Aus Hackers Lust wird Frust …

Autor – Peter Pröll ist TYPO3-Spezialist und Inhaber des Freelancer Büros „Alinbu – Alles in Butter“

In den letzten Jahren hat die Zahl von gehackten Websites drastisch zugenommen und der Hintergrund dieser Entwicklung ist sehr einfach zu verstehen: Die Tools und die Software, die benötigt werden, um Webserver erfolgreich zu „übernehmen“, sind inzwischen einfach zu benutzen. Darüber hinaus sind – neben dem geringen Know-how, welches zur Ausführung entsprechender Software benötigt wird – Angriffsprozesse weitestgehend automatisierbar. Auch hat der Grad der Organisation von Internetkriminalität im selben Maß zugenommen.

Für Unternehmen bedeutet das, dass eine Wettbewerbsschädigung durch das Medium Internet vergleichsweise einfach zu bewerkstelligen ist. Dazu kann man entweder die Produktion des Wettbewerbers direkt schädigen oder aber seine Vertriebswege behindern. Doch die Sabotage eines Online-Shops ist nur ein Weg. Durch gekonnte Angriffsstrategie ist eine Schädigung auf subtilerer Ebene oftmals viel effektiver, zum Beispiel lässt sich das Ranking in Suchmaschinen negativ beeinflussen.

Doch hat eine gehackte Website nicht nur finanziell negative Folgen für ihren Betreiber. Moderne Browser erkennen inzwischen die Großzahl von infizierten Websites und die Kunden werden entsprechend gewarnt, wenn sie auf der Website surfen. Dieser Imageverlust, gegebenenfalls sogar ein Negativbericht in der Presse, wiegt schwer. Je nach Sachlage kann ein Hack auch rechtliche Konsequenzen haben, die sich beispielsweise aus dem Datenschutz und den hier beschriebenen Pflichten ableiten. Auch Distributed Denial of Service-Angriffe (DDoS) sind ein verbreitetes Mittel. Dabei werden von unzähligen Rechnern gleichzeitig einfache Anfragen fokussiert auf einen Server abgesetzt. Ist die Anzahl der Rechner groß genug, wird die betroffene Website überlastet und steht nicht mehr zur Verfügung.

Schwachstelle Website

Um die geschilderten Szenarien zu verhindern, spielen Websites eine entscheidende Rolle beim Schutz der Unternehmens-IT und stellen dennoch zumeist das schwächste Glied im Sicherheitskonzept eines Unternehmens dar. Dies ergibt sich oftmals aus einer fehlenden Sensibilität, basierend auf fehlendem Wissen auf Entscheider-Ebene. Denn eine durchschnittliche Firmenwebsite wird erstellt und gegebenenfalls durch weitere Funktionalität erweitert, auf eine Wartung der Software wird jedoch meist nicht geachtet.

Dabei kommt dem Hosting des Servers eine zentrale Bedeutung zu. Dieser muss einem entsprechenden Monitoring unterzogen, die Zugriffslogs auf verdächtigen Traffic gescannt und entsprechend zeitnah reagiert werden. Das System muss professionell konfiguriert sein und Updates zeitnah nach Erscheinen eingespielt werden. Die große Zahl an Unternehmen ist daher gut beraten, das Hosting auf einem gemanagten Server bei einem spezialisierten Dienstleister unterzubringen, der sich um die Wartung kümmert.

Sichere Basis: Web Content Management-Systeme

Aufbauend auf dem Webserver wird bei einer typischen Website heute ein Web Content Management-System als zentraler Dienst eingesetzt. Hier können Redakteure die Website mit Inhalten versorgen und auf dem aktuellsten Stand halten. Auch dient die Web Content Management-Lösung als Knotenpunkt zwischen Besuchern und Webshop, Buchungssystem oder Customer Relationship Management. Es kommt dem Content Management-System also neben der originären Inhaltspflege auch die Aufgabe zu, die Verbindung zu weiteren Systemen zu unterhalten, sowie auch selbst Funktionalitäten bereitzustellen, die über die reine Redaktion hinaus gehen.

