Die "Sicherheitsstudie Content Management Systeme" beschreibt relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open Source CMS Drupal, Joomla!, Plone, TYPO3 und WordPress. Die Ergebnisse unterstützen IT-Verantwortliche bei der verlässlichen sicherheitstechnischen Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu spricht die Studie Handlungsempfehlungen zur Absicherung der betrachteten Software bezogen auf vier typische Anwendungsszenarien aus: "Private Event Site", "Bürgerbüro einer kleinen Gemeinde", "Open Government Site einer Kleinstadt" und "Mittelständisches Unternehmen mit mehreren Standorten".
Mit der Durchführung der Studie beauftragte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT). Die Partner sind ausgewiesene Experten im Forschungsumfeld IT-Security sowie in der Entwicklung und im Betrieb von CMS-Sites in sicherheitssensiblen Umgebungen.
Dirk Stocksmeier, Vorstandsvorsitzender der ]init[ AG: "Die Studie leistet wichtige Grundlagenarbeit im Bereich der IT-Sicherheit. Sie ist eine wertvolle Unterstützung für öffentliche Verwaltungen, die mit den Handlungsempfehlungen Sicherheitsrisiken in ihren CMS-Websites minimieren und so auch das Vertrauen der Bürgerinnen und Bürger in E-Government-Angebote stärken wollen. Unerlässlich sind hierfür sichere CMS-Konfigurationen, ein professionelles Systemmanagement und regelmäßige Security Reviews. Ein wie ich finde interessantes Ergebnis ist, dass IT-Verantwortliche täglich mindestens 15 Minuten pro Website einplanen sollten, um verfügbare Patches zu erkennen, Datensicherungen vorzunehmen und Patches einzupflegen. Das geht im Tagesgeschäft häufig unter. Sicherheit muss aber nicht nur grundsätzlich ernst genommen, sondern in der täglichen Arbeitsorganisation auch konkret abgebildet werden."
Michael Waidner, Leiter des Fraunhofer SIT: "Die Sicherheitsstudie hat gezeigt, dass auch Open Source CMS ein angemessenes Sicherheitsniveau besitzen können. Alle betrachteten Open Source CMS haben einen vernünftigen Sicherheitsprozess zur Behebung von Schwachstellen implementiert. Die CMS sollten jedoch nicht 'as is' installiert und betrieben werden, sondern müssen sachgemäß konfiguriert, permanent beobachtet und gepflegt werden. Nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Studie gibt IT-Verantwortlichen wertvolle Hinweise worauf dabei zu achten ist."
Die Studie steht auf der Website des BSI kostenfrei zum Download zur Verfügung:
https://www.bsi.bund.de/...