rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

BSI zu Security bei CMS

am 19.06.2013, 20:11 Uhr eröffnete rdombach folgenden Thread
Sicherheit    1528 mal gelesen    4 Antwort(en).

Hallo alle miteinander,

das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine PDF zum Thema "Sicherheitsstudie Content Management Systeme“ herausgegeben. Ich habe es noch nicht gelesen, aber es sind alle gängigen CMS-Systeme beschrieben. Fans von Drupal, Joomla & Co. sei dieses Papier EMPFOHLEN!!!

Hinweis, dass BSI ist DIE öffentliche Regierungsstelle für IT Sicherheit! Aussagen vom BSI haben Relevanz für behördliche und auch private Kunden. Also durchaus ernst nehmen, denn eine Kunde kann leicht fragen, wieso man in XYZ einen Web-Auftritt realisiert, wenn das BSI sagt, da gibt es ein paar "Probleme".

Gutes Lesevergnügen: bit.ly/1atEEQK



Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

Chance
Programmierer
Guru (173 Beiträge)
am 21.06.2013, 09:34 Uhr schrieb Chance

Hier ist ein Heise Artikel dazu:

www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 21.06.2013, 17:01 Uhr schrieb rdombach

Hallo alle miteinander,

Ich habe mal zwischen im PDF gelesen.
Prinzipiell gilt, das die CMS ausgreift sind. Angriffspunkt sind aber oft die Erweiterungen. Oder andersherum gesagt, die Sicherheit des CMS wird davon beeinflusst, was man daraus macht.

Ebenso sieht das BSI auch einen täglichen (!) Zeitaufwand für Securityaktivitäten. Also einmal das CMS installieren und dann war\'s das für die nächsten 5 Jahre ist nicht. Daher sind auch ungepflegte Installationen mehr gefährdet als betreute Systeme.

Für Dienstleister wäre es meine Empfehlung, sich die Infos aus dem BSI-Papier für ihr CMS-System zusammenzutragen und dies auch ihren Kunden zur Verfügung zu stellen. Entweder in der Form, das man auf Risiken hingewiesen hat oder um dieses als basisdienstleistung anzubieten.

So was gehört sicher auch zum Angebot einer guten SEO-Agentur, um hier mal wieder den Querverweis zu einem anderen Thread zu bringen.

Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 22.06.2013, 12:42 Uhr schrieb seitenreport

Hallo Ralph,

Danke. Was mir nicht gefallen hat, sind die Vergleiche der Schwachstellen-Anzahlen der einzelnen CMS (Seite 68, "Vergleich der CMS zueinander").

Es ist völlig logisch, dass ein System wie TYPO3 mit mehreren Hunderttausend Codezeilen in der Summe mehr Schwachstellen aufweist als ein "Mini-System" wie Wordpress mit einigen Tausend Zeilen Code.

Vom BSI hätte ich erwartet, dass diese Differenzierung stattfindet und die Anzahl der Schwachstellen in Relation zum Umfang des Gesamt-Codes gesetzt wird. In der jetzigen Form eignet sich das PDF aufgrund dieser erheblichen statistischen Mängel m.E. daher leider nicht als blind empfehlbar.

Von der Idee und vom Umfang her aber gut umgesetzt und für den Eigengebrauch sicherlich für viele Entwicker sinnvoll nutzbar.

Beste Grüße,
Matthias


SEO Analyse und Website-Check mit Seitenreport

rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 22.06.2013, 18:06 Uhr schrieb rdombach

Hallo Matthias,

Ich denke, man muß sich IMMER auch seine eigene Meinung bilden und nicht alles einfach nur weiterplappern. Das BSI macht eben seine eigenen Regeln und Rahmenbedingungen. Des ist seit vielen Jahren so, seit eben das BSI Produkte zertifiziert und prüft.

Sicherlich ist es im gewissen Sinn unfair, Produkte 1:1 zu vergleichen. Aber im Endeffekt zählt, wieviele Schwachstellen es gibt. Und wenn der Anwender eben ein großes System will, mit vielen Features, hat er eben Real gesehen mehr Schwachstellen, als im Code-Verhältnis zu anderen CMS.

Hätten wir heute noch alle als Betriebssystem CP/M hätten wir auch weniger Probleme
Allerdings kannst du auch deinem Kunden nicht erzählen, das sein CMS im Verhältnis sicherer ist, als ein anderes, aber leider seine Daten trotzdem im Nirwana verschwunden sind.

Ich denke, man soll den Bericht so nehmen wie er ist und ihn auch dazu nutzen, bessere Arbeit abzuliefern und auch den Kunden über Probleme zu informieren. Niemand wird jetzt aufgrund des PDF zu einem anderen CMS umschwenken. Wichtig ist das, was alles so im Berichtsteil und das sollte man sinnvoll verwenden bzw. Weitergeben.

Beste Grüße

Ralph



Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

  • 1


« zurück zu: Sicherheit

Das Seitenreport Forum hat aktuell 5276 Themen und 36110 Beiträge.
Insgesamt sind 48343 Mitglieder registriert.