Ein leistungsfähiges Content Management-System zeichnet sich dadurch aus, dass es eine solide Schnittstelle für diese Erweiterungen bereitstellt. Hierdurch können Funktionsergänzungen und Anpassungen vorgenommen werden, ohne dass das Kernsystem berührt werden muss. Dies ist essentiell für eine Update-Fähigkeit und für das Einspielen von Sicherheits-Patches. Denn ist das Kernsystem richtig eingerichtet und konfiguriert und wird es regelmäßig gewartet, so hat man mit sehr überschaubarem Einsatz eine sichere Basis: Hinter der Webserver-Software und auch dem Content Management-System stehen viele Entwickler, die gerade bei Open Source Software sehr genau auf die Qualität achten und regelmäßige Sicherheits-Updates anbieten können.

Kritische Stelle: individuelle Anpassungen

Ein anderes Bild zeigen jedoch die Erweiterungen auf, die teilweise individuell programmiert werden. Sie bilden das schwächste Glied in der Kette. Wird in diesen Fällen nicht zusätzlich ein Sicherheitsspezialist eingesetzt, welcher die erstellte Programmierung auf Schwachstellen hin untersucht, hängt es einzig und allein vom Programmierer der Erweiterung ab, wie gut und sicher diese gegen Angriffe gerüstet ist.

Bei sorgfältig programmierten Systemen ist es dagegen an der Tagesordnung, dass ein dediziertes Security Team den erstellten Code einer Prüfung auch auf Sicherheit unterzieht und eine große Entwickler-Community die Software weiterentwickelt und an die sich verändernde Sicherheitslage anpasst. Denn es zeigt sich immer wieder, dass Sicherheit ein kontinuierlicher Prozess und kein Zustand ist.

Stabiles Framework für Eigenentwicklungen

Auch wenn die Hauptverantwortung für eine sichere Erweiterung beim jeweiligen Programmierer liegt, so können Kernentwickler darauf Einfluss nehmen. Die Verantwortung für die Sicherheit wird bei TYPO3 seit langem in diesem Sinne interpretiert – ein stabiles Framework für die Entwicklung von Erweiterungen hilft Programmierern, sauber und sicher zu arbeiten. Es bietet Routinen, um Datenbankzugriffe zu vereinheitlichen und Dateneingaben zu prüfen. Wer als Programmierer diese Werkzeuge konsequent nutzt, ist nicht nur schneller und leichter am Ziel, sondern auch sicherer.

Neben diesem klassischen Framework für TYPO3-Erweiterungen existiert seit einigen Versionen das neuere Extbase-Framework, welches in der Version 6.2 nochmals verbessert wurde: Der Quelltext ist leicht verständlich und sehr übersichtlich, so dass sich ohne Programmier-Know-how nachvollziehen lässt, was im Einzelnen im Programmcode passiert. Dies geschieht insbesondere durch eine Vielzahl von Standardisierungen. Diese Standardisierung hat direkte Auswirkungen auf die Sicherheit. Denn Entwickler werden durch das Framework gezwungen, ordentlich zu programmieren. Prüfungen etwa von Eingaben auf Manipulation sind leicht abzubilden und werden teilweise automatisch durch das Framework übernommen. Damit steigt nicht nur die Qualität der Programmierung, sondern automatisch die Sicherheit.

Sicherheit auch für das Kernsystem

Doch auch im Kernsystem nimmt man sich weiter der Sicherheit an. Ein überarbeitetes Installationstool der Version 6.2 bietet einen umfangreichen Überblick über den Systemstatus und erlaubt per Klick das Einspielen von Updates. Auch der Erweiterungsmanager wurde erneut vereinfacht und zeigt an, ob es für die installierten Erweiterungen aus dem TYPO3 Extension Repository (TER) ein Sicherheitsupdate gibt. Bewährte Sicherheitsfeatures wie die granulare Rechteverwaltung für Redakteure wurden darüber hinaus auch in der aktuellen Version beibehalten und verbessert.

