Sicherheitsstudie Content Management Systeme - BSI
Contents
1. Service Transition Installation Deployment Vorbedingungen Root Access auf System http wiki typo3 org TVYPO3_Installatio Root Access nicht notwendig Anforderungen n _Basics How _to_ install Transparenz der Abh ngigkeiten Testinstallation Dokumentation Standalone Applikation in PHP erfordert kein gibt es ein Build System wie maven o Build System Bibliotheken integriert die m glicher Testinstallation Es werden keine zus tzlichen Bibliotheken mit weise Konflikte ausl sen geliefert oder vorhandene ver ndert Bundesamt f r Sicherheit in der Informationstechnik 106 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Komplexit t Anzahl manueller Vor Nacharbeiten http wiki typo3 org Security TYPO3 5 Mehrere Einstellungen m ssen angepasst bei Konfiguration und Installation ecurity werden Zugriff auf sicherheitsrelevante Dateien und Verzeichnisse muss eingeschr nkt werden Testinstallation Account und Passw rter m ssen gel scht oder ge ndert werden Verwendung von Automatisiertes http typo3 org news article typo3 60 Geplant f r 6 1 Standards Update durch back to the future Paketverwaltung Sichere Default Installation http tvpo3 org news article typo3 60 back to the future Die Default Installation ist in einigen Punkten unsicher cookieSecure 0 always sen2. Ablage von Zu http plone org products passwordfiel SSHA Salt SHA gangsdaten d M glich ber LDAP Kerberos Zope Datenbank http developer plone org members m Zope verwaltet User und bietet Ver ember basics html exporting and imp schl sselung sowie Hashing der Pass orting member passwords w rter out of the box Plugins erhalten maximal Hashwerte der http docs zope org zope2 zope2book Passw rter von normalen User Objekten Security htmi R cksicherungen http www plone entwicklerhandbuch Backup ber Script im laufenden Betrieb konzeptionell vor de plone entwicklerhandbuch authent m glich R ckspielen aller Daten zu Zeit bereitet ifizierung emergency user html punkt x m glich http plone org documentation kb ba ckup and recover data fs in linux bac kup plone http www imn htwk leipzig de mfra nk lehre osem 10 CBecker Backup Da tensicherung Vortrag pdf Vertraulichkeit und Keine Hinweise zu diesem Feature ge Integrit t von Be funden Bundesamt f r Sicherheit in der Informationstechnik 152 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung nutzerdaten bzw Vorgangsdaten sch tzbar Systemdaten von Keine Hinweise zu diesem Feature ge fachlichen Daten funden separiert Suchmaschine Reife der Such http www plone de ueber plone plon maschine e 4 erweiterte suche ubersichtlicher http pl
3. http www itworld com security 157395 joomla or drupal which cms handles sec Siehe auch Sicherheitstests H ngt von der Modulgruppe ab 135 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung urity best page 0 3 Sicherheitstests nachweislich http growingventuresolutions com blog Der Kern des Systems gilt als sicher und ge security review module and securing yo ur drupal site html http www itworld com security 157395 joomla or drupal which cms handles sec urity best page 0 3 testet Zus tzlich installierte Module scheinen dagegen nicht von einem offiziellen Team ge testet zu werden F r diesen Test gibt es unter dem Link wiederum ein Modul Softwareentwicklung Construction Sichere Archi tektur Modularisierung Modularisierung 0 http alphanodes de hisgh performance d Drupal benutzt das LAMP bzw WAMP Trennung der Trennung der rupal infrastrutur Prinzip Linux Windows Apache MySQL logischen logischen PHP Die einzelnen Module k nnen bei Bedarf Funktionen Funktionen mit gleichwertiger Software ersetzt werden Die Funktionen sind entsprechend logisch auf die Module aufgeteilt Trennung in ver 0 http drupal ors node 1011196 Sandbox Projekte sind f r Entwicklungs schiedene Sicher zwecke gedacht Sandbox noch experimentell heitsniveaus m g lich
4. bzw Vorgangs daten sch tzbar sch tzt werden Systemdatenvon http codex wordpress org Database Des Fachliche Daten sind systemtechnisch nicht fachlichen Daten cription separiert separiert Suchmaschine Reife der Such http wordpress org extend plueins solr maschine for wordpress Inhaltsverwaltung Redaktioneller http codex wordpress org Roles and Ca Verschiedene Rollen verf gbar Workflow pabilities 117 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung definierbar Versionierung von http en support wordpress com posts Revision Log gespeichert Zur cksetzen auf Inhalten ost revisions alte Version m glich Wiederver Testinstallation Es gibt eine Medienverwaltung wendung von Content zur Reduktion der Komplexit t Preview verf gbar Testinstallation Authentifizierung Registrierung Testinstallation Keine besonderen Schwachstellen erkennbar Anmeldung Testinstallation Offenbart Existenz von Benutzernamen Brute Force Schut http www frameloss org 2011 07 29 sto Mit mod_security realisierbar z Passwort pping brute force logins against wordpr ess Passwort vergessen 0 http codex wordpress org Resetting Yo ur Password Captcha http wordpress org search captcha Sitzungsver CSRF Schutz 0 http codex
5. Abbildung 2 10 Kriterien berblick Service Design Softwareentwicklung Bundesamt f r Sicherheit in der Informationstechnik 33 2 Einf hrung in Content Management Systeme CMS Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung Ausschluss kriterium Wichtu ng Gesch fts f hrung Governance Lizenzierung Ausprobierbarkeit Potentielle Dienstanbieter k nnen leicht eine Instanz des CMS mit Beispieldaten auf setzen um die Installation den Update Mechanismus die An forderungen des Systems an die Administrationskenntnisse die Angemessenheit der L sung f r die konkreten Gesch fts anforderungen zu pr fen Leichte Ausprobierbarkeit wirkt darauf hin dass das System weithin in Benutzung im Sicherheits Test ist Anmeldung notwendig um einen ja Link zu bekommen Es besteht ein Download Link mittel Anleitungen zu Security Ihemen Entwicklerdokumentation Schulungen Es gibt konkrete Hilfe stellungen zum Thema Sicherheit f r Entwickler des CMS und f r Dienstanbieter Entwickler Administratoren die das CMS dessen APIs oder Komponenten nutzen Es gibt Verweise auf relevante Dokumente 0 Es gibt konkrete Dokumente zu Security Themen Es gibt Code und oder Konfigurationsbeispiele ja hoch Transparenz der Kommunikation bei Schwach stellen Kontakt des CMS Herstellers zur Meldung von Sich
6. CVSS Anzahl der Schwach Anteile Score stellen 0 1 0 00 1 2 0 00 2 3 0 00 3 4 1 10 00 4 5 3 30 00 5 6 2 20 00 6 7 0 00 7 8 2 20 00 8 9 0 00 9 10 2 20 00 Total 10 Gewichtetes Mittel CVSS Score 6 7 Tabelle 3 7 Plone CVSS Score Dabei werden 4 der 10 L cken als XSS basierte Schwachstellen gekennzeichnet Die beiden Schwachstellen des Schweregrades high betreffen eine Code Execution Schwachstelle und eine unspezifizierte Schwach stelle in der CMF Edition Komponente Die Auftrennung der Schwachstellen in Basis Installation und Erweiterungen f r den Zeitraum 2010 2012 stellt sich bei Plone schwierig dar da die betroffenen Erweiterungen Teil der Basis Installation sind So er gibt sich nach Recherche ber die NVD trotzdem ein Verh ltnis wie in Abbildung 3 2 dargestellt 30 00 m Basis Plone und Zope E Erweiterungen Teil der Installation 70 00 Abbildung 3 2 Plone Schwachstellen Basis Installation und Er weiterungen ber secunia com ergab die Recherche f r Plone 4 dass eine der sechs gemeldeten Schwachstellen nicht behoben wurde vgl Tabelle 3 8 Die L cke hat den Schweregrad less critical betrifft eine Hashtable Funktion in Python generell die f r DoS Angriffe ber Plone ausgenutzt werden kann Da ins gesamt nur sechs Schwachstellen gelistet sind f hrt das in folgender Tabelle zu 17 ungepatchten Schwachstellen was nat rlich dem Anliegen dieser Statis
7. Die Installation weiterer Module aus einem gepflegten Repository auf plone org erfolgt ber ein Installationsprogramm auf der Kommandozeile Danach lassen sich die installierten Module ber die Web site aktivieren oder deaktivieren 22 http www zope de 23 Hohe Lastanforderungen sollten im Einzelfall diagnostiziert werden Um ein Ma zu haben wird dies hier trotzdem f r die Allgemeinheit versucht Wenn mehr als 500 Benutzer gleichzeitig auf einer Webseite arbeiten und davon mehr als 10 der Benutzer Daten ver ndern dann wird dies als hohe Lastanforderung betrachtet 24 Lastenverteiler vgl http de wikipedia org wiki Lastverteilung_ 28Informatik 29 25 http www linux ha org wiki Main_Page Bundesamt f r Sicherheit in der Informationstechnik 17 2 Einf hrung in Content Management Systeme CMS a Inhalte darstellen 2000 Add Ons SJ4ahalle pflegen m Inhalte importiere Stroms Inhalte exportieren __ Browser ZEO Client I ZEO Client ZEO Client i _ BEE Be Veerrwaltungsdaten mea pflegen r Ope ZODB 1 ZEO Storage Dateisystem SEE u Server Daten speichern Daten bereitstellen External DataSources MySQL PostgreSQL Oracle MSSQL Abbildung 2 3 Plone Systemarchitektur Funktional enth lt das Plone Repository eine Auswahl von ber 2000 Add Ons Die Plone Standard installation beinhaltet schon 15 Module die ber die Website aktiviert oder deaktivie
