Open Source im professionellen Einsatz
Linux-Magazin 11/2013
© Quelle:Manuela Höfer

© Quelle:Manuela Höfer

BSI-Studie zur CMS-Sicherheit

Security-Matrix

Für das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Init AG für digitale Kommunikation und das Fraunhofer SIT die "Sicherheitsstudie Content Management Systeme" angefertigt. Über diese hat das Linux-Magazin mit einem der Autoren, Christian Breitenstrom, gesprochen.

2049

Die Studie [1], auch zu finden auf der Delug-DVD, überprüft fünf quelloffene CMS anhand von etwa 80 Einzelkriterien auf ihre Sicherheit. Auf Basis der positiven (+), negativen (-) und vereinzelt neutralen (0) Bewertungen entstand am Ende eine vergleichende, CMS-übergreifende Matrix. Das Linux-Magazin befragt dazu Christian Breitenstrom, Senior Software Entwickler bei der Init AG.

<I>Linux-Magazin:<I> Wer hat alles an der CMS-Studie mitgewirkt?

Christian Breitenstrom: Neben meinem Arbeitgeber war auch das Fraunhofer SIT daran beteiligt, das unter anderem Sicherheitsuntersuchungen und Penetrationstests von Systemen vornimmt, die IT-Grundschutzschulungen für das BSI umsetzt und eine eigene Public-Key-Infrastruktur für die Fraunhofer Gesellschaft betreibt – ich schätze für über 20 000 Personen. Insofern hat das Fraunhofer SIT im Bereich Sicherheitsforschung einen sehr guten Einblick in Vorgehensmodelle und Methoden, weiß, wie man Software testet und bewertet.

<I>Linux-Magazin:<I> Wie ist die Init AG für digitale Kommunikation dazu gekommen?

Christian Breitenstrom: Wir entwickeln seit über 15 Jahren Portale und Websites für Regierungen und Verwaltungen, NGOs und die Wirtschaft. In vielen dieser Projekte setzen wir CMS ein.

Da wir viele Websites in unserem BSI-zertifizierten Rechenzentrum betreiben, haben wir einen ganz guten Vergleich der eingesetzten CMS. Deswegen wissen wir, wie ein gut aufgesetztes Patch-Management funktioniert, welche Probleme und Fragen dabei immer wieder auftauchen und welche Fragen daraus resultieren. Wir blicken, im Unterschied zum Fraunhofer SIT, eher mit der Anwenderbrille auf IT-Sicherheit.

<I>Linux-Magazin:<I> An wen richtet sich diese Studie?

Christian Breitenstrom: Wir haben gemeinsam mit dem BSI definiert, dass die Zielgruppe aus Personen besteht, die ein Mindestmaß an technischem Verständnis mitbringen, die also in der Regel die Entscheider sind, die in ihren Organisationen Systeme auswählen und dafür verantwortlich sind, dass diese über Jahre hinweg sicher laufen.

<I>Linux-Magazin:<I> Konkret untersucht die Studie fünf CMS, nämlich Typo 3, Plone, Wordpress, Drupal und Joomla. Warum nur fünf, wenn es um Orientierung im CMS-Dschungel geht?

Christian Breitenstrom: Ausschlaggebend war für das BSI auch die Budgetfrage. Jedes weitere System, das man untersuchen will, kostet. Das Budget war vorgegeben, also musste man die Zahl begrenzen.

<I>Linux-Magazin:<I> Warum haben Sie genau diese fünf Vertreter ausgewählt?

Christian Breitenstrom: Wir haben uns auf die fünf Systeme konzentriert, die aus BSI-Sicht in Deutschland sehr verbreitet sind, da zur Zielgruppe vor allem deutsche Entscheider gehören, nicht internationale. Die nächste Frage ist, warum nur Open-Source-Systeme und keine kommerziellen?

<I>Linux-Magazin:<I> Genau.

Christian Breitenstrom: Das haben wir uns natürlich auch überlegt. Es ist nicht gerechtfertigt, die Studie auf genau die Systeme und genau diese Anzahl zu begrenzen. Man muss vielmehr eine Methodik und Kriterien entwickeln, nach denen man andere Systeme genauso bewerten kann, wie wir es hier getan haben. Dann könnte ein Auftraggeber, der ein von uns nicht bewertetes System verwenden möchte, eine eigene Evaluation vornehmen und das Ergebnis im Sinne von Open Source und Open Knowledge einfach dazustellen. Kommt dabei eine genügend große Anzahl von bewerteten Open-Source-Systemen zusammen, müssten kommerzielle Hersteller ebenso ein Interesse daran haben, da mit aufzutauchen. Ein unabhängiger Dritter könnte dann so eine Studie durchführen.

