BSI zu Security bei CMS

Hier ist ein Heise Artikel dazu:

www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html

Hallo alle miteinander,

Ich habe mal zwischen im PDF gelesen.
Prinzipiell gilt, das die CMS ausgreift sind. Angriffspunkt sind aber oft die Erweiterungen. Oder andersherum gesagt, die Sicherheit des CMS wird davon beeinflusst, was man daraus macht.

Ebenso sieht das BSI auch einen täglichen (!) Zeitaufwand für Securityaktivitäten. Also einmal das CMS installieren und dann war\'s das für die nächsten 5 Jahre ist nicht. Daher sind auch ungepflegte Installationen mehr gefährdet als betreute Systeme.

Für Dienstleister wäre es meine Empfehlung, sich die Infos aus dem BSI-Papier für ihr CMS-System zusammenzutragen und dies auch ihren Kunden zur Verfügung zu stellen. Entweder in der Form, das man auf Risiken hingewiesen hat oder um dieses als basisdienstleistung anzubieten.

So was gehört sicher auch zum Angebot einer guten SEO-Agentur, um hier mal wieder den Querverweis zu einem anderen Thread zu bringen.

Beste Grüße
Ralph

Hallo Ralph,

Danke. Was mir nicht gefallen hat, sind die Vergleiche der Schwachstellen-Anzahlen der einzelnen CMS (Seite 68, "Vergleich der CMS zueinander").

Es ist völlig logisch, dass ein System wie TYPO3 mit mehreren Hunderttausend Codezeilen in der Summe mehr Schwachstellen aufweist als ein "Mini-System" wie Wordpress mit einigen Tausend Zeilen Code.

Vom BSI hätte ich erwartet, dass diese Differenzierung stattfindet und die Anzahl der Schwachstellen in Relation zum Umfang des Gesamt-Codes gesetzt wird. In der jetzigen Form eignet sich das PDF aufgrund dieser erheblichen statistischen Mängel m.E. daher leider nicht als blind empfehlbar.

Von der Idee und vom Umfang her aber gut umgesetzt und für den Eigengebrauch sicherlich für viele Entwicker sinnvoll nutzbar.

Beste Grüße,
Matthias

Hallo Matthias,

Ich denke, man muß sich IMMER auch seine eigene Meinung bilden und nicht alles einfach nur weiterplappern. Das BSI macht eben seine eigenen Regeln und Rahmenbedingungen. Des ist seit vielen Jahren so, seit eben das BSI Produkte zertifiziert und prüft.

Sicherlich ist es im gewissen Sinn unfair, Produkte 1:1 zu vergleichen. Aber im Endeffekt zählt, wieviele Schwachstellen es gibt. Und wenn der Anwender eben ein großes System will, mit vielen Features, hat er eben Real gesehen mehr Schwachstellen, als im Code-Verhältnis zu anderen CMS.

Hätten wir heute noch alle als Betriebssystem CP/M hätten wir auch weniger Probleme
Allerdings kannst du auch deinem Kunden nicht erzählen, das sein CMS im Verhältnis sicherer ist, als ein anderes, aber leider seine Daten trotzdem im Nirwana verschwunden sind.

Ich denke, man soll den Bericht so nehmen wie er ist und ihn auch dazu nutzen, bessere Arbeit abzuliefern und auch den Kunden über Probleme zu informieren. Niemand wird jetzt aufgrund des PDF zu einem anderen CMS umschwenken. Wichtig ist das, was alles so im Berichtsteil und das sollte man sinnvoll verwenden bzw. Weitergeben.

Beste Grüße

Ralph