8. S 417 ff Sprachvarianten Inter http wiki typo3 org UTE 8 support nationalisierung nach Best Practices realisiert 103 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Sichere Daten Ablage von Zu Testinstallation Typo3 speichert die Passw rter als salted ablage gangsdaten http typo3extensions org index php Hashwerte der Passw rter ab Die verlinkte Ex titlest3sec_saltedpw tension ist mittlerweile im Core integriert http tvpo3extensions ors index php Neben dem MD5 Hash dieser ist laut aktueller titlessaltedpasswords Tabelle der Bundesnetzagentur nicht mehr ge eignet kann phpass und blowfish verwendet werden R cksicherungen http typo3 org documentation docum Hinter dem System befindet sich eine MySQL konzeptionell vor ent library core documentation doc gu Datenbank Mit dem Backup Befehl mysqldump bereitet ide security 1 0 1 view 1 9 ist es nur m glich ganze Datenbanken und Tabellen zu sichern und auch nur so wiederher zustellen Vertraulichkeit und http docs typo3 org typo3cms InsideT Daten werden in MySQL Datenbank abgelegt Integrit t von Be vpo3Reference CoreArchitecture Databa nutzerdaten bzw se Index html Vorgangsdaten sch tzbar Systemdaten Von Fachliche Daten sind systemtechnisch nicht fachlichen Daten separiert separiert Suchmaschine R
9. 3 3 3 Schwachstellen Kompensation Zus tzlich f llt auf dass im ersten Halbjahr 2012 Schwachstellen in Kern Komponenten h ufiger gepatcht werden als Schwachstellen in Erweiterungen Das ist ebenso f r 2011 der Fall vgl Tabelle 3 24 81 http www 03 ibm com security xforce downloads html Bundesamt f r Sicherheit in der Informationstechnik 67 3 Aktuelle Bedrohungslage 2011 2012 Hl CMS Core Schwachstellen patched 80 00 70 00 CMS Plug in Schwachstellen patched 52 00 52 00 Tabelle 3 24 Behandlung der Schwachstellen Die Studie81 wertet mit Secunia Daten von 2003 bis 2012 aus und stellt fest dass f r alle betrachteten CMS ber 80 Prozent aller Schwachstellen ber einen Hersteller Patch geschlossen wurden Die Auswertung der Schweregrade der gemeldeten Schwachstellen zeigt dass sich die zu betrachtenden CMS hier kaum unter scheiden vgl Tabelle 3 25 Drupal Plone WordPress Joomla TYPO3 Durchschnittlicher 5 5 6 7 6 1 6 2 6 CVSS Score Tabelle 3 25 Schweregrad der Schwachstellen 3 3 4 Vergleich der CMS zueinander Eine Auswertung der f r die CMS gemeldeten Schwachstellen im Zeitraum 2010 2012 zeigt dass f r Plone die wenigsten und f r TYPO3 die meisten Schwachstellen gefunden wurden 80 70 60 50 40 E Anzahl Schw achstellen 30 20 10 Plone Joomla Drupal Wordpress TYPO3 Abbildung 3 9 Schwachstellen absolut pro CMS 3 3 5 Diskuss
10. Es gibt einen Kern und darauf aufbauende Erweiterungen ber die alle nicht im Kern enthaltenen Funktionen abgebildet werden Erweiterungen k nnen dabei vom Hersteller des Systems oder auch von externen Entwicklern zur Verf gung gestellt werden Das System nutzt Bibliotheken des Betriebssystems f r Basisfunktionalit ten Die zentrale Kernkomponente jedes CMS ist die Inhaltsverwaltung einschlie lich der daran ankn pfenden Dienste Zu diesen Diensten geh rt auch die Transformation der Inhalte auf verschiedene Ausgabeformate Damit Inhalte auf PC Tablet und Smartphone dargestellt werden k nnen werden die Inhalte mit Meta daten versehen die vor der Ausgabe ausgewertet werden Auch der Mechanismus zum Entfernen von Informationen nach Ablauf von Fristen Retention die Internationalisierung von Inhalten verschiedene Sprachversionen und die zentrale Suchmaschine greifen auf die Metadaten zur ck ber einen Mechanismus zur Aufbereitung von Inhalten anhand von Vorlagen h ufig als Template Engine bezeichnet k nnen Inhalte mit Vorlagen verkn pft und f r die Darstellung vorbereitet werden Die Nutzung einer einheitlichen Vorlage erleichtert z B die Umsetzung spezieller Anforderungen wie die barrierefreie BITV konforme Darstellung von Webseiten ber die Nutzerverwaltung des CMS lassen sich Nutzer und deren Rechte zum Zugriff auf Ressourcen wie z B gesch tzte Bereiche der Au ensichten einstellen Bei einigen CMS werden Prinzipien
11. Lieferung von Guidelines Tutorials http drupal org documentation U a Administration amp Security Guide Qualit t Zielgruppenorientierung http drupal org documentation User Developer Administrators Navigation und Suche http drupal org documentation Dokumentations Einstiegsseite ist gut strukturiert die einzelnen Themenseiten sind 141 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung angemessen die Suche findet die relevanten Dokumente Mehrsprachigkeit http www drupalcenter de drupalcenter de erarbeitet ein deutsches Be nutzerhandbuch Aktualit t http drupal org documentation Stichproben aktuell Vollst ndig Beschreibung aller http drupal org security secure configur Abschnitt Securing your Site im keit Sicherheitsmechanis ation Administration amp Security Guide men mit Annahmen und Einschr nkungen Beschreibung aller http drupal org security secure configur sicherheitsrelevanten ation Einstellungen Beschreibung ver 0 http drupal org security secure configur Keine Beschreibung von Szenarien schiedener Szenarien ation z B externer ID Provider Service Operation Marktdurchdringung Internetpr senz Moderierte Foren mit Fokus Security Anzahl www drupal org forum www drupalcenter de forum Drupal or
12. Tabelle 3 16 TYPO3 Security Advisories Unter Einbeziehung der drei Quellen zu CVF s ist zumindest kein klarer Trend sichtbar Innerhalb der Schwachstellen Entwicklung sind auf CVE Details vor allem Code Execution SQL Injection und XSS Schwachstellen zu verzeichnen Meldungen f r TYPO3 Anzahl in 2010 2011 2012 cvedetails com 26 31 nvd nist gov 70 15 42 portal cert dfn de 17 24 18 Tabelle 3 17 TYPO3 Schwachstellenmeldungen Die Schweregrade der Schwachstellen ber CVE Details in diesem Zeitraum werden im Durchschnitt auf den Wert 6 und damit medium eingestuft Allerdings werden 28 Prozent der Schwachstellen mit dem Schweregrad high gekennzeichnet vgl Tabelle 3 18 74 http typo3 org teams security security bulletins 62 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 CVSS Anzahl der Anteile Score Schwachstellen 0 1 0 0 00 1 2 0 0 00 2 3 1 1 80 3 4 7 12 30 4 5 17 29 80 5 6 12 21 10 6 7 4 7 00 7 8 16 28 10 8 9 0 0 00 9 10 0 0 00 Total 57 Gewichtetes Mittel CVSS Score 6 0 Tabelle 3 18 TYPO3 CVSS Score Die Trennung der Schwachstellen nach Basis Installation und Erweiterungen f r den Zeitraum 2010 2012 aller Versionen von TYPO3 zeigt einen noch deutlicheren Anteil der Erweiterungen an Schwachstellen als die vom TYPO3 Security Team erstellte Verteilung der Security
13. g en latest style html https buildoutcoredev readthedocs or g en latest index html http 1 python or plone app testing 4 2 http docs zope org zope2 zdgbook in dex html Test driven development Aussagekr ftige und durchg ngige Kommentierung im Quelltext https buildoutcoredev readthedocs or g en latest intro html committing an d pull requests Der ganze Code kann in der zur Verf gung stehenden Zeit nicht auf die Qualit t der Kommentare gepr ft werden Entwickler sollen sich an den PEP 8 Python Style Guide halten http www python org dev peps pep 00 08 Bundesamt f r Sicherheit in der Informationstechnik 146 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung We have a few angels that follow the changes and each commit to see what happens to their favourite CMS If you commit something REALLY sketchy they will politely contact you most likely after immediately reverting changes Strukturelle Mittel zur Durchsetzung der Qualit tskriterien https buildoutcoredev readthedocs or g en latest intro html id2 https buildoutcoredev readthedocs or g en latest plips html jenkins Auto Tester PLIPS Review angels s o Transparenz des Entwicklungsprozesses 0 https dev plone org report 1 Ticketsystem zur Pr fung des Be arbeitungsfortschritt Dokumentation der Sicherheitsa
