Bundesamt für Sicherheit in der Informationstechnik prüft Sicherheit von Wordpress, Joomla!, Plone, Drupal und TYPO3
(firmenpresse) - Vergangene Woche erschien eine neue Studie des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Sicherheit der gebräuchlichsten CMS (Content Management System). Untersucht wurden Wordpress, Joomla!, Plone, Drupal und TYPO3. Ausgewertet wurden die im Zeitraum 2010-2012 gemeldeten Schwachstellen. Dabei konnte festgestellt werden, dass Plone z.B. nicht anfällig für SQL-Injections ist, da es einfach keine SQL-Datenbanken verwendet. Hingegen wurde bei Joomla! und TYPO3 eine größere Anzahl von Code-Execution-Schwachstellen entdeckt. Dieser Wert fiel bei Drupal sowie Wordpress weniger stark aus. Zu beachten ist jedoch bei dieser Studie, dass die reinen Zahlenwerte verglichen wurden. Dies bedeutet, dass eine z.B. intensivere Suche nach Sicherheitslücken zu einer entsprechend höheren Anzahl führt. Dieser Umstand wurde jedoch nicht eingebunden.
Der Großteil der Bedrohungen geht jedoch nicht vom Basiscode der CMS aus, sondern von den Erweiterungen. Lediglich Plone stellt hier eine Ausnahme dar, da 70 Prozent der Schwachstellen in Erweiterungen, die Teil der Basisinstallation sind, liegen. Des Weiteren werden allgemein bei allen untersuchten CMS die Sicherheitsprobleme in Erweiterungen weniger häufig gepatcht als die im Systemkern. Dementsprechend ist es durchaus hilfreich, wenn das CMS von Beginn an auch ohne viele Erweiterungen einen hohen Leistungsumfang bietet.
Zusammenfassend stellt die Studie fest, dass bei TYPO3 zwar die meisten Schwachstellen entdeckt wurden, dies jedoch kein Auswahlkriterium darstellen sollte. Jedes CMS hat seine Stärken in einem anderen Anwendungsbereich und bei entsprechender Pflege der Erweiterungen sind alle verglichenen CMS verhältnismäßig sicher.
Letztlich ist es laut BSI entscheidend, wie es um die allgemeine Sicherheit der Infrastruktur des Unternehmens bestellt ist. Expliziert wird hier die „Verteidigung in der Tiefe“ genannt, welche eine Abgrenzung der Infrastrukturen und jeweils einen separaten Schutz beschreibt. Weiterhin werden Unternehmen angehalten ihre Website stetig im Auge zu behalten, um Angriffe und Schwachstellen frühzeitig erkennen und beheben zu können (z.B. mit PIWIK und Centreon). Außerdem sollten bekannte Sicherheitslücken umgehend beseitigt werden. Dies ist laut BSI aufgrund von umfangreicher Transparenz der Open-Source CMS sehr gut möglich.
Die sysfire GmbH bietet genau aus diesen Gründen seinen Kunden seit Langem den Managed-TYPO3-Service an. Mit dieser Dienstleistung wird die Website nicht nur umfangreich überwacht, sondern notwendige Sicherheitsupdates auch umgehend eingespielt. Damit werden die Unternehmen von diesen Aufgaben entlastet und können die freiwerdenden Ressourcen an anderer Stelle gewinnbringend einsetzen.
Ãœber die sysfire GmbH
Das Kerngeschäft der in Nürnberg ansässigen sysfire GmbH umfasst qualitativ hochwertige und anspruchsvolle IT-Dienstleistungen sowie den Betrieb komplexer Infrastrukturen. Der Fokus liegt auf individuellen und optimal auf die Kundenbedürfnisse zugeschnittenen IT-Lösungen. Durch diese Fokussierung konnten in den letzten Jahren Projekte für Unternehmen der verschiedensten Größen und Branchen realisiert werden. Weitere Informationen stehen unter www.sysfire.de, bei Twitter (at)sysfire, unter facebook.de/sysfire oder über YouTube zur Verfügung.
Tom Strube
Marketing & PR
Tel.: 0911/9626324-0
E-Mail: Presse(at)sysfire.de
Tom Strube
Marketing & PR
Tel.: 0911/9626324-0
E-Mail: Presse(at)sysfire.de