Content Management Systeme
Sicheres Typo3 benötigt Pflege

Typo3 ist ein beliebtes Open-Source CMS

Bei proprietären, also nicht zur allgemeinen Nutzung freien Systemen informiert darüber der Hersteller, bei Opensource-CMS wie dem verbreiteten Typo3 ist der Anwender auf sich allein gestellt. Lücken bleiben deshalb oft gefährlich lange offen. Ist das Resultat eines erfolgreichen Hacks einer Website nur die böse Überraschung in Form eines Jux-Bildes des „Kuchenministers“, wie kürzlich passiert, ist es noch einmal glimpflich ausgegangen. Es kann weit schlimmer kommen, wenn Websites und CMS-Lösung Schlupflöcher offen lassen, über die Angreifer eindringen und Inhalte fälschen, unerkannt Rechner übernehmen oder auch Firmendaten stehlen. Um ihre Systeme abzusichern, müssen Unternehmen zuverlässig und regelmäßig alle Updates und Patches einspielen, die der CMS-Anbieter zur Verfügung stellt. Unternehmen, die CMS kommerzieller Hersteller einsetzen, werden von ihren Lieferanten zuverlässig über neue Patches informiert – sofern diese die Sicherheitslöcher stopfen.

Typo3-User müssen Eigeninitiative entwickeln

Opensource-Systeme wie Typo3 sind nicht anfälliger als kommerzielle Lösungen mit ähnlichem Leistungsumfang, aber der Anwender muss hier von sich aus aktiv werden und sich die neuesten Patches und Updates selbst aus den "Security Bulletins" von Typo3 im Internet holen. Und nicht nur für das System an sich, sondern für alle Systemerweiterungen, die eingesetzt werden, wie Umfragetools, Bildergalerien, Newslettersysteme etc. Je nach Größe der Installation können das sehr viele sein. Dass sicherheitsrelevante Patches im allgemeinen sehr zeitnah veröffentlicht werden, ist nicht nur ein Vorteil. Jeder öffentlich sichtbare Patch beflügelt auch die Phantasie potentieller Angreifer. Er stellt ja beinahe eine Bauanleitung für Angriffe aus Systeme dar, die nicht auf dem neuesten Stand sind. Daher muss die Arbeit des Verfolgens und Einspielens von Patches unbedingt laufend passieren, nicht nur einmal im Monat. Deshalb brauchen Unternehmen dafür einen Verantwortlichen, der den Handlungsbedarf prüft und auch aktiv Neuerungen im System aktualisiert. Vor allem für Firmen ohne eigene IT-Abteilung wird dies schnell zum Problem.

Sicherheitspaket von SpaceNet

Ein Feldversuch vom Institut für Internet-Sicherheit über die Gefahren von Typo3-Sicherheit-Updates belegte, dass auch drei Tage nachdem ein Patch zu einer bekannten Schwachstelle veröffentlicht worden war, immer noch ein Viertel der untersuchten Typo3-Systeme keinen Patch installiert hatte. "Bequemlichkeit, mangelndes Bewusstsein, wie wichtig diese Aktionen sind, aber auch Unkenntnis, wie und woher man die Patches erhalten kann, sind die Hauptursachen dafür, dass die Sicherheit vieler Typo3-Installationen mangelhaft ist", erklärt Andreas Eberl, Leiter der Webagentur des Münchener Internetproviders SpaceNet. Aus diesem Grund entwickelte SpaceNet sein Sicherheitspaket "Typo3 Security Service". Im Rahmen dieser Dienstleistung übernimmt SpaceNet die Überwachung und das Monitoring der kompletten Installation, die Aktualisierung aller Typo3-Komponenten, die Installation der Sicherheitsupdates und die Möglichkeit, den persönlichen Support zu nutzen. So werden Mitarbeiter von zeitraubenden „Pflegeaufgaben“ entlastet und haben den Kopf für die wichtigen Dinge frei.

"Typo3 ist ein hervorragendes Content Management System, das viele Ansprüche erfüllt und auch bei großen Unternehmen wie Otto, REWE oder dem MVV zum Einsatz kommt", bestätigt Eberl. "Wer aber keinen Mitarbeiter für die Pflege abstellen kann, der sollte diese Aufgabe auf jeden Fall in externe Hände geben, um sicher die Vorteile von Typo3 zu nutzen".