<I>Linux-Magazin:<I> Plone (Abbildung 1) weicht ein bisschen vom Standard ab. Sie haben eine Tabelle in der Studie, relativ am Anfang, welche den Marktanteil von Plone auf 0,37 Prozent schätzt, was sehr wenig ist im Vergleich zu den anderen CMS. Warum haben Sie Plone mit in die Studie genommen?

© © Quelle: Sicherheitsstudie CMSAbbildung 1: Plone unterscheidet sich nicht nur in seiner Architektur von den anderen Systemen.

Christian Breitenstrom: 0,37 Prozent sind nicht viel, aber es gibt mindestens ein Bundesministerium, das Plone verwendet, und einige regionale Sites tun es auch. Auf die Verwaltung bezogen ist es nicht unwichtig.

<I>Linux-Magazin:<I> Die untersuchten Kriterien stammen aus dem ITIL-Bereich [2], also Service Design, Service Transition, Service Operation. Nach welchem Schema haben Sie die einzelnen Kriterien (Abbildung 2) gefunden, die Sie dort bewerten, also auch die Unterkriterien innerhalb der drei Bereiche?

© © Quelle: Sicherheitsstudie CMSAbbildung 2: Das sind nur einige der Kriterien aus dem ITIL-Bereich, die im Rahmen der Studie bewertet wurden.

Christian Breitenstrom: Die Frage war natürlich, welche Kriterien sind so allgemein, dass sie nicht nur für die Systeme gelten, die wir jetzt untersuchen. Wir haben anfangs nicht nur PHP- oder Python-Systeme betrachtet, deswegen sind auch einige Kriterien dabei, die Java-Systeme berücksichtigen. Wie wir dabei vorgegangen sind? Es gab verschiedene Optionen, etwa Open SAMM [3], das offene Software Assurance Maturity Model. Die Wahl fiel auf ITIL, weil es eben nicht nur die Software betrachtet, sondern auch die Entwicklung der Software, ihre Konzeption, das Deployment, das Leben damit und ihre Entsorgung. Wenn man ein CMS über Jahre hinweg sicher betreiben möchte und vor einer Vergabeentscheidung steht, muss man all diese Aspekte berücksichtigen.

<I>Linux-Magazin:<I> Einige der Kriterien definieren Sie als Ausschlusskriterien, ihr Fehlen als "undenkbares Manko". Sie haben auf Seite 76 der Studie geschrieben, dass kein System die Trennung von fachlichen Daten und Systemdaten beherrscht. Wäre das nicht ein Ausschlusskriterium für öffentliche Systeme gewesen, die mit personenbezogenen Daten arbeiten?

Christian Breitenstrom: Nein, das ist nicht unbedingt ein Ausschlusskriterium. Wenn man es weiß und es transparent ist, muss sich der zuständige Security Engineer überlegen, welche anderen Elemente er etabliert, um das Manko zu kompensieren. Er kann aber nicht, wie das oft geschieht, schlicht sagen: "Dieses Security-Feature gibt es nicht? Na gut, dann brauchen wir es nicht umzusetzen."

<I>Linux-Magazin:<I> Was kann man denn konkret tun, wenn diese Trennung zwischen fachlichen Daten und Systemdaten komplett fehlt?

Christian Breitenstrom: Manche Datenbanksysteme ermöglichen eine Komplettverschlüsselung der Daten. In diesem Fall muss man entweder alles, was in der Datenbank steht, oder die Partitionen selbst verschlüsseln. Auch muss man überlegen, ob eine Verschärfung des Konzepts für Benutzer-Rollenrechte nötig ist.

Was wir natürlich für sehr gut hielten, das wäre, wenn man bestimmte Bereiche der Daten tatsächlich vor der Anwendung schon verschlüsselt, bevor diese sie in die Datenbank schreibt. Dazu gehören etwa Logging-Informationen, die später für Audits verwendet werden, wenn der Anwender das Kriterium der Nachvollziehbarkeit erfüllen muss. Diese Loggings erhalten oftmals Informationen, die aus datenschutzrechtlicher Sicht nicht in falsche Hände fallen dürfen.

