Sicherheitsstudie Content-Management-Systeme

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Studie in Auftrag gegeben, die Web-Content-Management-Systeme aus dem Open-Source-Bereich nach diversen Sicherheitsgesichtspunkten betrachtet und bewertet. Der Stand des Dokuments scheint vom Juni 2013 zu sein, auch wenn ich eine genaue Angabe im Dokument selbst nicht finden konnte. Hier noch mal der Link zur Studie.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt. Diese Systeme werden behandelt und zunächst auch grob beschrieben:

  • Drupal
  • TYPO3
  • WordPress
  • Joomla!
  • Plone

Wenn man von dem 163 Seiten langen Dokument nicht alles lesen kann, sind aber zumindest die kurzen Systembeschreibungen interessant.

Ein recht ausführliches Dokument, das bei der Suche nach einem geeigneten System die Entscheidungsfindung unterstützen kann. Bei 5 untersuchten CMS kann es natürlich nicht so in die Tiefe gehen und inhaltliche Fehler enthalten. Für die Abschnitte über Drupal sind z. B. die folgenden Fehler enthalten, die hoffentlich in einer späteren Version der Studie noch behoben werden:

  • An mehreren Stellen im Dokument wird empfohlen, User 1 nach der Installation zu entfernen (eine Quelle wird nicht genannt). Das Löschen von User 1 ist eine schlechte Idee. Besser wäre, den Benutzer zu blocken.
  • dript wird ein paar Mal als eigene Scriptsprache für Drupal erwähnt, dript ist aber seit Jahren nicht weiterentwickelt worden.
  • Die Einschätzung, dass nur 690 Websites mit .de TLD Drupal nutzen, halte ich für falsch. Auch für die anderen Systeme (mit Ausnahme von TYPO3) scheint die Zahl unrealistisch klein. Ich würde mir wünschen, dass bei den Statistiken auch Berichte von w3techs berücksichtigt würden, die neben frei einsehbaren Angaben auch einen kostenpflichtigen Bericht anbieten.

Damit die verschiedenen CMS gut bewertet werden können, wird nicht von der Standardinstallation ausgegangen, sondern von einem konkreten Anwendungsfall, anhand dessen die ausgewählten CMS verglichen werden. Dafür werden auch die Bewertungskriterien erläutert. Anschließend wird die Bedrohungslage mit den bemerkten Schwachstellen analysiert und die CMS daraufhin bewertet. Zum Schluss werden die Ergebnisse zusammengefasst und die Eignung der CMS für die zu Beginn erstellten Szenarien bewertet.

Beschreibung von Drupal

Drupal wird so beschrieben: "Vom Ansatz her ist Drupal als ein Content-Management-Baukasten mit wohldefinierten Kern­komponenten zu verstehen. Drupal besteht aus einem minimalen Kern mit tausenden Erweiterungen (modules), die durch aktuell 512 Distributionen vorkonfiguriert sind. Die Einstellung der Module ist meist in zwei Aspekte untergliedert: Rechtevergabe und Konfiguration. Konfiguration ist generell einfach. Die Erstellung von Inhaltsseiten erfordern tiefere Kenntnisse in Drupal. Core Module sind nach kurzer Einarbeitungsphase in die Struktur von Drupal leicht verständlich. Erweiterungsmodule hingegen sind in ihrer Konfiguration meist unübersichtlich und erfordern tiefere Kenntnisse in Drupal."

Im Weiteren wird auf insgesamt 3 Seiten noch genauer auf Drupal eingangen, mit zwei missverständlichen Formulierungen: Die Aktualisierung bzw. Erweiterung des Systems erfolgt natürlich nicht ausschließlich per Kommandozeile, das ist nur eine komfortable Möglichkeit. Außerdem kann nicht nur TinyMCE als WYSIWYG-Editor eingebunden werden, sondern auch der ebenfalls häufig verwendete CKEditor und viele andere.

In der Studie steht die Sicherheit der Systeme im Vordergrund. Überprüfung von Schwachstellen findet für Basis-Installation und Erweiterungen separat statt. Bei Drupal findet sich eine besonders niedrige Anzahl Schwachstellen in der Basis-Installation. Ein schönes Fazit der Studie ist, dass alle untersuchten CMS eine Transparenz bzgl. ihrer Schwachstellen herstellen. Verbesserungsvorschläge werden auch gebracht. Alles in allem lohnt es sich, die Studie mal anzuschauen.

Drupal Security Report

In diesem Zusammenhang auch noch interessant ist der offizielle Drupal Security Report (liegt leider nur in englischer Sprache vor) vom März 2012 gibt es hier: http://drupalsecurityreport.org