BSI-Studie:
Portale sicher betreiben


[17.10.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content-Management-Systemen veröffentlicht. Demnach lassen sich Internet-Seiten auf Basis von Open-Source-Lösungen weitgehend sicher betreiben.

Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) erlauben Open-Source-Content-Management-Systeme einen sicheren Web-Seiten-Betrieb. Auf Content-Management-Systemen (CMS) basierende Web-Seiten sind nach wie vor ein beliebtes Angriffsziel für Hacker. Schon eine einzelne Sicherheitslücke ist eine latente Gefahr für hunderte oder tausende Websites. So etwas wie absolute Sicherheit gibt es angesichts der über ausreichend Zeit, Mittel und Wege verfügenden Angreifer nicht. Zielführender ist es, relative Sicherheit anzustreben. Denn ein geringer sicherheitstechnischer Vorsprung lässt sich meist schon mit regelmäßigen Sicherheitsupdates erreichen und bietet hinreichend Schutz gegen alle Angreifer, die mit geringem Aufwand irgendein Ziel schädigen wollen. Leichte Beute identifizieren Hacker meist mit Werkzeugen, die das Internet nach anfälligen Seiten durchsuchen und eine Auswahl lukrativer Opfer präsentieren. Um Seitenbetreiber beim Erreichen eines relativen Sicherheitsniveaus zu unterstützen, veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich die Sicherheitsstudie Content-Management-Systeme. Die von der Firma init und dem Fraunhofer-Institut für Sichere Informationstechnologie SIT durchgeführte Studie leistet wichtige Grundlagenarbeit im Bereich der CMS-Sicherheit und untersucht die weit verbreiteten Open-Source-Systeme Drupal, Joomla!, Plone, TYPO3 und WordPress. Um nicht nur eine Aussage über den Zustand eines Systems zu einem bestimmten Zeitpunkt machen zu können, sondern die Sicherheit längerfristig einschätzen zu können, konzentrierten sich die Autoren der Studie auf die Entwicklung eines robusten Kriterienkatalogs, der eine detaillierte Beurteilung der CMS ermöglicht. Die Ergebnisse zeigen für jedes System sehr differenziert, wie Sicherheitsbelange in den unterschiedlichen Phasen des Software-Entwicklungslebenszyklus berücksichtigt werden – von der Konzeption über die Software-Erstellung, die Integration bestehender Back-End-Systeme bis hin zum späteren Betrieb. Die Kriterien werden auf vier typische Szenarien angewendet: Private Event Site, Bürgerbüro einer kleinen Gemeinde, Open Government Site einer Kleinstadt und mittelständisches Unternehmen mit mehreren Standorten.

Zentrale Ergebnisse der Studie

Im Fokus der Studie stand eine umfangreiche Analyse der bekannten Bedrohungslagen für die betrachteten Content-Management-Systeme. Den Ausgangspunkt bildete die Untersuchung gemeldeter und von den Open-Source-Projekten anerkannten Schwachstellen. Dafür wurde die National Vulnerability Database (NVD) der US-amerikanischen Standardisierungsbehörde NIST herangezogen. In ihr werden alle nachvollziehbaren Schwachstellen mit eindeutigem Identifikator geführt. Die Vermutung lag nahe, dass jene Systeme, welche bei der Beurteilung der Sicherheitskriterien gut abschneiden würden, die wenigsten Schwachstellen aufweisen würden. Im Rückblick erwies sich die Selektion und Zuordnung aber als schwierig. Die Standardisierung der gemeldeten Schwachstellen reicht gegenwärtig noch nicht aus, um daraus Rückschlüsse auf künftige Risiken beim Einsatz des jeweiligen Systems zu ziehen. Sehr aufschlussreich waren hingegen die von den Open-Source-Projekten veröffentlichten Advisories. Sie lassen sehr schnell erkennen, in welcher Frequenz Sicherheits­Updates notwendig sind, wie kritisch Lücken von der Entwickler-Community eingeschätzt und wie gut diese dokumentiert werden. Das zentrale Ergebnis der Studie: Alle betrachteten Open-Source-Systeme besitzen ein angemessenes Sicherheitsniveau und haben nachweislich einen Sicherheitsprozess zur Behebung von Schwachstellen implementiert. Tatsächlich entspricht die Umsetzung eines solchen Sicherheitsprozesses dem aktuellen Stand der Technik, den selbst viele kommerzielle Software-Pakete nicht erreichen. Sicherheitsrelevante Unterschiede zwischen den betrachteten CMS ergeben sich vor allem aus dem Konfigurationsaufwand bei der Erstinstallation und dem Einspielen von Patches. Ein CMS zu konfigurieren ist aufwändiger als die Installation einer spezialisierten Web-Applikation. Denn das CMS liefert lediglich eine Basisinstallation, die sehr genau an die verschiedenen Anwendungsfälle und Rahmenbedingungen angepasst werden muss. Deshalb steht und fällt die effektive Sicherheit einer Website mit der Sorgfalt bei der Konfiguration und der Auswahl der Erweiterungen.

