Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Bundesamt BSI überprüft Sicherheit von WordPress, TYPO3, Drupal und Joomla

    Bundesamt BSI überprüft Sicherheit von WordPress, TYPO3, Drupal und Joomla

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat in einer Studie die gängigsten CMS auf ihre Sicherheit hin untersucht. Auf den Prüfstand kamen WordPress, Joomla, TYPO3, Drupal und Plone. Die grundsätzliche Sicherheit sei zufriedenstellend, Gefahren gehen größtenteils von Erweiterungen aus.

Das Bundesamt für Sicherheit in der Informationstechnik hat die Sicherheit verschiedener CMS getestet. (Bild: BSI)
Das Bundesamt für Sicherheit in der Informationstechnik hat die Sicherheit verschiedener CMS getestet. (Bild: BSI)

BSI-Studie zur CMS-Sicherheit

Die Bonner Behörde hat einen ausgiebigen Blick auf die Sicherheit beliebter Content-Management-Systeme geworfen. Dafür engagierte man die Sicherheitsfirma ]init[ AG sowie das Fraunhofer Institut. Die Studie kann man sich auf der Seite des BSI anschauen. Als Grundlage für die Untersuchung wurden typische Einsatzszenarien herangezogen.

CMS-Studie: Bei TYPO3 und Joomla sehen die Macher der Studie die meisten Schwachstellen. (Bild: BSI)
CMS-Studie: Bei TYPO3 und Joomla sehen die Macher der Studie die meisten Schwachstellen. (Bild: BSI)

CMS: Grundsätzlich gute Sicherheit in WordPress, TYPO3, Joomla, und Co.

Generell bescheinigt man jedem getesteten System ein gutes Sicherheitsniveau. Wobei sich natürlich gewisse Unterschiede zeigten. Die Macher der Studie kommen beispielsweise zu dem Schluss, dass der Anteil an Code-Execution-Schwachstellen in TYPO3 und Joomla am höchsten sei. Damit bezeichnet man die Möglichkeit für einen Agreifer, eigenen Code auf dem Zielsystem auszuführen. Wobei dieses neben Cross-Site-Scripting und SQL-Injection zu den häufigsten Schwachstellen in allen fünf Systemen zählt. Im CMS Plone konnten die wenigstens Schwachstellen gefunden werden. Wobei hier natürlich die gesamte Kategorie SQL-Injection herausfiel, da keine SQL-Datenbank verwendet wird.

Getestet wurden die CMS WordPress, TYPO3, Joomla, Drupal und Plone. (Bild: BSI)
Getestet wurden die CMS WordPress, TYPO3, Joomla, Drupal und Plone. (Bild: BSI)

Erweiterungen: Größte Gefahr beim Einsatz eines CMS

Während die Basissysteme aller untersuchten Conent-Managemente-Systeme laut der Studie als relativ sicher gelten, kann dies nicht für die unterschiedlichen Erweiterungen gelten. Bei Drupal beispielsweise entfielen 96 Prozent aller Schwachstellen auf die Erweiterungen und lediglich vier Prozent auf die Basissoftware. Einzig bei Plone verteilten sich mehr Sicherheitslücken auf die eigentliche Software als auf die Erweiterungen. Man weist außerdem darauf hin, dass schwerwiegende Sicherheitslücken im eigentlichen System zu einem deutlich höheren Grad durch Patches ausgemerzt werden als jene in den Erweiterungen.

CMS: Erweiterungen erhöhen die Anzahl der Sicherheitslücken enorm. (Bild: BSI)
CMS: Erweiterungen erhöhen die Anzahl der Sicherheitslücken enorm. (Bild: BSI)

Fazit: Sicher aber mit Einschränkungen

Die Studie kommt zu dem Schluss, dass nicht nur Erweiterungen eine gewisse Gefahr darstellen, auch die Standardkonfiguration der Systeme sei lückenhaft. Wer eines der getesteten CMS einsetzen möchte, wird dringend angehalten, sein System nach der Installation mit Blick auf alle relevanten Sicherheitsoptionen anzupassen. Nur so kann laut BSI ein Höchstmaß an Sicherheit gewährleistet werden.

Weiterführende Links:

Finde einen Job, den du liebst

7 Reaktionen
phgampe
phgampe

Die Studie ist völlig schwachsinnig und kann eigentlich nur als Werbeartikel für Plone interpretiert werden; wobei Plone das einzige CMS ist, für welches nicht erklärt wird, warum es in die Studie einbezogen wird.

