In regelmäßigen Abständen erhält jede Software, mit der Sie arbeiten, Updates – so auch Ihr Content-Management-System. Was viele dabei vergessen: Neben Modernisierungen in Aussehen und Technologie geht es dabei vor allem um die Sicherheit des Systems.
Neue Funktionen, modernes Aussehen, praktischere Handhabung: Mit jedem Update erhalten gerade Content-Management-Systeme aus dem Open-Source-Sektor etliche Elemente, die auf Ideen einer kreativen Community basieren. Einer Community, die zum Großteil aus Menschen besteht, die ihr System täglich nutzen und allein deshalb motiviert sind, ihr Werkzeug mit jeder neuen Version besser und vielfältiger einsetzbar zu machen. In Versionsvorstellungen sind es dann regelmäßig genau diese Neuerungen, die im Mittelpunkt stehen, um zu zeigen welche Leistung die beteiligten Entwickler erbracht haben. Wobei ein wichtiger Faktor häufig in Vergessenheit gerät.
Denn bei all den modernen Designs und Features, die regelmäßig mit der Veröffentlichung einhergehen, gibt es auch kaum eine Version, mit der nicht auch Sicherheitslücken geschlossen werden.Die gewinnen jedoch häufig erst die Aufmerksamkeit der Website-Betreiber, wenn es zu spät ist und ein Exploit die eigene Website betrifft – obwohl viele Risiken bereits durch das vorvorletzte Update hätten geschlossen werden können.
Wie Risiken entstehen
Unabhängig von Art und Umfang der Daten, die auf einer Website zu holen sind, geraten Websites immer wieder in das Visier von Hackern, die durch einen Angriff an persönliche Daten der Nutzer kommen oder die Site mit Schadsoftware infizieren wollen – mit welchen Absichten auch immer. Dazu gibt es fast überall Mittel und Wege, denn im Alltag entsprechen Hacker schon längst nicht mehr der Vorstellung von Einzelpersonen, die im stillen Kämmerlein spezifische Angriffe auf ein definiertes, lohnenswertes Ziel planen. Vielmehr geschieht in der heutigen Zeit alles automatisiert, womit jede Seite früher oder später in den Fokus geraten kann – egal ob sie per se ein interessantes Ziel für Hacker ist oder nicht.
Was diese Entwicklung ein Stück weit unterstützt, ist die Tatsache, dass Websites in fast allen Sektoren seit vielen Jahren kaum noch individuell entwickelt werden, sondern auf Content-Management-Systemen basieren. Diese haben über die Jahre zwar stark an Qualität und damit auch an Attraktivität für Entwickler, Unternehmen und selbst sicherheitssensitive öffentliche Einrichtungen wie Krankenhäuser oder Behörden gewonnen, sind hierdurch aber mehr und mehr in den Fokus von Attacken gerückt. Denn: Wo viele Seiten über ein und dieselbe Basis laufen, ist die Chance groß, mit wenig Aufwand viel Schaden anzurichten. Umso wichtiger ist damit auch der Stellenwert von Sicherheit und gerade auch von Updates in diesem Bereich geworden.
Generell gilt – genau wie im Bereich proprietärer Software: Systeme, über die viele Millionen Live-Sites online sind, gelten bei Hackern als beliebtere Angriffsziele als all jene Systeme, die nur kleinere Zielgruppen ansprechen. Gleichzeitig lässt sich aber sagen, dass durch dieses Wissen auch innerhalb der Communities eine Menge passiert, Sicherheitslücken üblicherweise schnell gefunden und gemeldet und noch schneller über Updates abgesichert werden, sodass Zero-Day-Exploits mehr und mehr verhindert werden können. Was der Seitenbetreiber letztlich daraus macht, liegt dennoch bei ihm.
Schaden? Welcher Schaden eigentlich?
Wenn Sie keine Zeit und Kosten für Updates einsetzen wollen, pokern Sie mit dem Risiko, Aufwand und Kosten mit den Folgen eines Angriffs zu haben. Neben möglichen juristischen Konsequenzen für das ahnungslose Verbreiten von „Drive-by-Viren“ zum Beispiel. Diese können sich Ihre Besucher allein durch das Aufrufen Ihrer Website einfangen. Der eigentliche Schaden entsteht dann auf einem anderen Rechner, wofür Sie aber möglicherweise geradezustehen haben – und natürlich müssen Sie spätestens dann sowieso dafür sorgen, Ihr System abzusichern.
