t3n News Software

Bundesamt BSI überprüft Sicherheit von WordPress, TYPO3, Drupal und Joomla

Bundesamt BSI überprüft Sicherheit von WordPress, TYPO3, Drupal und Joomla

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat in einer Studie die gängigsten auf ihre Sicherheit hin untersucht. Auf den Prüfstand kamen , , , und Plone. Die grundsätzliche Sicherheit sei zufriedenstellend, Gefahren gehen größtenteils von Erweiterungen aus.

Bundesamt BSI überprüft Sicherheit von WordPress, TYPO3, Drupal und Joomla
Das Bundesamt für Sicherheit in der Informationstechnik hat die Sicherheit verschiedener CMS getestet. (Bild: BSI)
Das Bundesamt für Sicherheit in der Informationstechnik hat die Sicherheit verschiedener CMS getestet. (Bild: BSI)

BSI-Studie zur CMS-Sicherheit

Die Bonner Behörde hat einen ausgiebigen Blick auf die Sicherheit beliebter Content-Management-Systeme geworfen. Dafür engagierte man die Sicherheitsfirma ]init[ AG sowie das Fraunhofer Institut. Die Studie kann man sich auf der Seite des BSI anschauen. Als Grundlage für die Untersuchung wurden typische Einsatzszenarien herangezogen.

CMS-Studie: Bei TYPO3 und Joomla sehen die Macher der Studie die meisten Schwachstellen. (Bild: BSI)
CMS-Studie: Bei TYPO3 und Joomla sehen die Macher der Studie die meisten Schwachstellen. (Bild: BSI)

CMS: Grundsätzlich gute Sicherheit in WordPress, TYPO3, Joomla, und Co.

Generell bescheinigt man jedem getesteten System ein gutes Sicherheitsniveau. Wobei sich natürlich gewisse Unterschiede zeigten. Die Macher der Studie kommen beispielsweise zu dem Schluss, dass der Anteil an Code-Execution-Schwachstellen in TYPO3 und Joomla am höchsten sei. Damit bezeichnet man die Möglichkeit für einen Agreifer, eigenen Code auf dem Zielsystem auszuführen. Wobei dieses neben Cross-Site-Scripting und SQL-Injection zu den häufigsten Schwachstellen in allen fünf Systemen zählt. Im CMS Plone konnten die wenigstens Schwachstellen gefunden werden. Wobei hier natürlich die gesamte Kategorie SQL-Injection herausfiel, da keine SQL-Datenbank verwendet wird.

Getestet wurden die CMS WordPress, TYPO3, Joomla, Drupal und Plone. (Bild: BSI)
Getestet wurden die CMS WordPress, TYPO3, Joomla, Drupal und Plone. (Bild: BSI)

Erweiterungen: Größte Gefahr beim Einsatz eines CMS

Während die Basissysteme aller untersuchten Conent-Managemente-Systeme laut der Studie als relativ sicher gelten, kann dies nicht für die unterschiedlichen Erweiterungen gelten. Bei Drupal beispielsweise entfielen 96 Prozent aller Schwachstellen auf die Erweiterungen und lediglich vier Prozent auf die Basissoftware. Einzig bei Plone verteilten sich mehr Sicherheitslücken auf die eigentliche Software als auf die Erweiterungen. Man weist außerdem darauf hin, dass schwerwiegende Sicherheitslücken im eigentlichen System zu einem deutlich höheren Grad durch Patches ausgemerzt werden als jene in den Erweiterungen.

CMS: Erweiterungen erhöhen die Anzahl der Sicherheitslücken enorm. (Bild: BSI)
CMS: Erweiterungen erhöhen die Anzahl der Sicherheitslücken enorm. (Bild: BSI)

Fazit: Sicher aber mit Einschränkungen

Die Studie kommt zu dem Schluss, dass nicht nur Erweiterungen eine gewisse Gefahr darstellen, auch die Standardkonfiguration der Systeme sei lückenhaft. Wer eines der getesteten CMS einsetzen möchte, wird dringend angehalten, sein System nach der Installation mit Blick auf alle relevanten Sicherheitsoptionen anzupassen. Nur so kann laut BSI ein Höchstmaß an Sicherheit gewährleistet werden.

Weiterführende Links:

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
7 Antworten
  1. von Philipp am 24.06.2013 (13:03 Uhr)

    Natürlich ist es auch wichtig, wie oft ein System eingesetzt wird. Ich meine Hacker spezialisieren sich ja oft auch ein oder mehrere Systeme oder lassen ihre Scripts laufen, die das automatisiert machen. Da Wordpress am meisten genutzt wird, ist es auch anfälliger für Angriffe.