14. Die redaktionelle Arbeit findet nicht ber den Content Server sondern auch ber das Auslieferungssystem statt Es ist aber sehr gut m glich s mtliche administrative T tigkeiten nur ber einen dedizierten ZEO Client abzuwickeln der dann speziell abgesichert werden kann FAKT Die Administration der Plone Site kann ber einen dedizierten Client speziell abgesichert werden Es existiert eine detailreiche Autorisierung Rechte sind ausschlie lich an Rollen gekn pft wobei hier zwischen globalen und lokalen Rollen unterschieden wird Globale Rollen beziehen sich auf die gesamte Site lokale Rollen sind kontextabh ngig und k nnen sich auf Elemente einer Site beziehen Die Redaktionsworkflows werden ber Richtlinien bestimmt und k nnen sehr weit konfiguriert werden Die Auslieferung der Informationen kann stark optimiert gepackt werden 2 2 2 5 Besonderheiten Dem Administrator stehen viele in Python geschriebene Werkzeuge zur Verf gung mit denen allt gliche Aufgaben erleichtert werden k nnen Als Nachteil gegen ber anderen Systemen f llt die Exotik der Zope Object Database ZODB auf Der Dienstanbieter ist auf die Werkzeuge und Reportingm glichkeiten der ZODB angewiesen und hat auf Grund fehlender Interoperabilit t auch keine Chance das Reporting ber alternative Werkzeuge abzu bilden FAKT Plone verwendet eine eigene objektorientierte Datenbank Plone z hlt 340 Kern Entwickler d h deutlich weniger
15. Durch das Modul Audit_Log 8 Loglevel konfigurierbar http api drupal ors api drupal includes bootstrap inc group logging severity leve ls 7 Vertraulichkeit Fachliche Logs von Keine Informationen gefunden technischen Logs trennbar Verschl sselung http drupal org project encrypt Es gibt ein Modul das die Funktion bereit 143 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung der fachlichen Logs stellen kann falls fachliche Logs m glich sind mit Bordmitteln s 0 m glich R cksicherung http drupal org project backup migrate AES encryption for backups offenbart keinen Klartext Einbindung in Laufzeitinformationen extrahierbar Keine Informationen gefunden aystem Steuerung per Skript http drupal org documentation module Eigene Scriptsprache auf Basis von Lisp management s dript Steuerung per API http api drupal ors api drupal Bundesamt f r Sicherheit in der Informationstechnik 144 Anhang Ergebnistabelle Plone 4 21 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung Service Design Gesch ftsf hrung Governance Lizenzierung Ausprobierbarkeit http demo plone de Download und Testinstallation verf gbar http plonedemo de http plone org products plone releas es 4 2 3 Entw
16. uploads 2006 04 joomla 15 database sche ma png Systemdaten von 0 http docs joomla org Database structure Separate Tabellen in der DB fachlichen Daten separiert http www torkiljohnsen com wp content uploads 2006 04 joomla 15 database sche ma png Suchmaschine Reife der Such http www solrhq com solrhq for cms joo Wenig Infos aber es gibt ein Joomla internes maschine mla extension for solr and solrhq Search Modul und eine Solr Anbindung Inhaltsver Redaktioneller 0 Testinstallation Kein eingebauter Workflow Rudiment r ber waltung Workflow http www joomlaos de Downloads Jooml Erweiterungen wie bspw Workflow 127 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung definierbar a und Mambo Komponenten Workflow ht ml Versionierungvon http extensions joomla org extensions au Als Component nutzbar Inhalten thoring a content content versioning 626 0 Wiederver Testinstallation wendung von Content zur Reduktion der Komplexit t Preview verf gbar Testinstallation Authenti Registrierung Testinstallation Keine besonderen Schwachstellen erkennbar lizierung Anmeldung 0 http extensions joomla org extensions ac Wenn keine SSL Verbindung benutzt wird cess a security site security login protecti schickt ein Nutzer seine Da
17. 14 vgl The Economist http www economist com 15 https www oasis open org committees tc_home php wg_abbrev wss 14 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Inhalte darstellen Inhalte pflegen ie Inhalte importieren i Inhalte exportieren Browser nd Drupal Core E Verrwaltungsdaten pflegen Daten speichern Daten bereitstellen ySQL MariaDB ER PostgreSQL Dateisystem Oracle MSSQL r Abbildung 2 2 Drupal Systemarchitektur 2 2 1 2 Komponenten Vom Ansatz her ist Drupal als ein Content Management Baukasten mit wohldefinierten Kern komponenten zu verstehen Drupal besteht aus einem minimalen Kern mit tausenden Erweiterungen modules die durch aktuell 512 Distributionen vorkonfiguriert sind Die Einstellung der Module ist meist in zwei Aspekte untergliedert Rechtevergabe und Konfiguration Konfiguration ist generell einfach Die Erstellung von Inhaltsseiten erfordern tiefere Kenntnisse in Drupal Core Module sind nach kurzer Ein arbeitungsphase in die Struktur von Drupal leicht verst ndlich Erweiterungsmodule hingegen sind in ihrer Konfiguration meist un bersichtlich und erfordern tiefere Kenntnisse in Drupal FAKT Die Erstellung einer Website mit Drupal erfordert die Einarbeitung in die Basistechnologien was ber rein konfigurative oder administrative T tigkeiten deutlich hinausgeht Die zentralen funktionalen Aspek
18. Tabelle 3 20 Entwicklung der Schwachstellen in verwendeten Basistechnologien 2012 war das Jahr der Java Schwachstelle Im Oktober 2012 schloss Oracle insgesamt 30 Schwachstellen in Java allein 10 davon haben den h chsten CVSS Schweregrad Untersuchungen zeigen dass gerade Java Schwachstellen im Jahr 2012 sehr h ufig ber Exploits ausgenutzt wurden Betroffen sind hier im Gro teil nur die Java Installation auf Seiten des Clients nur 2 der 30 Schwachstellen des Oktober Patch Releases sind auch auf Java Server Versionen anwendbar Bei PHP war zum Beispiel eine Schwachstelle in der XML RPC Bibliothek von PHP f r alle PHP basierten CMS Systeme von Bedeutung da diese Bibliothek verwendet wird Ebenso erm glichte ein JQuery Plugin Uploadify auf der Basis von PHP mehrere Schwachstellen in WordPress Erweiterungen Die aufgef hrten Schwachstellen m ssen in jedem Fall einzeln auf ihre Relevanz im Serverumfeld gepr ft werden Auch wenn es relative Unterschiede zwischen den Sprachen gibt auf die hier nicht eingegangen wird lassen die insgesamt niedrigen Zahlen den Schluss zu dass alle Sprachen bzgl der offenbarten Sicherheitsl cken hnlich gut f r CMS geeignet sind Die ber den betrachteten Zeitraum erfassten extrem niedrigen Zahlen f r Python sind ein Anzeichen f r die sehr gute Reife dieser Sprache 75 http www cvedetails com 76 http www oracle com technetwork topics security javacpuoct2012 1515924 html 77 htt
19. Webserver Datenbank und PHP Interpreter auf F r die Aktualisierung dieser Software und der durch sie verwendeten Bibliotheken ist der Betreiber des Servers verantwortlich der daf r sorgen muss dass jeweils die aktuellsten kompatiblen Versionen von PHP auf dem Server installiert sind Plone bringt mit dem Unified Installer alle ben tigten Komponenten mit und ndert sonst nichts auf dem Server sofern die Voraussetzungen wie insbesondere die GNU Compiler Collection vorinstalliert sind Die hierf r zu installierenden Pakete k nnen je nach Linux Distribution ein wenig variieren Installiert werden dann im Wesentlichen die zur jeweiligen Plone Version passende Python Version sowie das Zope 2 Framework und nat rlich auch Plone selbst Da alle hier betrachten CMS keine eigenen Bibliotheken auf dem Server installieren oder aktualisieren liegt es in erster Linie am Administrator der Site dass die Standardbibliotheken auf einem aktuellen Stand gehalten werden bzw notwendige Sicherheitspatches eingespielt werden sofern dies nicht automatisch geschieht 4 2 3 3 Sichere Architektur Integrationsf higkeit Die Integrationsf higkeit eines CMS kann durch die Verwendung von Standards wie Web Services Paymentstandards sowie standardisierter Verfahren zu Authentisierung und Autorisierung unterst tzt werden Web Services werden bei allen Systemen wenn berhaupt nur rudiment r unterst tzt Es gibt in der Realisierung Unterschiede
