Main Content

Das Bundesamt für Sicherheit in der Informationstechnik hat die Marktführer unter den Web CMS bezüglich ihrer Sicherheit untersucht und bewertet. Überprüft wurden anhand typischer Einsatzszenarien insgesamt fünf Open Source CMS darunter Drupal und TYPO3.

Die Ergebnisse basieren auf einer Recherche bekannter Sicherheitslücken, einer Analyse eingesetzter Technologien wie PHP und MYSQL sowie auf Funktionstests eigener Testinstallationen.

Wichtiges und nicht sehr überraschendes Ergebnis der Studie: Alle Systeme weisen Sicherheitslücken auf. Umso entscheidender ist eine umfassende und zeitnahe Schwachstellen-Kompensation, also die Organisation und Umsetzung der internen Sicherheitsaudits sowie eine kontinuierliche Wartung der Systeme.

Besonders positiv wird hier das Sicherheitsmanagement der Drupal Community hervorgehoben:
"Die Drupal Community kann als eine der derzeit aktivsten Open Source Communities bezeichnet werden. Das Drupal Projekt legt sehr viel Wert auf sichere Codierung. Es gibt ein Peer Review (Patchbasierte Entwicklung mit Mehr-Augen-Prinzip) und ein dezidiertes Security Team mit definiertem Workflow, Reporting/Support und Disclosure Policy."

Grundsätzlich weisen die CMS Kernsysteme weniger Sicherheitsprobleme auf als die zahlreich verfügbaren Erweiterungen. Hier greifen in der Regel etablierte Programmierstandards und Monitoringroutinen, die auch für eine schnellere Behebung identifizierter Sicherheitsrisiken sorgen. Bei den Erweiterungen dagegen schwankt die Programmierqualität teilweise erheblich. Bei TYPO3, Joomla oder Wordpress werden mehr als 80% aller Schwachstellen in den Erweiterungen gemeldet. Bei Drupal sind es sogar über 90%, was allerdings auch für die Qualität des CMS-Kerns spricht.

Die Computer Manufaktur achtet bei der Auswahl der eingesetzten Erweiterungen auf die Codequalität, macht diesbezügliche Analysen und Vergleiche und vertraut im Zweifel lieber auf das Know-How der eigenen Abteilung für Softwareentwicklung.

Bei der Diskussion der Studienergebnisse kommt das BSI unabhängig vom eingesetzten CMS zu dem Schluss, dass die Wahl eines kompetenten Dienstleisters mit kurzen Reaktionszeiten von erheblicher Bedeutung für die sicherheitstechnische Qualität eines Webauftritts ist. Hierzu gibt das BSI drei Empfehlungen:

  • Dienstanbieter müssen permanent in der Lage sein, Patches einzuspielen.
  • Dienstanbieter sollten ihre Websites konzipieren, bevor sie sie aufsetzen. Das Prinzip „Verteidigung in der Tiefe“ ist dabei von herausragender Bedeutung.
  • Dienstanbieter sollten ihre Websites permanent monitoren.

Kunden der Computer Manufaktur mit einem Wartungsvertrag für TYPO3 oder Drupal profitieren durch regelmäßige Systemupdates, Serverwartung und -monitoring von den BSI-empfohlenen Leistungen. Hier finden Sie unseren Leistungsüberblick zum Thema TYPO3 Sicherheit.

Die komplette BSI Studie liegt als PDF zum Download vor.

Zur Übersicht

Unternehmensmeldungen der Computer Manufaktur - IT-Systemhaus und Internetagentur aus Berlin