltung interagieren können. Analoge und langsame Verwaltungsprozesse sind nicht nur für den Bürger ärgerlich. Auch Beamte wünschen sich digitale Arbeitsplätze. Dabei gibt es für den öffentlichen Sektor längst gute Lösungen. mehr...
Suchen...

 Anzeige

Advantic
Ausgewählte Anbieter aus dem Bereich CMS | Portale:
SEITENBAU GmbH
78467 Konstanz
SEITENBAU GmbH
brain-SCC GmbH
06217 Merseburg
brain-SCC GmbH
KID Magdeburg GmbH
39104 Magdeburg
KID Magdeburg GmbH
Aktuelle Meldungen