20. heitsrelevanten Einstellungen stellungen Beschreibung ver http docs joomla org Keine Beschreibung von Szenarien schiedener Szenarien z B externer ID Provider Service Operation Marktdurchdringung Internetpr senz Moderierte Foren mit Fokus Security http docs joomla org Security F r jede Joomlal Version gibt es ein eigenes Anzahl Security Forum Akteure mit Fokus Security Anzahl http developer joomla org security html Es gibt ein Joomla Security Strike Team Anzahl Installationen in Deutschland http w3techs com technologies overview c ca 1175 Sites in de nutzen Joomla ontent management all Behandlung von nderungen Security Patches Zeit bis zum Erscheinen nf http www joomla org announcements rel Behebung dreier low priority Sicherheits ease news 5478 joomla 3 0 3 released htm l schwachstellen dauerte zwischen zwei Wochen und drei Monaten Transparenz der Begleitinformationen http www joomla org announcements rel ease news 5478 joomla 3 0 3 released htm l Liste der Issues und News Features mit detaillierter Beschreibung Verweis auf eventuelle Probleme nach dem Update 131 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Es ist aber nicht ganz klar ob tats chlich alle Sites betroffen sind unabh ngig von der Fun
21. http codex wordpress org Updating Wo Verf gbar ab Version 2 7 Automatisches Standards Update durch rdPress Automatic Update Update l sst sich in den Einstellungen Paketverwaltung aktivieren Sichere Default Installation http codex wordpress org Installing Wo Kein aktivierbarer https Zugang f r Backend rdPress http codex wordpress org Hardening W ordPress Testinstallation Hinweis auf sicherheitsrelevante Ein http core trac wordpress org browser tr Konfigurationsdatei wp config php ausf hr stellungen an Ort und Stelle unk wp config sample php lich dokumentiert und kommentiert hinsicht lich Sicherheit bernahme sicherheitsrelevanter Ein http codex wordpress org Updating Wo Konfiguration bleibt erhalten Plugins weiter stellungen bei Updates rdPress hin integriert sofern mit neuer Version 119 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung kompatibel Anwenderdokumentation Lieferung von Guidelines Tutorials http codex wordpress org Main Page http learn wordpress com wenig Sicherheitsrelevantes Qualit t Zielgruppenorientierung http codex wordpress org Getting Start ed with WordPress Verschiedene Themengruppen im Wiki How to use Development Write a Plugin Navigation und Suche http codex wordpress org Main Page http codex wordp
22. inzwischen breiten Spektrum professioneller Dienstleister in Anspruch zu nehmen Diese Dienstleister sorgen im eigenen Interesse f r professionelles Management und schalten die Website ggf auch ab falls sie missbraucht wird Die Basissoftware ist hier uninteressant grunds tzlich k nnen alle betrachteten Content Management Systeme so vorbereitet werden dass der im Szenario angesprochene Dienstanbieter f r die beschriebenen Zwecke damit umgehen kann Das Problem bei einer eigenen Website ist die Komplexit t der Einrichtung nicht nur des CMS sondern auch des Webservers und der Datenbank und die Erforder lichkeit permanenter Beaufsichtigung 5 2 2 Szenario 2 B rgerb ro in einer kleinen Gemeinde Das im Kapitel 2 4 2 beschriebene Szenario konzentriert sich insbesondere auf Merkmale wie e eine gut funktionierende Suche e die M glichkeit ein Kontaktformular zu benutzen 90 Weiterf hrende Informationen hierzu unter https www bsi bund de DE Themen weitereThemen WebkursITGrundschutz Schutzbedarfsfeststellung S chutzbedarfskategorien Abgrenzung abgrenzung_node html 91 Completely Automated Public Turing test to tell Computers and Humans Apart 92 vgl http en wikipedia org wiki Comparison_of_free_web_hosting_services Bundesamt f r Sicherheit in der Informationstechnik 89 5 Zusammenfassung der Studie e eine ordentliche Kalenderfunktion f r die Pr sentation von wichtigen Terminen und e die Anbindung an eine
23. www joomlaos de Downloads Jooml a und Mambo Addons Universeller Applic ation Connector html Payment 0 http extensions joomla org extensions e commerce payment systems Authentifizierung 0 http www joomla org core features html LDAP OpenID Autorisierung Skalierbarkeit des Nutzung von http docs joomla org Cache Systems Caching Mechanismen Verteilbarkeit Testinstallation Standardm ig keine Verteilung der kritischer Komponenten vorgesehen Komponenten zur Erh hung Per formance Ver f gbarkeit Auswahl und Reife der Er 0 http docs joomla org Developers Definierte Schnittstellen aber keine Trennung 125 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung weiterungsmechanismen http docs joomla org Plugin Developmen t http docs joomla org Module Developme nt Es gibt noch keine brauchbare Dokumentation f r Joomla 3 Umsetzung von Sicherheits anforderungen Rollen und Vererbung von http docs joomla org Access Control List Rechtekonzept Rechten 2 5 Tutorial Actions 2C_Groups 2C and I nheritance Definition von http www joomla org core features html Neun vordefinierte Usergruppen Version 1 5 Gruppen Unbegrenzt in Version 2 5 http docs joomla org Access Control List 2 5 Tutorial Default ACL Setup Rollen basierter Testinst
24. 12 Suchergebnisse f r 56 Tabelle wurde aus CVE Details http www cvedetails com entnommen 57 Nach http nvd nist gov cvss cfm 58 http drupalsecurityreport org sites drupalsecurityreport org files drupal security white paper 1 1 pdf 59 http drupal org documentation is drupal secure 60 http www cvedetails com vendor 1367 Drupal html 61 http www exploit db com Bundesamt f r Sicherheit in der Informationstechnik 55 3 Aktuelle Bedrohungslage Drupal darstellen dabei ist auch mindestens 1 Exploit f r die aktuelle 7 er Version von Drupal ffentlich einsehbar Weiterhin ist mit Hilfe von secunia com eine Auswertung m glich die zeigt welche der gemeldeten Schwachstellen vom Hersteller Drupal behoben wurden und welche nicht vgl Tabelle 3 4 Allerdings konnte beispielhaft nachvollzogen werden dass die auf secunia noch als unpatched gelisteten Schwach stellen bereits behoben wurden Schwachstellen f r Drupal 7 im 7 Schwachstellen Zeitraum 2003 2012 Unpatched 14 00 Vendor Patch 86 00 Vendor Workaround 0 00 Partial Fix 0 00 Tabelle 3 4 Drupal Schwachstellen Das Drupal Security Team ver ffentlicht Meldungen zu Schwachstellen und bietet diese Infos zyklisch an Laut eigener Aussage stehen sie im engen Kontakt zu Kernentwicklern und Modul Herstellern Auf einige Schwachstellen reagieren die Sicherheitsexperten unabh ngig von Release Zyklen Im Rahmen einer Schwachstelle inne
25. Die durchgehende Unterst tzung von Unicode UTF 8 ist nicht nur zur Unterst tzung verschiedener Sprachen hilfreich sondern dient auch der Vermeidung von Sicherheitsl cken durch falsch zugeordnete Encodings Erfreulicherweise ist Unicode Unterst tzung bei allen Systemen gegeben 4 2 3 9 Umsetzung von Sicherheitsanforderungen Sichere Datenablage Grunds tzlich ist es f r CMS wichtig dass sie eine sichere Datenablage realisieren so dass die Inhalte auch tats chlich nur von den jeweils berechtigten Zielgruppen gelesen bzw auch ver ndert werden k nnen Die Ablage von Zugangsdaten wird von den untersuchten CMS mit sehr unterschiedlicher Qualit t um gesetzt TYPOS3 speichert das Benutzer Passwort mittels der Extension salted passwords als MD5 Hash mittels Portable PHP Password Hashing Framework phpass oder Blowfish in jeweils einer Tabelle wobei Back End und Front End User in getrennten Tabellen abgelegt werden MD5 entspricht dabei nicht mehr den aktuellen Mindestanforderungen der Bundesnetzagentur f r die Verwendung von Hash Algorithmen und sollte daher vermieden werden 89 https pypi python org pypi 3Aaction search amp term plone amp submit search Bundesamt f r Sicherheit in der Informationstechnik 75 4 Sicherheitsuntersuchung WordPress nutzt auch phpass das Portable PHP password hashing framework Passw rter werden mit den Algorithmen blowfish extended DES oder MD5 mit Salt und mehreren Iterationen gehashe
26. Gibt es einen 0 ja ja hoch Passwort Brute Force Schutz f r Pass w rter Passwort vergessen Wie sicher ist die Behandlung 0 Keine konzeptionellen Schwach ja hoch vergessener Passw rter stellen sichtbar Captcha Sind Captchas einbindbar verschiedene einbindbar mittel 0 mindestens ein Verfahren ver f gbar nein Sitzungsver CSRF Schutz Gibt es standardm ig einen ja hoch waltung CSRF Schutz nein Secure und Sind die Einstellungen 0 ja ja hoch 42 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Design Ausschluss Wichtu Bewertungskriterien Beschreibung Erl uterung Bewertung kriterium ng HttpOnly Flag bei konfigurierbar Cookies Tabelle 2 6 Kriterien Service Design Details Bundesamt f r Sicherheit in der Informationstechnik 43 2 Einf hrung in Content Management Systeme CMS 2 3 3 Service Transition Operation System s Yortleciinzuigen sAuforherlnach Verwendung von Standards ai HH d H all Komplexit t Abbildung 2 11 Kriterien berblick Service Transition ITIL Service Operation r Installation idealan Anwenderdokumentatlion ITIL Service Design m7 ITIL Service Transition f 44 Bundesamt f r Sicherheit in der Informationstechnik 2 Einf hrung in Content Management Systeme CMS
