PixelX-Blog-Logo

BSI testet CMS auf Sicherheit

Immer wieder weisen wir auf die notwendigen Updates bei den CMS (Content Management System) hin. Durch Versionen, die leider nicht auf dem aktuellsten Stand sind, können Angreifer auf das einfachste das CMS aushebeln und dieses zum Beispiel zum Versand von SPAM missbrauchen. Im schlechtesten Falle erfolgt ein Zugriff auf weitere Zugangsdaten, womit ein noch größerer Schaden verursacht werden kann.

Was aber bieten die gängigsten CMS für Möglichkeiten bezüglich der Sicherheit, beziehungsweise wo liegen die Schwachstellen?
Unterscheiden muss man hier zwischen einer Standardinstallation eines CMS und einer individualisierten Variante, die mit den unterschiedlichsten Extensions erweitert wurde.
Zur Veranschaulichung: Nach den Aussagen des Drupal Security White Paper finden sich über 95% aller Schwachstellen in den Erweiterungen von Drupal. Bei WordPress sind es noch knapp über 80%.

schwachstellen-cms-bsi

Anzahl aller Schwachstellen absolut je CMS. (Bild: BSI)

Den unterschiedlichen CMS an sich bescheinigt das BSI ein recht gutes Ergebnis  bei den Sicherheitsanforderungen. Untersucht wurden dabei die typischen Angriffsszenarien wie SQL-Injections oder Cross-Site-Scripting.

cms-schwachstellen-bsi

 Die getesteten CMS mit den typischen Angriffszenarien (Bild: BSI)

Glücklicherweise hat sich das das BSI (Bundesamt für Sicherheit und Informationstechnik) mit der Thematik beschäftigt und stellt ein umfangreiches PDF zum kostenfreien Download zur Verfügung. In diesem PDF werden die wichtigsten CMS miteinander verglichen. Das sind Drupal, Plone, WordPress, Joomla! und TYPO3.

In dem Bericht vom BSI werden die CMS vorgestellt. Mit anschaulichen, realitätsnahen Szenarien überprüft das Bundesamt für Sicherheit und Informationstechnik, wie sicher die Systeme sind. Interessant sind in jedem Fall die direkten Vergleiche unter den CMS. Das dürfte sicherlich für manchen eine Entscheidungshilfe sein, welches CMS eventuell bald genutzt werden soll.

Eines ist  mit der Untersuchung auf jeden Fall deutlich geworden:
Ohne eine individuelle Anpassung an die Schwachstellen wird man immer einem höheren Risiko ausgesetzt sein. Dieses muss man nun abwägen und entscheiden, wie weit man bei der Anpassung geht und wie viel Zeit man investiert.

 

Unter PixelX Scripte finden übrigens Sie verschiedene Scripte (auch die CMS), die von uns unterstützt werden. Falls Sie sich nicht sicher sind, welchen Tarif Sie dafür benötigen, finden Sie dort auch unsere Tarifempfehlungen.