Empfehlungen für einen sicheren Betrieb

Die positive Bewertung der Open-Source-CMS darf nicht darüber hinwegtäuschen, dass keines der betrachteten Systeme unbeobachtet oder durch einen unbedarften Anwender betrieben werden kann. Die Studie empfiehlt täglich 15 Minuten professionelle CMS-Pflege pro Website. Erst dann sind die Systeme sicherheitstechnisch weitgehend gebrauchstauglich. Um den Aufwand für eine nachhaltig sichere CMS-Konfiguration, ein professionelles System-Management und regelmäßige Security Reviews überschaubar zu halten, greifen Entwickler in der Regel auf bewährte Hard- und Software-Bausteine zurück. Die Studie diskutiert diesen Ansatz anhand geeigneter Module und Konfigurationen in den vier genannten Anwendungsszenarien.
Content-Management-Systeme unterliegen dem permanenten Wettstreit zwischen Exploit-Entwicklern und Security Teams. Vor dem Hintergrund der Handlungsempfehlungen der Studie und angesichts des durch Angriffe entstehenden Schadens, sind intelligente Sicherheitsgateways ein geeignetes Mittel zur Abwehr. Denn jeder Seitenbetreiber ist solange einem latenten Risiko ausgesetzt, bis für eine Sicherheitsschwachstelle ein Bugfix verfügbar ist. Ein intelligentes Sicherheitsgateway, das unveröffentlichte Sicherheitslücken an ungewohnten Kommunikationsmustern erkennt, kann hier eine große Hilfe sein. Diese regelbasierten Firewall-Systeme erkennen von der Norm abweichendes Verhalten und verhindern, dass Websites vor dem Erscheinen von Sicherheits-Updates befallen werden. Ein sehr effektives Werkzeug sind zudem spezialisierte CMS-Sicherheitstests. Einmal gemeinsam mit einem externen Spezialisten zusammengestellt und auf das System abgestimmt, sollten die Penetration-Tests nach jedem CMS-Update durchgeführt werden.

Malgorzata Mochol ist Professional Consultant für IT-Lösungen bei der init AG.

www.bsi.de
www.init.de
Hier können Sie die BSI-Studie herunterladen. (Deep Link)
Dieser Beitrag ist in der Oktober-Ausgabe von Kommune21 im Schwerpunkt Portale erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Portale, CMS, IT-Sicherheit, BSI, Open Source, Studie

Bildquelle: init AG für digitale Kommunikation

Druckversion    PDF     Link mailen


 Anzeige

Advantic
Weitere Meldungen und Beiträge aus dem Bereich CMS | Portale
SIMSme Business: Behördensicher chatten Bericht
[18.6.2018] Messenger erleichtern die Kommunikation und den Arbeitsalltag in der öffentlichen Verwaltung, gleichzeitig muss allerdings der Schutz sensibler und vertraulicher Daten gewährleistet sein. Die neuen Nutzungsbedingungen von WhatsApp helfen da nicht weiter. Einfach und sicher ist hingegen die Messenger-Lösung der Deutschen Post. mehr...
Behörden müssen auf die Vorteile der Echtzeitkommunikation via Messenger nicht verzichten.
krz / Advantic: Anwendertreffen iKISS
[12.6.2018] Beim Anwendertreffen iKISS stellen Hersteller Advantic und IT-Dienstleister krz in diesem Jahr neue Module und Funktionen der aktuellen Version 7 vor. mehr...
Frankfurt am Main: Online-Anträge mobil stellen
[8.6.2018] Die Stadt Frankfurt am Main hat ihre Antragssoftware optimiert. Dadurch können Online-Dienstleistungen nun auch per Smartphone oder Tablet genutzt werden. mehr...
Nordrhein-Westfalen: Elektronische Gewerbeanmeldung
[1.6.2018] In Nordrhein-Westfalen können Gründer und Unternehmer ihre Gewerbeanzeige künftig online übermitteln. Möglich macht das ein neues Portal, betrieben vom Land und bestückt von den kommunalen Spitzenverbänden, Industrie- und Handelskammern sowie den Handwerkskammern. mehr...
In Nordrhein-Westfalen können Gewerbe künftig auch elektronisch angemeldet werden.
Brandenburg: Neu bei Linie6Plus
[29.5.2018] Brandenburg ist der Länderkooperation Linie6Plus beigetreten, um Bürgern und Unternehmen künftig ein modernes Landesportal bereitstellen zu können. Für die Weiterentwicklung der Portal-Software wurde eine enge Zusammenarbeit mit Sachsen-Anhalt vereinbart. mehr...
Brandenburg tritt Länderkooperation Linie6Plus bei.
Suchen...

 Anzeige

ekom21
Ausgewählte Anbieter aus dem Bereich CMS | Portale:
ADVANTIC GMBH
23566 Lübeck
ADVANTIC GMBH
SEITENBAU GmbH
78467 Konstanz
SEITENBAU GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
TSA - Teleport GmbH
06108 Halle (Saale)
TSA - Teleport GmbH
brain-SCC GmbH
06217 Merseburg
brain-SCC GmbH
Aktuelle Meldungen