Wir hätten uns natürlich gewünscht, dass es ein Feature gibt, mit dessen Hilfe ein Anwendungsentwickler sagen kann: "Hier, das sind meine besonders wichtigen Daten, die behandle mal besonders umsichtig." Das gibt es aber momentan nicht.

<I>Linux-Magazin:<I> Die Studie sagt, dass kein CMS eine schlüsselfertige Lösung mitbringt, wenn es um Sicherheit geht. Das heißt, der Anwender muss im Prinzip bei allen erst mal nachbessern und konfigurieren. Hat sich da irgendwas herauskristallisiert, was Sie empfehlen im Umgang mit CMS?

Christian Breitenstrom: Es ist ganz wichtig, dass man jetzt nicht sagt, System X ist besser als A, B oder C und deswegen kann man System X einfach so installieren und betreiben, wie es ist. Wir empfehlen, eine Erstinstallation durch Security-Profis überprüfen zu lassen. Das dauert nicht lange, weil die genau wissen, wohin sie gucken müssen.

Das zweite war, dass man die Systeme professionell betreibt. Alle Systeme, auch wenn einige sicherer sind als andere, sollte der Anwender mindestens 15 Minuten am Tage monitoren. Über die 15 Minuten lässt sich streiten, aber wichtig ist, dass wir sagen: täglich. Treten Schwachstellen auf und werden Security Fixes ausgeliefert, dann gibt es auch Exploits, die diese Schwachstellen automatisiert austesten. Es reicht nicht, alle drei Wochen mal nachzusehen.

<I>Linux-Magazin:<I> Hilft es, wenn der Betreiber von den Standards abweicht, indem er den Standarduser nicht <C>Admin<C> nennt, die Namen der Datenbanktabellen modifiziert und gleich bei der Grundkonfiguration einige Dinge im System ändert? Oder erschwert das eher den Umgang mit so einem CMS?

Christian Breitenstrom: Das kommt auch wieder auf das System an: In der Regel hilft es schon eine Menge. Es geht ja um eine Verteidigung in der Tiefe und jede Schwierigkeit, die ich einbaue, bewahrt mich vielleicht einige Minuten länger davor, dass ein Angreifer meine Hinterlist entdeckt und bekämpft. Sobald wir aber in den Bereich Security by Obscurity kommen, hilft mir das überhaupt nicht lange. Insofern muss man im Einzelfall gucken, ob das angebracht ist oder nicht.

<I>Linux-Magazin:<I> Was genau meinen Sie mit "Verteidigung in der Tiefe", in der Studie taucht es ja einige Male auf?

Christian Breitenstrom: Das ist eines der grundlegenden Prinzipien. Contentmanagement-Systeme sind weithin verbreitet. Tritt dort ein Fehler auf, der sich ausnutzen lässt, sind Hunderte oder Tausende von Websites betroffen. Das heißt also, es ist eigentlich eine Monokultur. Habe ich nicht rechtzeitig gepatcht oder gibt es einen Zero-Day-Exploit, den noch niemand gemeldet hat, muss ich mindestens eine, wenn nicht zwei oder drei Rückfalllinien haben, um meine Systeme, meine innere Infrastruktur, gegen diese Angriffe zu schützen.

In diesem Fall kann ich mir überlegen, welche Security-Kontrollen ich benutzen will, um etwa meine Datenbankserver vor dem Contentmanagement-Server zu schützen, der gegebenenfalls schon übernommen wurde. Wenn ich ein CMS einsetze, muss ich also sehr viel mehr Ideenreichtum, Kreativität, Know-how und Untersuchungen in die Konzeption meiner Website und meiner Infrastruktur stecken. Ich darf mich nicht nur darüber freuen, dass die Kosten reduziert sind, sondern muss meine Infrastruktur besser strukturieren, als wenn ich eine Individualentwicklung verwende.

<I>Linux-Magazin:<I> Dann haben Sie Schwachstellenzählungen vorgenommen (Abbildung 3). Sie haben in einem bestimmten Zeitraum, 2010 bis 2012, die Schwachstellen dieser verschiedenen Systeme untersucht. Was hat diese Erhebung Ihrer Meinung nach gebracht?

© © Quelle: Sicherheitsstudie CMSAbbildung 3: Durchschnittliche Verteilung der Schwachstellentypen unter allen CMS.

