Gerade sehr bekannte CMS wie Joomla, Wordpress oder Drupal usw., sind immer wieder beliebte Angriffsziele von kriminellen Hackern. Ist eine Sicherheitslücke einmal bekannt, könnten extrem viele Webseiten gleichzeitig in Gefahr geraten. Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Thema jetzt eine Studie veröffentlicht, welche auch eine Bewertung der Sicherheit solcher Systeme vornimmt.
Wie sicher sind Contentmanagement Systeme?
CMS sind sehr beliebt sowohl bei Privatanwendern, als auch bei Firmen. Der Umgang damit gestaltet sich nach relativ kurzer Einarbeitung meist recht einfach.
Umfangreiche HTML-Kenntnisse, Wissen im Bereich Cascading Stylesheets oder gar PHP, sind für die Publikation von durchaus attraktiven Webinhalten nicht notwendig.
Außerdem gibt es zumindest für alle bekannteren CMS sehr viele Erweiterungen, welche oft auch noch völlig kostenlos erhältlich sind. Das sind einige der guten Gründe, welche für ein CMS sprechen.
Somit ist es also kein Wunder, wenn diese Systeme millionenfach eingesetzt werden. Und genau das macht sie natürlich auch sehr attraktiv für Verbrecher.
Entdecken Hacker eine Sicherheitslücke, können sie die Lücke bei Millionen von Websites gezielt ausnutzen. Und auch schon das Auffinden solcher Lücken ist bei weit verbreiteten CMS natürlich einfacher.
In diesem Zusammenhang ist die neu veröffentlichte Studie des Bundesamtes für Sicherheit in der Informationstechnik sicher sehr interessant. Die Studie untersucht die Schwächen der Technik, aber auch die rechtliche und organisatorische Ebene.
Natürlich konnte man nicht alle erhältlichen CMS umfangreichen Sicherheitstests unterziehen. Man hat sich auf die bekanntesten und am weitesten verbreiteten Systeme beschränkt.
Berücksichtigt wurden also Drupal, Joomla, Plone, TYPO3 und natürlich Wordpress.
Wie zu erwarten war, haben CrossSiteScripting-Angriffe den höchsten Anteil im Durchnitt aller getesteten Systeme. Um zu diesem Wissen zu gelangen hätte es aber sicher nicht eine teure Studie gebraucht.
Natürlich wird auch auf sehr viele andere relevante Dinge in ausführlicher Weise eingegangen.
Aber auch hier könnte man sich vor allem als Anwender oder Entwickler von solchen Systemen fragen, ob dafür wirklich eine Studie nötig gewesen wäre, welche Steuergelder in sicher nicht unerheblichem Maße verschlingt.
Die sehr umfangreiche Studie kann auf der BSI-Seite im PDF-Format heruntergeladen werden.
Der Link ist nicht mehr gültig und wurde entfernt.