Diese Features sind ein weiteres Sicherheitskriterium, denn eine große Anzahl von Angriffen erfolgt nach wie vor indirekt. Dabei werden Zugänge und Passwortinformationen von den lokalen Rechnern der Redakteure entwendet und zum Zugriff auf den Webserver verwendet. Ein sorgfältiges Rechtemanagement wie es mit TYPO3 möglich ist, schränkt die Rechte auf das Wesentliche ein und verhindert die Übernahme ganzer Systeme. Auch ein direkter Zugriff per FTP ist für den Redakteur nicht nötig, selbst größere Datenmengen können sehr bequem per Drag & Drop auf den Server überspielt werden, wobei diese Daten auf Sicherheitsprobleme hin geprüft werden.

Darüber hinaus existieren diverse Erweiterungen, die TYPO3 mit zusätzlicher Sicherheit ausstatten. Über einen zentralen Server kann man damit beliebig viele TYPO3-Instanzen und -Projekte überwachen und verwalten, erkennt, wo Sicherheitsupdates eingespielt werden müssen, gleicht aber zum Beispiel auch die verwendeten Passwörter der Redakteure gegen eine Negativliste mit unzulässigen, weil unsicheren Passwörtern ab. Und ein Intrusion-Detektion-System schützt TYPO3 zusätzlich vor Angriffen.

Fazit

Wenn Sie als Unternehmen bereits eine TYPO3-basierte Website betreiben, so empfiehlt sich ein Upgrade auf die aktuelle Version – vor allem, weil der Support für alle Vorgängerversionen Ende Oktober 2014 bzw. Ende März 2015 ausläuft. Die Version 6.2 dagegen wird bis mindestens März 2017 unterstützt und an die kommenden Sicherheitsanforderungen angepasst. Wichtig für jeden Unternehmer ist es, dass die angebotenen Sicherheitsaktualisierungen auch wahrgenommen und eingespielt werden und das System sorgfältig eingerichtet wird [1].

Literaturhinweis
[1] Siehe dazu auch: http://docs.typo3.org/typo3cms/SecurityGuide/

Sicherheit für Content Management-Systeme
Wenn Sie mit dem Gedanken spielen, Ihre Online-Präsenz neu aufzustellen, sollten Sie bei der Wahl des Content Management-Systems schon im Vorfeld den Sicherheitsgedanken mit einfließen lassen und sich folgende Fragen stellen:

• Wie einfach sind die Updates des Kernsystems und wie lange wird die aktuelle Version mit Updates unterstützt, bevor ein Upgrade vorgenommen werden muss?
• Werden Programmierer bei der Entwicklung von sicheren Erweiterungen durch das Erweiterungs-Framework unterstützt?
• Müssen Individualprogrammierungen zusätzlich von einem Spezialisten durch ein Sicherheitsaudit geprüft werden?
• Ist ein Wartungsvertrag als Bestandteil des Auftrages sinnvoll?
• Lässt sich die Qualifikation des Dienstleisters anhand von Zertifizierungen erkennen? Im Open-Source-Bereich kann die Qualifikation auch über die Aktivität des Dienstleisters in der Open-Source-Community des Produktes nachgewiesen werden.
• Gibt es für das Produkt ein Security Team oder ein CERT, welches über Sicherheitslücken und Patches hierzu aktiv informiert?

Wenn Sie darauf achten, dass Ihre Webpräsenz ordentlich gehostet ist und sowohl das Web Content Management-System als auch dessen Erweiterungen sauber konfiguriert und auf einem stets aktuellen Stand sind, haben Sie eine solide Basis.

www.alinbu.net
www.typo3.org

Peter Pröll ist TYPO3-Spezialist und Inhaber des Freelancer Büros „Alinbu – Alles in Butter“. Er berät und unterstützt Unternehmen bei ihren TYPO3-Projekten und setzt diese um. Als Trainer schult er TYPO3-Dienstleister und hält Vorlesungen an Hochschulen. Zu seinen Kunden gehören die Bundesstadt Bonn, die XING AG, DIE ZEIT sowie die Vereinten Nationen. In der TYPO3-Community ist er Mitglied im Expert-Advisory-Board und Leiter des TYPO3 Education Committees.