Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

Funktionale Erweiterungen das größte Sicherheitsrisiko der Websites

10.07.13

Open Source Content Management-Systeme(CMS) gehören zu den am weitesten verbreiteten Systemen für Websites. Zu den am häufigsten eingesetzten Lösungen im deutschsprachigen Raum gehören beispielsweise Wordpress, TYPO3, Drupal und Joomla. Websites auf dieser CMS-Basis weisen nach den Erkenntnissen der Unternehmensberatung mikado ag in bestimmten Funktionsbereichen jedoch häufig große Sicherheitslücken auf. Sie betreffen weniger die Kernsysteme, sondern insbesondere die individuellen Ergänzungen. Zu ähnlichen Erkenntnissen ist kürzlich das BSI gekommen.

„Der Open Source-Ansatz selbst stellt nicht einmal das eigentliche Problem dar, auch wenn der Quellcode für jeden einsehbar ist und prinzipiell ausgenutzt werden kann“, urteilt mikado-Vorstand Reimund Reiter. Im Gegenteil würden vor allem die Basissysteme mit der Grundausstattung für den Betrieb einer Website bei Open Source-CMS auch unter Sicherheitsaspekten eine hohe Qualität aufweisen. Doch während die Kernsysteme im Regelfall von einem Entwicklerteam auf der Grundlage von Standards betreut werden, entstammen die Erweiterungen wie etwa News-Systeme, Bildergallerien, Blogs, Buchungssysteme, Webshops und mehr der Arbeit einzelner Entwickler, über deren Wissen bezüglich der Programmier- oder Sicherheitsstandards sich keine Einschätzung treffen lasse.

„Dies ist ein Nährboden für Sicherheitslücken, weshalb es bei einem ungeprüften Einsatz solcher Extensions unbeobachtet zur Implementierung von Sicherheitslücken kommen kann, über die Angreifer möglicherweise Zugriff auf das gesamte System erhalten“, betont Reiter. Schließlich interagiere jede dieser Erweiterungen mit der zugrundeliegenden Datenbank oder nutze Schreibrechte im Dateisystem. Dies habe zur Folge, dass bei jedem Update für eine Erweiterung eine Überprüfung vorgenommen werden müsse, ob sie weiterhin alle Sicherheitsanforderungen erfülle. Denn würden Datenbankabfragen geändert oder durch vollständig neue ergänzt, entstehe das Risiko, dass möglicherweise keine ausreichende Bereinigung von Daten erfolge und eine Kompromittierung des Systems möglich werde. Selbst bei einem Patch für einen Bug könnten neue Sicherheitslücken entstehen.

„Um dieses Risiko zu minimieren, bedarf es nicht nur beim Going-Live einer neuen Website unbedingt eines Pentests, sondern ebenso bei jeder anschließenden funktionalen Erweiterung“, betont Reiter. Einmalige Tests könnten nur über den momentanen Status der Website Aufschluss geben und keine Garantie für eine mittelfristige Sicherheit bieten. Er verweist darauf, dass besonders bei den Open Source-Systemen hinsichtlich der Erweiterungen eine sehr große Dynamik herrsche, indem kontinuierlich neue hinzugefügt oder bestehende weiterentwickelt werden. Hier würden allein schon aus wirtschaftlichen Gründen im Regelfall automatisierte Penetrationstests ausreichen, wie sie mikado auch mit ihrer Scan-Lösung midas anbietet.

Weitere Meldungen

Kompetenzwettbewerb sucht den Deutschen Meister in der IT-Sicherheit

Gerade erst wieder sind weltbekannte Unternehmen das Opfer von Datenmissbrauch in gewaltig

...
FELTEN auf dem Pharmakongress „Produktion & Technik“ in Mannheim

Das auf effiziente Lösungen zur Optimierung der Produktionsprozesse spezialisierte Softwar

...
Telekommunikationsunternehmen setzten auf Service

Telekommunikationsunternehmen setzten auf Service

Deutschlands Telekommunikationsanbieter

...
Matrix42-Studie: Amerikaner setzen verstärkt auf Desktop Virtualisierung

Laut aktueller Studie des IT-Lösungsanbieters Matrix42 kann an die Annahme, das Desktop Vi

...
Eingangsrechnungsverarbeitung von d.velop ruck-zuck implementiert

Mit einer durchgreifenden Standardisierung seiner Lösung für die Eingangsrechnungsverarbei

...
Whitepaper mit Statusanalyse zum Management der IT-Investitionssicherheit

Das Beratungshaus Ardour hat ein umfangreiches und produktneutrales Whitepaper „Statusanal

...
CRM-Effizienzcheck analysiert online Optimierungspotenziale

Der CRM-Spezialist ec4u expert consulting ag unterstützt Unternehmen mit einem Online-Chec

...
Versicherer mit Nachholbedarf beim Beschwerdemanagement

Laut den Ergebnissen der vierten Welle der Studie „Deutschlands kundenorientierteste Diens

...
Jedes dritte Unternehmen mit Sicherheitslücken in der mobilen Infrastruktur

Ein Drittel der Unternehmen vernachlässigt das Implementieren von Sicherheitslösungen beim

...
Wupperverband setzt xTigo-Framework zur Prozessautomation ein

Der Wupperverband hat sich für den Einsatz des xTigo Automation Frameworks zur Prozessauto

...