27. JonasR OAuth eichertBachelor pdf LDAP ber Extensions RADIUS IMAP IP Adressen 101 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Die verlinkte Bachelor Arbeit beinhaltet auf Seite 13 eine Liste der Authentisierungs mechanismen Skalierbarkeit des Nutzung von http wiki typo3 org Caching framewor Systems Caching k Mechanismen Verteiltbarkeit http wiki typo3 org Performance tuni Die M glichkeit des Verteilens wird nicht ge kritischer ng TYPO3 performance Extensions geben jedoch viele M glichkeiten des Tunings Komponenten zur der Komponenten Erh hung Per formance Verf g barkeit Auswahl und Reife der Erweiterungs mechanismen http tvpo3 org extensions what are ex tensions http typo3 orgs documentation docum ent library core documentation doc_co re api current view 2 1 Erweiterungen im Backend werden mit Hilfe des Extension Managers administriert Dieser listet alle m glichen Erweiterungen auf und mittels ein ausklicken werden diese installiert Die Trennung der APIs war im Rahmen der Studie nicht pr fbar Umsetzung von Sicherheitsan forderungen Rollen und Rechtekonzept Vererbung von Rechten http docs typo3 org typo3cms InsideT ypo3Reference CoreArchitecture Access Control Roles Index html Statische Definition von Rollen keine
28. Logging so konfiguriert werden ja mittel fachlichen Logs mit dass die technischen Administratoren keine nein Bordmitteln m glich vertraulichen fachlichen Informationen sehen R cksicherung offen K nnte die R cksicherung von Informationen ja mittel bart keinen Klartext aus der Archivierung so gestaltet werden dass nein keine vertraulichen Informationen offenbart werden Laufzeitinformationen extrahierbar Sind die Zust nde der Komponenten Aus ja mittel lastung Ressourcenbenutzung von au en nein abfragbar so dass diese Information in ein ren Systemmanagement mit einflie en kann Steuerung per Skript K nnen wesentliche Funktionen des CMS ja mittel System ansehen Start Stop Neuladen der Konfiguration per nein Skript gesteuert werden Steuerung per API K nnen wesentliche Funktionen des CMS ja gering Start Stop Neuladen der Konfiguration per nein API gesteuert werden Tabelle 2 8 Kriterien Service Operation Details 49 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 2 4 Typische Anwendungsszenarien Alle oben beschriebenen CMS k nnen in verschiedenen Ausbaustufen betrieben werden Wie komplex das CMS ist h ngt nicht zuletzt davon ab welche Module zus tzlich installiert werden Diese individuelle Konfiguration des CMS hat Einfluss auf die Handhabbarkeit und ist zudem aus sicherheitstechnische
29. Root Rechte erfolgen so dass es m glich ist das CMS bei vor konfiguriertem LAMP Stack bspw auf einem gemieteten Server eines Providers der nat rlich seinen Kunden i d R keine Root Rechte berlassen m chte zu installieren TYPO3 WordPress und Joomla werden mit den Rechten von Apache bzw des IIS unter Windows installiert und betrieben und ben tigen f r den Betrieb keine Root Rechte Drupal und Plone werden bei der Installation mit einem eigenen User ohne Root Rechte installiert Dieser muss ggf vorkonfiguriert sein Die Systeme werden dann mit den jeweiligen Benutzerrechten des eigenen Users betrieben Als PHP basierte Systeme erfordern und benutzen TYPO3 WordPress Joomla und Drupal keinen Paket manager oder ein Build System F r Plone ist mit buildout ein Skript und Recipe gesteuertes Buildsystem verf gbar Die Systeme TYPO3 WordPress Joomla und Drupal bestehen aus PHP Skripten und liefern bei der Installation keine weiteren Bibliotheken mit Sie verwenden die auf dem Server vorher zu installierenden Komponenten wie Webserver Datenbank und PHP f r deren Installation und Aktualisierung der Server betreiber verantwortlich ist Plone wird f r die Standardinstallation mit dem Unified Installer ausgeliefert der alle ben tigten Komponenten wie Python und das Zope 2 Framework enth lt Es werden auch hier keine zus tzlichen Bibliotheken installiert 4 3 1 2 Komplexit t Die Anzahl der manuellen Arbeitsschritte bei I
30. Seite s 11 ways to create a mobile friendly w ordpress site Nicenames http codex wordpress org Using Permal Permalinks konfigurierbar benutzt URL rewriting inks mod_rewrite Personalisierung http codex wordpress org Theme Devel Themes k nnen entwickelt installiert werden opment Plugins k nnen entwickelt installiert werden http codex wordpress org Writing a Pl ugin Bundesamt f r Sicherheit in der Informationstechnik 116 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung http codex wordpress org Plugin API Kontext Sensitivi Es scheint kein Standardverfahren f r t t Kontextsensitive Inhalte zu geben Es konnten keine Informationen hierzu gefunden werden Sprachvarianten Inter Testinstallation UTF 8 in MySQL konfigurierbar Zeichensatz nationalisierung l sst sich in WordPress Einstellungen um nach Best Practices stellen realisiert Sichere Daten Ablage von Zu Testinstallation phpass in Datenbanktabelle ablage gangsdaten R cksicherungen http codex wordpress ors WordPress B F r WordPress Site und WordPress Database konzeptionell ackups Optionen f r automatisches Backup vorbereitet Vertraulichkeit http codex wordpress org Database Des Benutzer und Vorgangsdaten liegen in und Integrit t von cription MySQL Datenbank Besonders vertrauliche Benutzerdaten Daten k nnen nicht mit WordPress selbst ge
31. Service Transition Bewertungskriterien Beschreibung Erl uterung Bewertung Se Wachi kriterium ng Root Access auf System Sind Root Rechte erforderlich mittel nein Transparenz der Abh ngigkeiten Gibt es Hilfsmittel build System wie j mittel Vor maven oder Paketmanager oder CMS nein bedingungen Komponente die ersichtlich machen Anforderungen welche Pakete die Installation tats chlich nutzt Bibliotheken integriert die m glicherweise Werden eigene Bibliotheken mitgeliefert mittel Konflikte ausl sen obwohl diese in der Umgebung bereits nein vorhanden sein m ssten Anzahl manuelle Vor Nacharbeitenbei Wie viele sicherheitsrelevante Schritte unter 5 Schritte ja hoch siao Konfiguration und Installation m ssen zur Konfiguration des Systems 5 10 Schritte Deployment bei Erstinstallation durchlaufen werden 11 15 Schritte Verwendung von automatisiertes Update Paketverwaltungen wie dpkg msi oder j mittel durch Paketverwaltung rpm erm glichen eine fehlerver nein meidende Installation und De installation in dem sie spezifizierte Ab Komplexit t h ngigkeiten pr fen und definierte Installationsabl ufe umsetzen sichere Default Installation Werden bereits sichere Standardwerte ja mittel gesetzt nein Hinweis auf sicherheitsrelevante Ein Gibt es verst ndliche Hinweiseinden ja mittel stellungen an Ort und Stelle Konfigurationsdateien selbst nein bernah
32. Verwendung von Erweiterungen ist nat rlich nicht immer ganz risikofrei da man hiermit bei schlecht programmierten Erweiterungen Sicherheitsl cken und im ung nstigsten Fall auch vors tzlich ein gebrachter Schadcode der unter Umst nden weitgehende Rechte auf dem Server besitzt auf dem System installiert Deshalb ist unbedingt darauf zu achten dass die verwendeten Erweiterungen aus vertrauens w rdigen Quellen stammen und man im Zweifel sich genau ber die gew nschte Erweiterung bspw auf den entsprechenden Foren des Systems informiert Erweiterungen von TYPO3 werden im Backend mit Hilfe des Extension Managers administriert Dieser listet alle m glichen Erweiterungen auf Mittels ein und ausklicken werden diese aktiviert bzw deaktiviert Die Extensions werden ber die TYPO3 Extension API eingebunden wobei drei Haupttypen n mlich Plugins Module und Services verf gbar sind Ein Plugin kann bspw ein Shop System sein Ein Modul ist eine Funktionserweiterung f r das Backend und Services stellen neue Funktionen ber eine eigene API sowohl f r das Frontend als auch f r das Backend zur Verf gung Die WordPress Plugin API kann Erweiterungen ber zwei Typen von Hooks einbinden Actions werden durch bestimmte Ereignisse bei der Action API ausgel st wie bspw die Ver ffentlichung eines Textes und Filter kontrollieren den Datenfluss zwischen Datenbank und Browser also die Generierung der Seiten durch WordPress bzw umge
