BSI veröffentlicht „Sicherheitsstudie Content Management Systeme“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht. CMS werden für nahezu jeden Internet- und Intranetauftritt in Verwaltungen sowie kleinen und mittelständischen Unternehmen eingesetzt.

Immer wieder bieten diese Systeme Angriffsflächen für Hacker und Schadprogramme. Denn schon durch kleine Sicherheitslücken oder Fehlkonfigurationen öffnen sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten.

Die „Sicherheitsstudie Content Management Systeme“ beschreibt relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open Source CMS Drupal, Joomla!, Plone, TYPO3 und WordPress. Die Ergebnisse unterstützen IT-Verantwortliche bei der verlässlichen sicherheitstechnischen Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu spricht die Studie Handlungsempfehlungen zur Absicherung der betrachteten Software bezogen auf vier typische Anwendungsszenarien aus: „Private Event Site“, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.

Mit der Durchführung der Studie beauftragte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT). Die Partner sind ausgewiesene Experten im Forschungsumfeld IT-Security sowie in der Entwicklung und im Betrieb von CMS-Sites in sicherheitssensiblen Umgebungen.

Dirk Stocksmeier, Vorstandsvorsitzender der ]init[ AG: „Die Studie leistet wichtige Grundlagenarbeit im Bereich der IT-Sicherheit. Sie ist eine wertvolle Unterstützung für öffentliche Verwaltungen, die mit den Handlungsempfehlungen Sicherheitsrisiken in ihren CMS-Websites minimieren und so auch das Vertrauen der Bürgerinnen und Bürger in E-Government-Angebote stärken wollen. Unerlässlich sind hierfür sichere CMS-Konfigurationen, ein professionelles Systemmanagement und regelmäßige Security Reviews. Ein wie ich finde interessantes Ergebnis ist, dass IT-Verantwortliche täglich mindestens 15 Minuten pro Website einplanen sollten, um verfügbare Patches zu erkennen, Datensicherungen vorzunehmen und Patches einzupflegen. Das geht im Tagesgeschäft häufig unter. Sicherheit muss aber nicht nur grundsätzlich ernst genommen, sondern in der täglichen Arbeitsorganisation auch konkret abgebildet werden.“

Michael Waidner, Leiter des Fraunhofer SIT: „Die Sicherheitsstudie hat gezeigt, dass auch Open Source CMS ein angemessenes Sicherheitsniveau besitzen können. Alle betrachteten Open Source CMS haben einen vernünftigen Sicherheitsprozess zur Behebung von Schwachstellen implementiert. Die CMS sollten jedoch nicht ‚as is‘ installiert und betrieben werden, sondern müssen sachgemäß konfiguriert, permanent beobachtet und gepflegt werden. Nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Studie gibt IT-Verantwortlichen wertvolle Hinweise worauf dabei zu achten ist.“

Die Studie steht auf Website des BSI kostenfrei zum Download zur Verfügung:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/
CMS/Studie_CMS.pdf?__blob=publicationFile