Zweifellos besteht die größte Gefahr aber im Reputationsverlust. Sei es, dass Ihr guter Name mit den Folgen eines Exploits in Verbindung gebracht wird, dass Ihre Website in den Suchmaschinen mit einer „Malware“-Warnung versehen oder gleich aus dem Index entfernt wird – oder dass Ihr Provider wegen „Auffälligkeiten“ Ihre Site gleich ganz vom Netz nimmt.
Da Sie selbstverständlich meinen, was Sie in Ihrer Datenschutzerklärung schreiben, nämlich dass sie „den Schutz personenbezogener Daten sehr ernst“ nehmen, sollten Sie sich lieber dreimal fragen, ob sie auch alles technisch Mögliche dafür getan haben. Eine aktuelle Änderung im europäischen Recht sorgt dafür, dass Sie künftig noch empfindlicher in Haftung genommen werden können.
Nur der Vollständigkeit halber: Vor langer Zeit haben sich Hacker noch eher mit „Defacement“ ihre Zeit vertrieben, also mit der Modifikation vorgefundener Inhalte. Dadurch wusste auch jeder gleich: Ah, gehackt worden. Die Zeiten von Totenkopf-Grafiken und dergleichen sind allerdings so gut wie vorbei. Heute ist es nicht mehr so offensichtlich, dafür sind die Folgen ungleich gravierender.
Updates: Aufwand vs. Nutzen
Je nach genutztem System ist der Aufwand, den Updates mit sich bringen, nicht ganz unerheblich, so dass Betreiber häufig zweimal überlegen, ob sich eine Aktualisierung lohnt. Denn gerade im Open-Source-Bereich, wo Systeme in mal mehr, mal weniger stark individualisierter Form genutzt werden, bringen Updates auch die Gefahr mit sich, dass die Arbeit des Website-Betreibers sich nicht nur auf die Installation der neuen Version beschränkt, sondern dadurch auch weitere Anpassungen anfallen, die eine Menge Zeit in Anspruch nehmen können.
Zeit, die es sich dennoch – und zwar in jedem Fall – zu investieren lohnt, wenn man auf Nummer sicher gehen möchte! Denn auch wenn neue Features und andere nützliche Neuerungen im System Sie als Betreiber auf den ersten Blick nicht betreffen mögen, sind die Sicherheitslücken, die in der Zwischenzeit geschlossen wurden, allemal relevant. Besondere Eile ist hier oftmals deshalb geboten, weil die entsprechenden Sicherheitsupdates viel Aufmerksamkeit in den Hacker-Communities erzeugen und somit zwischen Update und ersten Angriffen oft weniger als 12 Stunden vergehen.
Betroffen sind davon häufig gerade kleine und mittelständische Unternehmen, bei denen nicht ganze Abteilungen für die ständige Sicherheit von Websites und eCommerce-Plattformen zuständig sind. Genau darum lohnt es sich vor allem hier, in Sachen Sicherheit auf die Expertise der Community zu vertrauen, bevor es Grund dazu gibt, Versäumnisse zu bereuen.
Um über ein neues Update informiert zu werden, genügt es bei einem Großteil der Open-Source-Systeme auf dem Markt, sich regelmäßig als Administrator einzuloggen. Im Backend weisen etliche Systeme direkt auf neue Software-Versionen, ihre Features und Sicherheitsupdates hin und geben direkt die Möglichkeit mit wenigen Klicks die Software zu aktualisieren, auch wenn an einigen Stellen etwa zusätzliche Backups oder Anpassungen nötig sind, um ganz auf Nummer sicher zu gehen, dass Ihre Website sowie Templates und Plugins nach dem Update weiterhin so einwandfrei laufen wie vorher. Bei Systemen, die Updates nicht automatisch ausweisen, lohnt es sich, Blogs und Newsletter zu abonnieren, um immer auf dem Laufenden zu bleiben.
Fazit: Sicherheit ist Chefsache
Etliche Sicherheitsstudien haben über die vergangenen Jahre gezeigt, dass es für Hacker und Bots mit zunehmender Entwicklung der Technik einfacher wird, Exploits auszumachen und für schädliche Attacken zu nutzen – bei proprietärer, genauso wie bei offener und freier Software. Eine Entwicklung, der nur gegensteuern kann, wer selbst an verschiedenen Stellen für die Sicherheit seiner Website sorgt und das Thema dabei ernst nimmt.