33. Vorgangsdaten Schutzniveau zu sch tzbar konfigurieren Systemdaten von Sind die Daten zum Betrieb des ja mittel fachlichen Daten Systems von den fachlich nein separiert relevanten Daten trennbar so dass der technische Betrieb keine fachlichen Daten sehen muss Suchmaschine Reife der Such Wird eine Standard Such ja maschine maschine verwendet nein Inhaltsverwaltung redaktioneller Ist ein mehrstufiger Freigabe ja mittel Workflow prozess definierbar nein Bundesamt f r Sicherheit in der Informationstechnik 41 2 Einf hrung in Content Management Systeme CMS Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung AUSSCHUSS MACHE kriterium ng Versionierung von Sind die Versionen eines ja mittel Inhalten Artikels und die get tigten nein nderungen im Nachhinein feststellbar Wiederverwendung Kann Content ohne ja gering von Content zur Duplizierung an verschiedenen nein Reduktion der Stellen in verschiedenen Komplexit t Kontexten der Website ver wendet werden Preview verf gbar Gibt es eine korrekte Preview ja mittel nein Authentifizierung Registrierung Wie sicher ist der 0 Keine konzeptionellen Schwach ja hoch Registrierungsprozess stellen z B User Enumeration sichtbar Anmeldung Wie sicher ist der An 0 Keine konzeptionellen Schwach ja hoch meldungsprozess stellen z B User Enumeration sichtbar Brute Force Schutz
34. Website zur Um setzung der Open Government Gesch ftsprozesse mitarbeitet Die Absicherung der Website f r den Schutzbedarf hoch umfasst wie oben beschreiben die H rtung der gesamten Infrastruktur Zus tzlich m ssen hier unabh ngig vom CMS ggf Zertifikate f r eine starke Authentisierung von Benutzern gepflegt und die darauf aufbauende Autorisierung integriert werden Grunds tzlich m ssen alle zus tzlich zu installierenden Erweiterungen auf ihre Reife hin gepr ft und ihre Einbindung ggf in einer Risiko betrachtung abgewogen werden 97 Completely Automated Public Turing test to tell Computers and Humans Apart 92 Bundesamt f r Sicherheit in der Informationstechnik Zusammenfassung der Studie 5 Wie im Szenario 2 erscheint Drupal als ein geeignetes System da es eine F lle an vorgefertigten Er weiterungen f r dieses Szenario mitbringt und sicherheitstechnisch gereift ist Aber auch Joomla und TYPO3 bringen f r Community und Social Networking Prozesse eine Vielzahl an Erweiterungen mit die nicht selbst entwickelt werden m ssen In diesem Falle unter Ber cksichtigung des hohen Schutzbedarfs w re es eine gute Option das Sicherheitsmanagement der Joomla bzw TYPO3 Infrastruktur komplett aus zulagern Auch Plone mit seiner vergleichsweise geringeren Anzahl von bekannten Sicherheitsl cken er scheint als passend F r Plone ist die Basis vorhandener Community Add Ons schw cher hier muss funktional bewertet werden wel
35. be hoben wurde 0 Es ist ersichtlich was ge ndert wird Es ist ersichtlich welche Bugs es gibt und wie die Bearbeitung der Buss fortschreitet hoch 51 vgl Definition vom Dienstleister im Stichwortverzeichnis 36 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung A USSC MUSS MACHEL kriterium ng Dokumentation der Sicherheitsanforderungen und Die klare Spezifikation der An ja gering ziele Einsatzszenarien Annahmen Einschr nkungenforderungen f r die das CMS nein konzipiert wurde l sst sich mit den Anforderungen des Dienstanbieters vergleichen Beschreibung aller Sicherheitsmechanismen auf Die klare Spezifikation der ja hoch Architektur Design und Implementierungsebene L sung erm glicht das externe nein Review Design Review nachweislich L sst sich ein Nachweis finden ja hoch dass entsprechende Reviews nein regelm ig oder berhaupt stattfinden Code Review nachweislich L sst sich ein Nachweis finden ja hoch Pr fung Test dass entsprechende Reviews nein Verification regelm ig oder berhaupt stattfinden Sicherheitstests nachweislich L sst sich ein Nachweis finden ja hoch dass Sicherheitstests regel nein m fsig oder berhaupt statt finden Software S
36. ber einen lokalen Socket oder ber TCP standardm ig auf Port 3306 wie bereits bei Drupal beschrieben 2 2 5 4 Funktionalit ten Die Benutzeroberfl che ist f r ber 40 Sprachen internationalisiert und bringt ber Erweiterungen schon viele Web2 0 Elemente mit sich die in einer neuen Website nicht neu implementiert werden m ssen FAKT Es gibt bei TYPO3 mehrere komfortable Editoren und einen zweistufigen Redaktionsworkflow im Kernsystem Administratoren k nnen mehrere Domains und mehrere Sites verwalten Der Administrator kann f r Preproduktionssysteme eine Sandbox einrichten d h einen Bereich auf der Website in dem neue Templates erprobt werden deren Fehlfunktion die brige Website nicht beeinflusst Die Zugriffsverwaltung ist gruppen und rollenbasiert Die Versionierung erlaubt f r den Redakteur eine unbegrenzte Undo History F r einen Benutzer ist die Login Historie zu erkennen d h seine erfolgreichen und erfolglosen Anmelde versuche einschlie lich der zugeh rigen IP Adressen 47 Foren Chat Kalender Umfrage Subscriptions User Contributed Content Wiki etc 26 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 2 2 5 5 Besonderheiten TYPO3 hat seit 2008 eine etwas unklare Release Politik durchlebt Die technische Struktur der Komponenten ihre Kommunikationsbeziehungen und ihre gegenseitigen Absicherungsm glichkeiten stehen im Vordergrund wo m
37. bzw Editoren als Apps f r IOS Android BlackBerry Windows Phone Nokia und f r HP WebOS Lizensierung Open Source unter GPLv2 Tabelle 2 3 WordPress Spezifikations bersicht 2 2 3 1 Systemarchitektur WordPress basiert auf der LAMP Architektur Wie in Abbildung 2 4 dargestellt bilden das Auslieferungs system und der Content Server ein System WordPress setzt keinerlei Hochverf gbarkeits oder Cachingkonzepte um Stattdessen wird ein schlankes System zur Verf gung gestellt das sich auf die Kern aufgabe d h die Realisierung eines Blogsystems konzentriert Gro e WordPress Websites verwenden eine Schicht aus Lastverteilern z B auf Basis von pound und wackamole eine weitere Schicht mit den WordPress Auslieferungs Contentsystemen die im Cluster arbeiten und eine dritte Schicht mit mehreren MySQL Servern im Master Slave Modus als Datenhaltung Alternativ existieren jedoch auch Plugins die das Caching innerhalb der WordPress Auslieferungssysteme realisieren FAKT Die konsequente Reduktion des Systems WordPress auf wesentliche Blogging Funktionalit t ist das herausragende Merkmal gegen ber allen anderen hier betrachteten Systemen Zu den Best Practices von WordPress Websites geh rt es zustandslos zu arbeiten d h jeder der Aus lieferungsserver im Cluster kann jeden eingehenden Request bearbeiten weil er die Vorgeschichte der letzten Requests des Benutzers nicht kennen muss Deshalb ist keine Session Replikati
38. den Development News von Typo3 Dort wird regelm ig ver ffentlicht welche Features etc gerade geplant werden Dokumentation der Sicherheitsanforderungen und ziele Einsatzszenarien Annahmen Einschr nkungen http typo3 orgs documentation docum ent library core documentation doc_co re inside 4 2 0 view 2 10 Beschreibung aller Sicherheitsmechanismen auf Archi tektur Design und Implementierungsebene Keine vollst ndige Beschreibung verf gbar Pr fung Test Verifikation Design Review nachweislich Keine Informationen hierzu verf gbar Code Review nachweislich http tvpo3 org teams security extensi on security policy Unter bestimmten Bedingungen erforderlich f r Extensions Sicherheitstests nachweislich http docs typo3 org typo3cms Securit Guide GeneralGuidelines StagingServers Index html Mit Hilfe eines Stage Servers sind Sicherheitstest m glich jedoch nicht in erster Linie daf r vor gesehen Softwareentwicklung Construction Sichere Archi tektur Modularisierung Trennung der Modularisierung Trennung der http docs typo3 org typo3cms InsideT vpo3Reference CoreArchitecture CoreM Typo3 benutzt das LAMP bzw WAMP Prinzip Linux Windows Apache MySQL PHP Die Bundesamt f r Sicherheit in der Informationstechnik 100 Anhang Ergebnistabelle TYPO3 CMS 6 0 TY
