CMS-Lösungen im Securitycheck

Die Ergebnisse der Studie hält das BSI in einem 160-seitigen Dokument fest. Die Sicherheit eines CMS (Content Management System) beruht laut der Studie auf drei Faktoren: Die Sicherheit der eingesetzten Software, die abgestimmte Konfiguration des CMS und der dazu gehörenden Komponenten und das kontinuierliche Systemmanagement. Schwerwiegendere Probleme, wie das Fehlen eines kritischen Sicherheits-Updates, wurden stärker gewertet wie kleinere Unebenheiten.

Getestet wurden die weitverbreiteten Open-Source-CMS Drupal, Joomla, Plone, Typo3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern verwendet werden. Die Studie betrachtet dabei den gesamten Lebenszyklus eines CMS, nicht nur eine Grundinstallation.

Wenig überraschend ist der grösste Sünder bei der Sicherheit: die Plug-Ins. Im Gegensatz zu der Grund-Software sind Plug-Ins oftmals deutlich weniger sicher und werden nur ungenügend gewartet. Besonders extrem fällt dies bei WordPress und Joomla auf. 80 Prozent aller gefundenen Schwachstellen bei WordPress befanden sich in Plug-Ins. Bei Joomla waren es sogar 90 Prozent.

Insgesamt bewertet das BSI die getesteten CMS als gut. Es wird jedoch davon abgeraten, ein CMS in seiner Standardkonfiguration zu verwenden. Die Sicherheitseinstellungen sollten auf jeden Fall angepasst werden. So seien, zum Beispiel, standardisierte Admin-Accounts ein Sicherheitsrisiko. Ebenfalls empfiehlt das BSI einen automatischen Update-Prozess sowie die Verwendung von verschlüsselten HTTPS-Verbindungen für Front- und Backend.