Die Grafiken passen nicht zu den im Text genannten Zahlen, die Zahlen passen nicht zu den Quellen/Tabellen am Ende der Studie und die Tabelleninhalte passen nicht zu den Links in der jeweiligen Zeile.
Daneben ist es äußerst fragwürdig, die Sicherheit eines Systems an den "bekannten" Lücken in seinen Extensions zu bewerten. Zumal auch pauschal all Lücken aufaddiert werden, ohne dabei die Verbreitung der jeweiligen Extensions zu bewerten.
Die Informationen über die System wurden durch Google Recherchen ermittelt, und nicht indem die Projektdokumentation hinzugezogen wurde. Dadurch basieren viele Aussage auf veralteten, teilweise falschen Informationen.

Ein tolles Highligh (für alle TYPO3 CMS Kundigen) findet sich auf Seite 88 ;)

Warum Plone so toll sein soll, zumal es als einziges CMS eine offene, bekannt Core Lücke hat, erschließt sich anhand der Fakten nicht wirklich. Zumal die gravierenden Nachteile von Plone als Vorteile dargestellt werden (schwieriges Deployment, eigener, nicht SQL Datenspeicher, etc).

Antworten
Bernhard

Selten so sinnfreie Diagramme gesehen. Was soll diese Einteilung nach Prozenten und vor allem wie wurden sie ermittelt? Bei über 25.000 Plugins für WordPress werden sie wohl nur einen Bruchteil getestet haben. Je nachdem welche installiert sind, kann dann der Prozentsatz sehr stark schwanken. Sinnvoller wäre es auch, das Basissystem zu testen und auch wie schnell bei Sicherheitslücken ein Patch bereitgestellt wird. Das würde wirklich eine qualitative Aussage zur Sicherheit bieten und als Entscheidungshilfe für oder gegen ein System taugen. Der Hinweis, dass gerade durch Erweiterungen Sicherheitslücken entstehen (aber auch durch Themes) ist zwar auch ein wichtiger Punkt, aber auch hier ist immer die Frage, wie schnell gegengesteuert wird. Und solche Aussagen, dass PHP unsicherer als Python ist, ist ja auch mal wieder eine falsche Pauschalisierung von Tatsachen.

Antworten
Bärbel Loy

Ich denke auch, dass Wordpress weitaus gefährdeter ist als andere Systeme. Auch hier gibt es viele Sicherheitslücken in Erweiterungen, die von Hackern gerne gefunden werden (egal ob automatisiert oder händisch.) Nur wenn bei WP Sicherheitslücken auftreten, werde diese wahrscheinlich schneller behoben, als bei manch anderen CMS Systemen.

Antworten
Katharina

Apropos gegenlesen … der Autor hat vergessen zu erwähnen, WELCHES der über 60 Institute die Studie zusammen mit der ]init[ AG durchgeführt hat – nämlich das Institut für Sichere Informationstechnologie SIT.

Ich warte immer noch auf den Tag, an dem Journalisten verstehen, dass es verschiedene Institute mit verschiedenen Schwerpunkten gibt...

Liebe Grüße,
Katharina

Antworten
MArcJ
MArcJ

@Jan Ulrich Hasecke, woher hast du die Information: "Auch Python weist in ähnlicher Größenordnung wesentlich weniger Schwachstellen auf als PHP" ?

Antworten
Jan Ulrich Hasecke

Was leider verschwiegen wird, ist, dass Plone die wenigstens Schwachstellen überhaupt aufweist. Diese sind um Größenordnungen kleiner als bei den anderen Systemen. Auch Python, die bei Plone zugrunde liegende Programmiersprache, weist in ähnlicher Größenordnung wesentlich weniger Schwachstellen auf als PHP. Die Darstellung hier erweckt den Eindruck, als sei Plone unsicherer als die anderen Systeme. Das genaue Gegenteil ist der Fall. Plone ist mit Abstand das sicherste System.

Antworten
Philipp
Philipp

Natürlich ist es auch wichtig, wie oft ein System eingesetzt wird. Ich meine Hacker spezialisieren sich ja oft auch ein oder mehrere Systeme oder lassen ihre Scripts laufen, die das automatisiert machen. Da Wordpress am meisten genutzt wird, ist es auch anfälliger für Angriffe.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen