BSI-Studie zu CMS-Sicherheit

Auswertung der BSI-StudieAuswertung der BSI-Studie

Eine Studie vom Bundesamt für Sicherheit in der Informationstechnik untersuchte TYPO3, Joomla!, Drupal, Wordpress und Plone.

In der 163 Seiten langen Studie von der ]init[ AG für digitale Kommunikation und dem Frauenhofer Institut für sichere Informationstechnologie (Fraunhofer SIT), das vom Bundesamt für Sicherheit in der Informationstechnik in Auftrag gegeben wurde, werden die bekanntesten Web-CMS unter die Lupe genommen. Dazu zählten TYPO3, Drupal, Joomla!, Plone und Wordpress. Ein Nachteil die ein Web-CMS hat, ist bei einer bekanntwerdende Sicherheitslücke viele Internetauftritte auf einmal betroffen sind.

Das Ziel der Studie sollte die Beurteilung der organisatorischen und rechtlichen Ebenen, sowie die zugrundeliegende Technik sein. Von der CMS-Auswahl bis zum kontinuierlichen Betrieb und Ausbau des Systems wurde der gesamte Lebenszyklus betrachtet. Dabei kristallisierten sich laut BSI 3 Faktoren aus:

  1. die Sicherheit der eingesetzten Software,
  2. die abgestimmte Konfiguration des CMS und der damit in Verbindung stehenden Komponenten,
  3. das kontinuierliche Systemmanagement einschließlich des Einspielens von Sicherheitsupdates.

Anhand von Anwendungsszenarien und definierten Bewertungskriterien bescheinigte die Studie ein grundsätzliches gutes Ergebnis in Sachen Sicherheitsniveau. Die häufigsten Schwachstellen sind Code-Execution, SQL-Injection und Cross-Site-Scripting. Lediglich die Erweiterungen (Extensions) bilden die größte Schwachstelle.

Schwachstellen der Erweiterungen

Hier besteht deutlich mehr Handlungs- und Aufklärungsbedarf. Das Security-Team von TYPO3 prüft in regelmäßigen Abständen die Erweiterungen im Repository und gibt Sicherheitsmeldungen raus.

Weitere ausführlichere Informationen finden sich auf den Seiten des Bundesamtes.

 

Schnellkontakt

Dennis Oezet
WebEntwicklung & Design
Tel: 0160 / 933 679 69
info(at)doemedia(dot)de



Sofortanfrage

Ich interessiere mich für







Meine Kontaktdaten

Datenschutz

Auf der folgenden Seite findest Du die Datenschutzhinweise.