39. eingebunden sein Die G ste sollen sich im G ste buch eintragen k nnen Anschlie end soll es einzelnen G sten m glich sein private Fotos hochzuladen Da sich niemand die M he machen m chte Benutzerkennungen f r die G ste zu vergeben gibt es Kommentare im G stebuch nur von anonymen Benutzern Der Ausrichter m chte trotzdem verhindern dass automatisierte Internet Bots dort unpassende Eintragungen vornehmen Der Dienstanbieter verf gt gerade ber so viel technische Erfahrung um eine Installation der CMS Komponenten durchzuf hren F r ihn ist wichtig dass die Website zu einem bestimmten Termin funktionsf hig und w hrend des Events verf gbar ist Zudem soll sie anschlie end f r einige Wochen on line sein Die Architektur des Gesamtsystems ist f r den Dienstanbieter unwichtig Die Site ist f r weniger als zehn parallele Nutzer konzipiert 2 4 2 Szenario 2 B rgerb ro einer kleinen Gemeinde Das Szenario 2 beschreibt Websites f r kleine kommunale oder mittelst ndische Dienstanbieter mit geringen finanziellen Ressourcen zur redaktionellen und technischen Umsetzung der geforderten Website Die Pflege und der Betrieb der CMS Komponenten liegt in Personalunion bei einem Mitarbeiter F r die Pflege der Inhalte steht eine halbe Stelle zur Verf gung Die Website umfasst dabei ca 50 100 Seiten Die Bearbeitung erfolgt ber einen Editor der Fokus liegt hier mehr auf der nderung bestehender Seiten und dem gelegent
40. entbinden den Dienstanbieter jedoch nicht von seinen eigentlichen Pflichten von einer professionellen Installation professionellem Systemmanagement und wiederkehrenden externen Sicherheitschecks Sie k nnen die Sicherheit etwas erh hen sind aber kein Ersatz f r die t glichen 15 Minuten umsichtigen Handelns des Administrators 100 http www enisa europa eu activities cert support proactive detection proactive detection of security inci dents II honeypots at_download fullReport 96 Bundesamt f r Sicherheit in der Informationstechnik Anhang Fakten bersicht Anhang Fakten bersicht Nr Fakt 1 Lastenverteilung wird bei allen PHPH basierte CMS ber externe Mittel realisiert 2 WS Security wird von keinem der CMS unterst tzt 3 Die Erstellung einer Website mit Drupal erfordert die Einarbeitung in die Basistechnologien was ber rein konfigurative oder administrative T tigkeiten deutlich hinausgeht 4 Es gibt bei Drupal prinzipiell ein Recht ausf hrbaren Code oder Javascript einzubetten 5 Drupal erm glicht ber drush die Verwaltung mehrerer Websites auf sichere Art und Weise SSH Tunnel 6 Die Kommunikation der php basierten Systeme zur mysql Datenbank erfolgt nach dem Stand der Technik 7 Die Lastverteilung funktioniert bei Plone ber den Zope Applikationsserver 8 Die Komponenten des Plone CMS kommunizieren ber entfernte Prozeduraufrufe die ber SSH
41. getunnelt werden k nnen 9 Die Administration der Plone Site kann ber einen dedizierten Client speziell abgesichert werden 10 Plone verwendet eine eigene objektorientierte Datenbank 11 Die konsequente Reduktion des Systems WordPress auf wesentliche Blogging Funktionalit t ist das herausragende Merkmal gegen ber allen anderen hier betrachteten Systemen 12 Joomla verf gt ber eine Administrationsoberfl che die auch f r unge bte Benutzer verst ndlich und nutzbar ist 13 Im Unterschied zu WordPress ist Joomla f r Erweiterbarkeit konzipiert was man an den bereits im Kern vorgesehenen Komponententypen erkennen kann 14 Die Installation der Core Features hinsichtlich ihrer Funktionalit t ergibt bei Joomla eine voll nutzbare per CMS verwaltete Website 15 Es gibt bei TYPO3 mehrere komfortable Editoren und einen zweistufigen Redaktionsworkflow im Kernsystem 16 Die traditionelle TYPO3 Linie wird jetzt als CMS 6 weiterentwickelt w hrend das next generation CMS TYPO3 Neos von Grund auf neu entwickelt wird 17 Die Anteile der Code Execution Schwachstellen die schwerwiegendsten Fehler sind bei Joomla und TYPO3 recht hoch 18 Anhand der Auswertung der Daten zeigt sich klar dass ein Gro teil der Schwachstellen in den Er weiterungen der CMS zu finden sind Bundesamt f r Sicherheit in der Informationstechnik 97 Anhang Empfehlungs bersicht Anhang Empfehlungs bersicht Nr Empfehlung 1 Dien
42. glich wird auch die interne Softwarearchitektur untersucht FAKT Die traditionelle TYPO3 Linie wird jetzt als CMS 6 weiterentwickelt w hrend das _ next_ generation CMS TYPO3 Neos von Grund auf neu entwickelt wird Es gibt in etwa 30 Core Entwickler wobei die Entwicklergemeinde vorwiegend in Deutschland beheimatet ist In Deutschland gibt es auch sehr viele kleine Firmen die TYPO3 Support anbieten Die Erzeugung von Templates erfordert einen Entwickler mit TypoScript Kenntnissen Diese Sprache wird von PHP interpretiert so dass im Betrieb von TYPO3 Systemen eine h here Grundlast und h herer Speicherbedarf entsteht Der Speicherbedarf entspricht in etwa dem von typischen JEE Anwendungen 2 3 Aufstellung der Bewertungskriterien 2 3 1 berblick Die Auswahl die Integration und der permanente Betrieb des Content Management Systems l sst sich an hand der ITIL Phasen Service Design Service Transition und Service Operation strukturieren Alle drei Phasen enthalten Steuerungselemente die f r die sichere Verwendung der CMS von Bedeutung sind Um ein Beispiel zu geben Ein kleines Unternehmen wird ein CMS nur dann sicher verwenden k nnen wenn nicht nur dessen Systemarchitektur geeignet ist die Infrastruktur geh rtet ist und die Softwarequalit t des CMS herausragend sondern wenn auch der Mechanismus zum Updaten des laufenden Systems so klar intuitiv und fehlertolerant umgesetzt ist dass der Administrator vor
43. kann auch erlaubt werden dass der Benutzer selbst einen Block wiederum nicht anzeigt Dadurch ergibt sich ein hoch flexibles aber auch schwer testbares Framework 2 2 1 5 Besonderheiten Die Drupal Community kann als eine der derzeit aktivsten Open Source Communities bezeichnet werden Das Drupal Projekt legt sehr viel Wert auf sichere Codierung Es gibt ein Peer Review Patchbasierte Ent wicklung mit Mehr Augen Prinzip und ein dezidiertes Security Team mit definiertem Workflow Reporting Support und Disclosure Policy Die Anforderungen an die Administration der Site sind verglichen mit WordPress oder Joomla deutlich h her Das Konfigurationsmanagement ist anspruchsvoll 20 vgl Code Standards http drupal org coding standards und http drupal org writing secure code 21 http drupal org security team 16 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 2 2 2 Plone Spezifikation Plone 4 2 1 Betriebssystem Windows Unix Linux BSD OSX Eingesetzte Programmiersprache Python 2 6 oder h her Webserver Applikationscontainer Zope Datenhaltung Datenbank Zope Object Database ZODB Zugriff auf SQL DBs ber Database Adapter m glich Redaktions Client Alle g ngigen Browser die CSS unterst tzen Lizensierung Open Source unter GPLv2 Tabelle 2 2 Plone Spezifikations bersicht 2 2 2 1 Systemarchitektur Im Unterschied zu den
44. keine Informationen hierzu auf findbar Anwenderdokumentation Lieferung von Guidelines Tutorials Plone Benutzerhandbuch z B http www hasecke com plone benutz erhandbuch 4 0 index html und http plone org documentation manu al plone 4 user manual Manuals zu Installation Design Ent wicklung sowie Sicherheit andbuecher sowie http plone org products plone securi ty overview Qualit t Zielgruppenorientierung http www plone de dokumentation h Z B End Users Administrators Developers Bundesamt f r Sicherheit in der Informationstechnik 156 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung http plone org documentation manu al Navigation und Suche z B Mehrere Dokumentationen vorhanden http www hasecke com plone benutz erhandbuch 4 0 index html http plone org documentation manu al plone 4 user manual Anwendungsgebiete sinnvoll unterteilt Jede Seite jeder Arbeitsschritt einzeln adressierbar Mehrsprachigkeit http www plone de dokumentation Manches in deutsch aber nichts Sicher heitsrelevantes Aktualit t http www plone de dokumentation h Meist Stand Oktober 2012 Plone 4 2 andbuecher aktuelles Feature Release Vollst ndigkeit Beschreibungaller http hasecke com plone benutzerhan Hardening Plone in der Knowledge Base Sicherheits dbuch 4 0 Use Case nicht alle
