BSI: Sicherheitsstudie zu Content-Management-Systemen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
bsi-hausgesamt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content-Management-Systemen (CMS) veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu pflegen.

Die Studie zeigt, dass die untersuchten CMS ein angemessenes Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur Behebung von Schwachstellen implementiert haben. Um einen sicheren Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die untersuchten Lösungen in der Standardinstallation einzusetzen und zu betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Betreiber und Administratoren der Webseite sollten daher ein besonderes Augenmerk auf die tägliche Pflege des Systems und die Information zu möglichen Sicherheits-Updates legen und die dafür notwendige Zeit einplanen.

Handlungsempfehlungen anhand praxisnaher Anwendungsszenarien

Die Studie bietet unter anderem eine Analyse der Schwachstellen der untersuchten CMS. Zudem werden die Entwicklungsprozesse der Systeme mit dem Fokus auf Sicherheit untersucht und bewertet. Darüber hinaus ermöglicht die Studie eine verlässliche sicherheitstechnische Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu werden exemplarisch wichtige Aspekte zur Absicherung der Software anhand von vier typischen Anwendungsszenarien beleuchtet: „Private Event Site“ zum Aufbau einer privaten Webseite, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.

Content-Management-Systeme werden zur Erstellung und Pflege von Internetauftritten im privaten Umfeld ebenso eingesetzt wie in Verwaltungen und Unternehmen. Immer wieder bieten diese Systeme jedoch Angriffsflächen für Hacker und Schadprogramme. Denn schon durch kleine Sicherheitslücken oder Fehlkonfigurationen können sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten öffnen. Die mangelhafte Pflege von Content-Management-Systemen kann auch dazu führen, dass Online-Kriminelle den Rechner oder Webserver des Anwenders übernehmen, diesen zum Teil eines Botnetzes machen und den Rechner so beispielsweise für DDoS-Angriffe missbrauchen. Schwachstellen in Content-Management-Systemen, die aufgrund von mangelhafter Pflege nicht geschlossen wurden, waren beispielsweise eine Ursache für die in den letzten Monaten bekannt gewordenen DDoS-Angriffe gegen US-Finanzinstitutionen.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt. Weitere Informationen sowie die Studie selbst stehen auf der Webseite des BSI unter https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html zur Verfügung.

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Wie sicher ist Cloud Computing? Diese Frage stellen sich viele Unternehmen, die Anwendungen und Daten in die Wolke auslagern wollen. Dabei sind sich vier von fünf Firmen laut Nationaler Initiative für Informations- und Internet-Sicherheit e.V. unsicher, ob ihre Daten in der Cloud verlässlich vor unberechtigtem Zugriff geschützt sind. Vor diesem Hintergrund hat Fabasoft, Anbieter von Cloud-Lösungen für sichere digitale Dokumentenlenkung, vier Tipps zusammengestellt. 

Systeme für Advanced Planning and Scheduling (APS) machen komplexe Fertigungsprozesse beherrschbar, denn sie optimieren den Einsatz sämtlicher Ressourcen. Allerdings gibt es keine einheitliche Definition, welchen Leistungsumfang eine zeitgemäße APS-Lösung haben muss. Das macht die System-Auswahl schwierig. Proalpha hat einige Funktionen zusammengestellt, die in keiner APS-Lösung fehlen dürfen.

Werbung
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Flexibel und schnell wachsen

ERP

Mehr erfahren
Quelle: WIN-Verlag

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.