Content-Management-Syteme und Security

In einer über umfassenden Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland werden alle gängigen Content-Management-Syteme, wie Drupal, Joomla!, Typo3 und WordPress genauer unter die Lupe genommen.

Damit konnten Erkenntnisse für den gesamten Lebenszyklus eines CMS gewinnen – von der Produktauswahl bis zum kontinuierlichen Betrieb des Systems. Ein Ergebnis der Studie ist, dass die Sicherheit einer CMS-Website vor allem auf drei Faktoren beruht:

  • der Sicherheit der eingesetzten Software
  • der abgestimmten Konfiguration des CMS und der damit in Verbindung stehenden Komponenten
  • dem kontinuierlichen Systemmanagement einschließlich des Einspielens von Sicherheitsupdates.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

Das von uns favourisierte System »Drupal« weißt erfreulicherweise die wenigsten Sicherheitsmängel auf.

Grundsätzlich bescheinigen die Prüfer ein gutes Sicherheitsniveau. Dennoch wird empfohlen, ein solches System niemals in der Standardkonfiguration zu betreiben, sondern nach der Installation die sicherheitsrelevanten Einstellungen anzupassen. Hierzu gehören beispielsweise sichere Admin-Accounts, das automatisierte Update-Management und der Einsatz von HTTPS für den Betrieb des Backends.

Quelle: BSI