    Antworten Teilen
  2. von Jan Ulrich Hasecke am 24.06.2013 (15:41 Uhr)

    Was leider verschwiegen wird, ist, dass Plone die wenigstens Schwachstellen überhaupt aufweist. Diese sind um Größenordnungen kleiner als bei den anderen Systemen. Auch Python, die bei Plone zugrunde liegende Programmiersprache, weist in ähnlicher Größenordnung wesentlich weniger Schwachstellen auf als PHP. Die Darstellung hier erweckt den Eindruck, als sei Plone unsicherer als die anderen Systeme. Das genaue Gegenteil ist der Fall. Plone ist mit Abstand das sicherste System.

    Antworten Teilen
  3. von MArcJ am 24.06.2013 (16:13 Uhr)

    @Jan Ulrich Hasecke, woher hast du die Information: "Auch Python weist in ähnlicher Größenordnung wesentlich weniger Schwachstellen auf als PHP" ?

    Antworten Teilen
  4. von Katharina am 24.06.2013 (18:17 Uhr)

    Apropos gegenlesen … der Autor hat vergessen zu erwähnen, WELCHES der über 60 Institute die Studie zusammen mit der ]init[ AG durchgeführt hat – nämlich das Institut für Sichere Informationstechnologie SIT.

    Ich warte immer noch auf den Tag, an dem Journalisten verstehen, dass es verschiedene Institute mit verschiedenen Schwerpunkten gibt...

    Liebe Grüße,
    Katharina

    Antworten Teilen
  5. von Bärbel Loy am 24.06.2013 (20:30 Uhr)

    Ich denke auch, dass Wordpress weitaus gefährdeter ist als andere Systeme. Auch hier gibt es viele Sicherheitslücken in Erweiterungen, die von Hackern gerne gefunden werden (egal ob automatisiert oder händisch.) Nur wenn bei WP Sicherheitslücken auftreten, werde diese wahrscheinlich schneller behoben, als bei manch anderen CMS Systemen.

    Antworten Teilen
  6. von Bernhard am 25.06.2013 (17:21 Uhr)

    Selten so sinnfreie Diagramme gesehen. Was soll diese Einteilung nach Prozenten und vor allem wie wurden sie ermittelt? Bei über 25.000 Plugins für WordPress werden sie wohl nur einen Bruchteil getestet haben. Je nachdem welche installiert sind, kann dann der Prozentsatz sehr stark schwanken. Sinnvoller wäre es auch, das Basissystem zu testen und auch wie schnell bei Sicherheitslücken ein Patch bereitgestellt wird. Das würde wirklich eine qualitative Aussage zur Sicherheit bieten und als Entscheidungshilfe für oder gegen ein System taugen. Der Hinweis, dass gerade durch Erweiterungen Sicherheitslücken entstehen (aber auch durch Themes) ist zwar auch ein wichtiger Punkt, aber auch hier ist immer die Frage, wie schnell gegengesteuert wird. Und solche Aussagen, dass PHP unsicherer als Python ist, ist ja auch mal wieder eine falsche Pauschalisierung von Tatsachen.

    Antworten Teilen
  7. von phgampe am 27.06.2013 (14:17 Uhr)

    Die Studie ist völlig schwachsinnig und kann eigentlich nur als Werbeartikel für Plone interpretiert werden; wobei Plone das einzige CMS ist, für welches nicht erklärt wird, warum es in die Studie einbezogen wird.

    Die Grafiken passen nicht zu den im Text genannten Zahlen, die Zahlen passen nicht zu den Quellen/Tabellen am Ende der Studie und die Tabelleninhalte passen nicht zu den Links in der jeweiligen Zeile.
    Daneben ist es äußerst fragwürdig, die Sicherheit eines Systems an den "bekannten" Lücken in seinen Extensions zu bewerten. Zumal auch pauschal all Lücken aufaddiert werden, ohne dabei die Verbreitung der jeweiligen Extensions zu bewerten.
    Die Informationen über die System wurden durch Google Recherchen ermittelt, und nicht indem die Projektdokumentation hinzugezogen wurde. Dadurch basieren viele Aussage auf veralteten, teilweise falschen Informationen.

    Ein tolles Highligh (für alle TYPO3 CMS Kundigen) findet sich auf Seite 88 ;)

    Warum Plone so toll sein soll, zumal es als einziges CMS eine offene, bekannt Core Lücke hat, erschließt sich anhand der Fakten nicht wirklich. Zumal die gravierenden Nachteile von Plone als Vorteile dargestellt werden (schwieriges Deployment, eigener, nicht SQL Datenspeicher, etc).

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Joomla
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (April)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem April stellen wir euch hier kurz vor. » weiterlesen

Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)
Joomla!, WordPress, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (März)

Bei den großen CMS gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem März stellen wir euch hier kurz vor. » weiterlesen

WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)
WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)

Bei den großen CMS und einem Blog-System gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem Januar stellen wir euch hier … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?