Sicherheit im Internet: BSI-Studie zur Sicherheit von CMS
Das BSI veröffentlicht Studie zur Sicherheit gängiger Content Management Systeme
Sie nutzen für Ihren privaten oder geschäftlichen Internetauftritt CMS wie WordPress, Typo3, Drupal oder Joomla? Dann wird dieser Artikel für Sie oder auch für Ihre Agentur interessant sein.
Was versteht man unter einem Content Management System und wozu ist es nützlich?
Aber zunächst ein kleiner Exkurs zum Thema CMS: Ein Content Management System, kurz CMS, ist eine Software, die die Erstellung und Bearbeitung von Inhalten (Content) vereinfachen soll. Zielmedien können Webseiten, aber auch andere digitale Medienarten sein. Und unter Content versteht man allgemein Texte, Bilder oder auch Videos.
Entscheidend bei einem CMS ist, dass jeder, der als Autor oder Redakteur auf das System und damit auf das „Backend“ zugreifen kann, auf recht einfach Art und Weise, Content einpflegen, verändern oder löschen kann. Und dies, ohne über HTML- oder PHP-Kenntnisse zu verfügen. Besonders geeignet, und das mit gewissen Restriktionen in der Benutzung des Systems belegt, ist ein CMS für den Fall, dass mehrere Autoren oder Redakteure mit der Pflege eines Internetauftritts betraut sind. Hier dient ein Content Management System auch in hohem Maß der Organisation der Inhalte und Zugriffsrechte auf eine Website.
Open-Source-CMS: WordPress und Joomla werden am häufigsten verwendet.
In den vergangenen Jahre hat sich die Nutzung sogenannter Open-Souce-CMS durchgesetzt. Und dies sowohl im privaten wie auch im kommerziellen Bereich. Zu den frei zugänglichen und kostenlosen Content Management Systemen zählen Drupal, Joomla, Typo3 und WordPress. Dabei sind WordPress und Joomla sicherlich diejenigen Systeme, die bislang die größte Verbreitung erzielt haben. Ein wichtiger Grund, warum selbst Unternehmen heute kaum mehr auf selbst gestrickte CMS-Lösungen zurückgreifen, mag die Affinität von Suchmaschinen, allen voran Google, für Open-Source-CMS sein.
Sicherheitsniveau der Basissysteme gut. Erweiterungen bergen Risiken.
Der Vorteil einer solchen Open-Source-Lösung ist zumeist auch das Problem: Das Basissystem passt auf viele Bedürfnisse, birgt jedoch auch Schwachstellen und damit Angriffsmöglichkeiten für Externe.
Diese Sicherheitslücken ausfindig zu machen, war das Ziel der vom Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, in Auftrag gegebenen Studie.
Nach dieser ist das Sicherheitsniveau der Basissysteme generell gut. Große Risiken bergen vor allem die Erweiterungen oder Plug-Ins, die eine Website erst zu einem individuell gestalteten Internetauftritt machen. Hier finden sich die meisten Sicherheitslücken.
Fazit: Das BSI empfiehlt daher, das installierte CMS nicht in der Standardkonfiguration zu betreiben, sondern es hinsichtlich sicherheitsrelevanter Optionen anzupassen oder anpassen zu lassen. Dem können wir uns nur anschließen!