Gerade im Open-Source-Bereich, wo täglich viele tausend Entwickler an zukünftigen System-Versionen arbeiten, können Fehler passieren und sich dadurch Lücken öffnen. Gleichzeitig können sie hunderten Augenpaaren gleichzeitig auffallen und genauso schnell geschlossen werden, wie sie entstanden sind. Danach liegt es am Betreiber, sein CMS schnellstmöglich auf einen Stand zu bringen, der Angriffe abwehren kann. Je besser darauf geachtet wird, desto uninteressanter werden Hackerangriffe, die auf ganze Systeme und ihre einzelnen Exploits abzielen.
3 goldene Regeln für ein sicheres Open-Source-CMS
So viel steht fest: Die Sicherheit Ihrer Website muss gepflegt werden. Wenn Ihnen als Betreiber die Praxis im Umgang mit IT-Sicherheit fehlt, sollten Sie sich dazu in jedem Fall einen Dienstleister ins Boot holen. Fragen Sie nach einem Wartungsvertrag.
Ob Sie sich einen Dienstleister suchen oder sich selbst kümmern wollen - tun Sie das Ihre dafür, dass diese drei goldenen Regeln für ein sicheres Open-Source-CMS befolgt werden:
Regel 1: Immer auf dem Laufenden bleiben
Sobald von Ihrem System auf ein Update hingewiesen wird, richten Sie sich möglichst schnell darauf ein, es zu installieren und in Betrieb zu nehmen.
Bleiben Sie auf dem neuesten Stand. Verfolgen Sie, was bei Ihrem System Tag für Tag passiert, lesen Sie Fachmedien, die Funktionen auf Qualität und Sicherheit testen und stellen Sie so sicher, dass Sie sich auch Jahre nach der Entscheidung für ein CMS gut aufgehoben und informiert fühlen.
Regel 2: Aktiver Teil der Community werden
Aktive Beteiligung – das muss nicht zwingend bedeuten, regelmäßig neue Plugins und Erweiterungen zu entwickeln. Sie können auch klein anfangen, indem Sie Fehler und Verbesserungsvorschläge melden und so mit eigenen Ideen zum Erfolg eines Systems beitragen, auch wenn Sie sie nicht selbst umsetzen können.
Was Ihnen eine Teilnahme am Community-Leben außerdem bringt – etwa bei Meetups oder Community-Festivals, die es zu fast jedem System auch im deutschsprachigen Raum gibt – sind eine Menge Möglichkeiten, ein Netzwerk von Menschen aufzubauen, die Sie bei Problemen direkt kontaktieren können. Open-Source-Communities sind offen für Hilfe und Unterstützung untereinander und bieten gerade bei Konferenzen eine wichtige Plattform zur Weiterbildung.
Regel 3: Sichere Umgebung schaffen
Ihre Website ist immer auch auf die passende Peripherie angewiesen. Nutzen Sie nicht irgendwelche Plugins und Themes, sondern achten Sie auch hierbei auf Vertrauenswürdigkeit, um nicht versehentlich selbst Sicherheitslücken einem ansonsten sicheren System zu schaffen.
Zur sicheren Umgebung gehören auch die Einhaltung von Sicherheitsrichtlinien in Sachen Server, Firewall, Zugriffskontrollen und Verschlüsselung. Womit wir wieder bei Regel 1 wären. Das Wichtigste ist, über aktuelle Entwicklungen und Standards informiert zu sein. Und das auch über den Tellerrand Ihres ausgewählten Content-Management-Systems hinaus.
Aktuell unsichere Programmversionen
Diese CMS-Versionen werden (Stand September 2017) nicht mehr mit Sicherheitsupdates versorgt!
- Contao: ≤ 4.3 (sowie < 3.5 LTS)
- Drupal: ≤ 6.x (außer D6 LTS)
- Joomla!: ≤ 2.5
- Plone: ≤ 3.x
- TYPO3: ≤ 6.2 (sowie ≤ 4.5 ELTS)
- Umbraco: ≤ 6.2.6
- WordPress: ≤ 3.6
Kontrollieren Sie bitte jetzt, ob Ihr Content-Management-System betroffen ist. Falls ja, suchen Sie sich bitte umgehend einen professionellen Dienstleister.
Projekt SIWECOS - Sichere Webseiten und Content-Management-Systeme