Christian Breitenstrom: Sie gibt eine grobe Orientierung, insofern man feststellen kann, dass es zwar Unterschiede gibt, diese aber nicht in Zehner- und Hunderter-Potenzen bestehen. Man kann sagen, dass die Open-Source-Systeme – ganz grob betrachtet – in einer Liga spielen. Hätte sich herausgestellt, dass es bei einem System sehr viel mehr Bugs gibt als bei anderen, dann wäre das schon eine Aussage gewesen.

<I>Linux-Magazin:<I> Oder das CMS hat einfach besonders viele Erweiterungen oder besonders viele Nutzer?

Christian Breitenstrom: In diesem Fall würde man schauen müssen, ob es tatsächlich nur die Vielzahl von Erweiterungen ist oder ob es einen grundlegenden Architekturmangel gibt, der immer wieder dazu führt, dass es kompliziert wird, für dieses System sichere Erweiterungen zu bauen.

Eine Schwierigkeit besteht darin, dass die erkannten Schwachstellen natürlich von der Anzahl der Tests, von tatsächlichen Hacks sowie von der Fähigkeit des Security-Teams abhängen, die Schwachstellen zu erkennen. Wir mussten beispielsweise im Nachhinein feststellen, dass bei Plone sehr viele Schwachstellen zwar gefixt und auch die CVE-Numbers reserviert wurden, aber die zugehörigen CVEs dann nicht im Verzeichnis auftauchen. So reflektierten die dortigen Zahlen schon mal nicht die Zahlen, die tatsächlich gemeldet waren.

<I>Linux-Magazin:<I> Es gibt bekanntlich die Möglichkeit, statische Code-Analysen vorzunehmen, zum Beispiel mit Coverity. Die haben ziemlich viele FOSS-Projekte untersucht, aber es ist keines von diesen CMS dabei. Wäre es nicht auch eine Option gewesen, solche Tests in die Studie mit aufzunehmen?

Christian Breitenstrom: Das Problem von Coverity ist, dass die momentan kein PHP unterstützen, insofern sind diese Systeme nicht dabei. Aber ja natürlich, statische Quellcode-Analysen sind auch eine der wichtigen Maßnahmen, die wir empfohlen haben.

<I>Linux-Magazin:<I> Gab es für Sie eine Überraschung in den Ergebnissen der Studie?

Christian Breitenstrom: Überraschungen gab es schon: Was das Patch-Management anbelangt, habe ich mich über einige Dinge gefreut, die ich so noch nicht kannte. Etwa darüber, dass die Unterstützung der Administratoren schon so weit geht, wie es momentan der Fall ist, und dass man eigentlich relativ gut informiert wird, wenn Patches vorliegen.

Infos

  1. CMS-Studie im Netz: https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
  2. Information Technology Infrastructure Library: http://www.itil.org/en/vomkennen/itil/index.php
  3. Open Software Assurance Maturity Model: http://www.opensamm.org

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Interview

    Mit Jon "Maddog" Hall sprach das Linux-Magazin bereits vor zwei Jahrzehnten und seither immer wieder. Zum 20-jährigen Jubiläum hat die Readaktion ein Interview mit dem Open-Source-Pionier aus dem Jahr 1996 herausgekramt und ein paar Fragen noch einmal gestellt.

  • Projekt stellt World Plone Day auf die Beine

    Das Plone-Projekt hat heute erstmals einen weltweiten Plone-Tag veranstaltet. Linux-Magazin Online war in München dabei.

  • Cebit Open Source 2011 - Projektpräsentation Plone

    Projekte aus dem Open-Source-Bereich bekommen bei der Cebit Gelegenheit sich zu präsentieren, so auch das CMS Plone.

  • Plone 4.2.3 bringt HTML 5 und Diazo

    Im neuesten Update rüstet sich das auf Python basierende Content-Management-System für die Zukunft.

  • Limuxgate: FUD von Microsoft oder nur ein ungewolltes Leak?

    Ein unreflektierter, wenig hinterfragter Artikel in Focus Money entwickelt sich zum medialen Selbstläufer. Microsoft habe eine Studie erstellt, die "wissenschaftlich nachweise", dass die Open-Source-Migration bei der Landeshauptstadt München weit teuerer komme als bisher bekannt. Der Artikel wurde von zahlreichen, teils renommierten Fachblättern aufgegriffen, ohne dass die Quelle zugänglich war. Das Linux-Magazin hat den Münchner Oberbürgermeister Christian Ude dazu befragt, stellt die Tatsachen zusammen und gibt die Einschätzung von Experten wie OSBA-Chef Peter Ganten wieder.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.