HDBLOG


Kategorien


Neueste Beiträge


Neueste Kommentare


Archive


HDNET GmbH & Co. KG


Ravensbeger Str. 22
33824 Werther (Westf.)
Impressum | Datenschutz

HDBLOG

/ 1

TYPO3

Studie: Sicherheit von CMS – TYPO3 in den richtigen Händen unschlagbar

21st August 2013

Denial of Service, Cross-Site-Scripting, SQL-Injections: Die Gefahren für Webseiten klingen zwar kryptisch, sind aber vielfältig und real. Viele erfolgreiche Angriffe basieren letztendlich auf Schwachstellen in der Programmierung des Content Management-Systems (CMS). Cross-Site-Scripting und SQL-Injections beispielsweise funktionieren nur mit unfreiwilliger Hilfe des Programmierteams.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt die Sicherheit der gängigsten Content Management-Systeme unter die Lupe genommen, darunter auch unser Favorit TYPO3. Die Studie führte die Sicherheitsfirma ]init[ AG gemeinsam mit dem Frauenhofer-Institut durch. Anhand von vier verschiedenen Szenarien wurden die Content Management Systeme Drupal, Joomla!, Plone, TYPO3 und WordPress auf ihre Sicherheit überprüft.
 

TYPO3 in den richtigen Händen unschlagbar

Eins vorweg: Einen Testverlierer gibt es nicht, einen Testgewinner aber auch nicht. Das CMS Plone schnitt beispielsweise in der reinen Anzahl der Schwachstellen am besten ab. Aufgrund der relativ kleinen Community und der damit verbundenen kleinen Zahl an Extensions, Plugins und Schnittstellen ist das aber nicht verwunderlich. 20% der Schwachstellen der beliebten Software WordPress ließen sich im Kern ausfindig machen, was in Bezug auf die hohe Gesamtfehlermenge, die sich durch zahlreiche verfügbare Extensions bildet, den schlechtesten Wert darstellt. TYPO3, mit über 5.000 Extensions klarer Spitzenreiter in dieser Kategorie, hatte dadurch auch am meisten Schwachstellen zu beklagen – allerdings zu fast  90 Prozent in den Extensions. In diesem Bezug schnitt Drupal erstklassig ab; nur 4 Prozent der Schwachstellen wurden im Code des Kerns gefunden, während es bei Plone 70 Prozent waren. Auch diese Zahl sieht wieder eindeutig aus, ist aber mit Vorsicht zu genießen. Die Extensions von Plone werden in den Kern integriert, was zu dem hohen Prozentwert führt. Die Autoren der Studie kommen dementsprechend auch zu dem beruhigenden Ergebnis, dass die Kernsysteme der getesteten CMS auf hohem Sicherheits-Niveau spielen:

Die Umsetzung eines Sicherheitsprozesses entspricht dem Stand der Technik, den selbst viele unter Zeitdruck erstellte kommerzielle Softwarepakete nicht erreichen.

Das enthebt den Dienstleister unabhängig vom CMS jedoch nicht von der Verantwortung, ständig auf dem Laufenden zu sein. Patches müssen in der geringstmöglichen Zeitspanne eingespielt werden, um das Wettrennen mit Exploit-Nutzern nicht zu verlieren. Den Angriffspunkt Extension kann ein erfahrener Dienstleister zudem stärken. Durch Audits von Extensions, bevor sie eingeplant werden, oder auch durch die Entwicklung von Extensions für den jeweiligen Zweck. Auch das konsequente Monitoring der Webseiten hilft, Probleme frühzeitig zu erkennen.
 

Was und wie wurde getestet?

Die Studie beleuchtet folgende Angriffsmethoden beziehungsweise Angriffsergebnisse:

  • DoS (Denial of Service)
  • Overflow
  • SQL-Injection
  • Directory Traversal
  • Bypass Something
  • Gain Privileges
  • File Inclusion
  • Code Execution
  • Memory Corruption
  • XSS (Cross-Site-Scripting)
  • HTTP Response Splitting
  • Gain Information
  • CSRF (Cross-Site-Request-Forgery)

Anhand von vier Szenarien werden die Anforderungen an die Security der Webseite definiert. Die Studie unterscheidet:

  • einer „Private Event Site“ (private Webseite),
  • einer Website für ein „Bürgerbüro einer kleinen Gemeinde“,
  • einer „Open Government Site einer Kleinstadt“
  • und einer Website eines „Mittelständischen Unternehmens mit mehreren Standorten“.

Ausgehend von den Szenarien und Angriffsmethoden empfehlen die Autoren Maßnahmen und Bedingungen für den sichereren Betrieb von Webseiten. Ein Testing hat innerhalb der Studie nicht stattgefunden.
 

Empfehlungen der Studie: Sicherheit durch Updates und Kontrollen

Um eine bestmögliche Sicherheit zu gewährleisten sollte die Basis-Installation des gewählten CMS auf dem neuesten Stand sein. Bekannte Sicherheitslöcher sollten gestopft werden. Wie die Studie und auch die Erfahrung von HDNET zeigt, ist die intensive Kontrolle der Extensions der beste Weg zu einem sicheren CMS. Diese beiden Schritte sollten vor dem Livebetrieb vorgenommen werden. Der Kern des CMS sollte stets aktuell gehalten werden, wobei bei den Extensions wieder Vorsicht angesagt ist. Neue Versionen von bekannten und als harmlos und gut gesichert eingestuften Plugins können durchaus Schwachstellen enthalten. Regelmäßige Sicherheitskontrollen und das Durchführen aller Sicherheits- und Versionsupdates sind im Grunde unerlässlich. Im Update-Service von HDNET als Teil des Webfacility Managements ist das für uns selbstverständlich. Neben der Sicherheit der verwendeten Software sind eine angemessene Konfiguration und das richtige Systemmanagement die Hauptfaktoren für einen sicheren Betrieb einer CMS-Website.

Da für die Studie keine wirklichen Tests gefahren wurden, sind die ausgesprochene Empfehlungen auch recht generisch:

  • Dienstanbieter müssen permanent in der Lage sein, Patches einzuspielen
  • Dienstanbieter sollten Ihre Websites konzipieren, bevor sie sie aufsetzen
  • Dienstanbieter sollten Ihre Websites permanent überwachen

 

FAZIT

Die Basis-Software hat bei allen CMS einen relativ hohen Sicherheitsstandard – hier kann kein CMS empfohlen werden. Mit den richtigen Grundeinstellungen (wie z.B. das t3m – TYPO3 Master – von HDNET) wird der Grundstein für ein sicheres TYPO3 gelegt, ähnliche Komponenten gibt es auch für andere CMS. Grundsätzlich steht und fällt die Sicherheit im Business-Bereich mit der Erfahrung und Kompetenz des Dienstleisters. Dieser ist verantwortlich für ein umfassendes Sicherheits- und auch Ausfall-Konzept. Der Dienstleister gibt üblicherweise vor, wie die Rechtevergabe im CMS funktioniert – ein beliebtes Einfalltor für Angreifer, wenn die Redakteure beim Kunden nicht geschult wurden. „1234“ und Geburtsdaten sind schließlich immer noch unter den beliebtesten Passwörtern im Web – auch im CMS von vielen Unternehmen.

Kommentare

  • Thomas
    13:03 am 21. August 2013
    Thomas
    Antworten Autor

    Aber auch unsichere Passwörter bei Redakteuren kann man mit der Extension be_secure_pw verhindern. 🙂

    Guter Beitrag, hoffentlich merken das auch all die Kunden da draußen, dass TYPO3 unschlagbar ist und suchen sich die richtigen Hände aus.