45. l cken in die eigene Installation aufzunehmen und damit das ganze System anf llig zu machen Die Aktualisierung bzw Erweiterung des WordPress Systems erfolgt teilweise per Browser und teilweise per Kommandozeile Das System informiert den Administrator dass Sicherheitspatches vorliegen die ein gespielt werden m ssen Der Update Prozess erfordert einige wenige Backup und Konfigurationsschritte die klar strukturiert sind jedoch einen v llig unbedarften Administrator leicht berfordern Dies steht im Widerspruch dazu dass das System mit einer sehr einfachen f nfmin tigen Erst Installation wirbt 2 2 3 2 Protokolle Kommunikation und Datenfl sse Alle administrativen und redaktionellen T tigkeiten zwischen Redaktions Client und Content Server erfolgen per Web Browser ber http bzw https Die Kommunikation zwischen WordPress und MySQL erfolgt ber einen lokalen Socket oder ber TCP standardm ig auf Port 3306 wie bereits bei Drupal beschrieben 2 2 3 3 Funktionalit ten Standardm ig unterst tzt WordPress Funktionalit ten die f r das Schreiben von Blogs notwendig sind Im Bereich Template Engine gibt es deshalb kaum Abstriche gegen ber ausgereiften CMS Auch TinyMCE ein guter Editor der bereits Preview und Drag and Drop Funktionen enth lt geh rt zum Kern des Systems Gleichfalls wird standardm ig das Plugin Akismet installiert welches vor SPAM sch tzt 34 Open Source HTML WYSIWYG Editor von Moxiecod
46. von Funktionen Erweiterungen und Ausbaustufen Grundlage f r die hier getroffenen Aussagen sind Installationen der Szenarien im Labor d h ausgehend von den bisherigen Untersuchungsergebnissen dokumentiert dieses Kapitel Auswahl berlegungen die sich auf die Anwendungsszenarien im Kapitel 2 4 beziehen Hierbei werden auch einige f r das jeweilige Szenario zu erwartende Bedrohungen sowie Sicherheitsma nahmen bzw Funktionen der CMS betrachtet Grunds tzlich gilt dass alle Systeme mit mehr oder weniger Zusatzaufwand f r die unten stehenden Szenarien nutzbar sind 88 Bundesamt f r Sicherheit in der Informationstechnik Zusammenfassung der Studie 5 5 2 1 Szenario 1 Private Event Site Die ffentliche zeitweise verf gbare Website ist das einfachste beschriebene Szenario welches die untere Grenze an Anforderungen darstellt f r die noch ein CMS als technische L sung in Betracht kommt Dennoch darf die Privatsph re der beteiligten Personen nicht au er Acht gelassen werden Funktionen zur Sicherstellung von Vertraulichkeit und Integrit t sind notwendig gerade weil sie f r den unbedarften Anwender eine untergeordnete Rolle spielen und weil nicht davon auszugehen ist dass M he und Zeit in die Absicherung der Website investiert werden Ein Minimum an Ma nahmen ist notwendig damit Be drohungen wie beispielsweise e die Platzierung von Schadfunktionen auf dem Server zur Beobachtung berwachung der Besucher oder zur Verbreit
47. wordpress org Function Ref Built in wp_nonce_field Funktion und ver waltung erence wp_nonce field schiedene Plugins verf gbar http wordpress org extend plugins bull etproof security Secure und 0 http codex wordpress org WordPress C Secure Flag eingebaut Cookie Funktion kann HttpOnly Flag bei ookies von Plugins ersetzt werden Cookies Bundesamt f r Sicherheit in der Informationstechnik 118 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung Service Transition Installation Deployment Vorbedingungen Root Access auf System http codex wordpress org Installing Wo Root Rechte unn tig wenn LAMP Stack schon Anforderungen rdPress Famous 5 Minute Install auf einem Server vorkonfiguriert ist Transparenz der Abh ngigkeiten http codex wordpress org Installing Wo Standalone Applikation in PHP erfordert kein gibt es ein Build System wie maven o rdPress Build System Bibliotheken integriert die m g Testinstallation Es werden keine zus tzlichen Bibliotheken licherweise Konflikte ausl sen mitgeliefert oder vorhandene ver ndert Komplexit t Anzahl manueller Vor Nacharbeiten http codex wordpress org Installing Wo Manuelles Bearbeiten des wp_config php Files bei Konfiguration und Installation rdPress Datenbankanbindung eintragen Verwendung von Automatisiertes
48. zu erkennen vgl Tabelle 3 14 Feststellbar ist das XSS basierte Schwachstellen statistisch zu genommen haben und Execute Code und SQL Injection Schwachstellen Meldungen abnehmen Tabelle 3 14 Joomla Schwachstellenmeldungen Bei der Verteilung von Schwachstellen zeigt sich vergleichbar zu Drupal und WordPress dass die Kern Komponenten des Systems weit weniger Schwachstellen aufweisen als die Module von Drittanbietern vgl Abbildung 3 4 70 http developer joomla org security html 71 http www cvedetails com vendor 3496 Joomla html 72 http web nvd nist gov Meldungen f r Joomla Anzahl in 2010 2011 2012 cvedetails com 10 16 25 nvd nist gov 52 22 35 portal cert dfn de 60 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 13 37 E Basis Installation E Erweiterungen Modules und Components 86 63 Abbildung 3 4 Joomla Schwachstellen Basis Installation und Er weiterungen Die Schwere der Schwachstellen ber CVE Details generell f r den Joomla Kern und alle Module wird f r den Zeitraum 2010 2012 ber den CVSS Score wie in Tabelle 3 15 dargestellt eingestuft CVSS Anzahlder Schwach Anteile Score stellen 0 1 0 0 00 1 2 0 0 00 2 3 0 0 00 3 4 1 2 00 4 5 19 37 30 5 6 16 31 40 6 7 1 2 00 7 8 14 27 50 8 9 0 0 00 9 10 0 0 00 Total 51 Gewichtetes Mittel CVSS Score
49. 10 WordPress Schwachstellenmeldungen ber CVE Details sind 2012 allein 13 XSS basierte Schwachstellen gekennzeichnet Die Schweregrade der Schwachstellen im Zeitraum 2010 2012 werden im Durchschnitt auf den Wert 6 1 und damit medium eingestuft vgl Tabelle 3 11 66 http www heise de security meldung Kritische Luecken in Plone und Zope 1740907 html 67 https wordpress org news category security Meldungen f r WordPress Anzahl in 2010 2011 2012 cvedetails com 2 12 31 nvd nist gov 6 33 73 portal cert dfn de 3 11 5 58 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 CVSS Anzahl der Anteile Score Schwachstellen 0 1 0 00 1 2 0 00 2 3 4 8 70 3 4 2 4 30 4 5 13 28 30 5 6 13 28 30 6 7 5 10 90 7 8 4 8 70 8 9 0 00 9 10 5 10 90 Total 46 Gewichtetes Mittel CVSS Score 6 1 Tabelle 3 11 WordPress CVSS Score 19 88 E Basis Installation E Erweiterungen Themes und Plugins 80 12 Der Verteilung der gemeldeten Schwachstellen von der NVD auf die Basis Installation und Erweiterungen f r alle WordPress Versionen im Zeitraum 2010 2012 wurde in der Abbildung 3 3 dargestellt Eine Analyse der Schwachstellen Meldungen der secunia com zeigt f r WordPress in allen 3 X er Versionen zwei ungepatchte Schwachstellen vom Hersteller vgl Tabelle 3 12 Dabei handelt es sich um eine CSRF Schwachstelle und um
50. 6 2 Tabelle 3 15 Joomla CVSS Score Damit liegt Joomla nach NVD bei der Ber cksichtigung aller Module im Durchschnitt bei der Bewertung medium Laut Secunia sind alle Schwachstellen f r Joomla 3 durch einen Patch des Herstellers beseitigt worden Die Statistik ist hier zu vernachl ssigen weil lediglich eine Schwachstelle betrachtet wurde Auff llig und wichtig zur Bedrohungslage ist bei Joomla dass unabh ngig von der Version und dem Zeitraum bei ExploitDatabase ber 800 Eintr ge zu Joomla und deren Modulen gelistet werden wobei hier erneut Module von Drittanbietern die gr te Angriffsfl che bieten Auch bei der Ende 2012 erschienenen Meldung bei heise Security dass durch Joomla verwaltete Websites zur Verbreitung von Malware genutzt werden k nnten war ein Zusatzmodule JCE Editor Ursache der Schwachstelle 73 http www heise de security meldung Joomla Seiten als Malware Schleudern missbraucht 1766717 html Bundesamt f r Sicherheit in der Informationstechnik 61 3 Aktuelle Bedrohungslage 3 2 5 TYPO3 Das TYPO3 Security Team erstellt Security Announcements F r den Zeitraum 2010 2012 ist feststellbar dass die Schwachstellen im Kernbereich von TYPO3 gegen ber der gelisteten Schwachstellen in Er weiterungsmodulen lediglich rund ein Drittel betragen vgl Tabelle 3 16 Security Advisories Anzahlin 2010 2011 2012 TYPO3 Core 6 4 5 TYPO3 Extensions 16 18 13
51. Announcements Auch hier ist die Ver teilung hnlich wie bei WordPress Drupal und Joomla vgl Abbildung 3 5 13 75 E Basis Installation E Erweiterungen 86 25 Abbildung 3 5 TYPO3 Schwachstellen Basis Installation und Erweiterungen Weiterhin ist mit Hilfe von secunia eine Auswertung f r TYPO3 in den Versionen 4 X m glich welche ge meldeten Schwachstellen im Zeitraum 2003 2012 behoben wurden F r alle Schwachstellen wird laut dieser Statistik ein Patch angeboten vgl Tabelle 3 19 Bundesamt f r Sicherheit in der Informationstechnik 63 3 Aktuelle Bedrohungslage Schwachstellen f r 23 Schwachstellen WordTYPO3 4 X im Zeit raum 2003 2012 Unpatched 0 00 Vendor Patch 100 00 Vendor Workaround 0 00 Partial Fix 0 00 Tabelle 3 19 TYPO3 Schwachstellen ber ExpoitsDatabase lassen sich momentan ca neun Exploits anzeigen f r die aktuelle 4er Version allerdings nur zwei Exploits 3 2 6 Basis Technologien Die betrachteten CMS sind in unterschiedlichen Programmiersprachen entwickelt Die Sprachen werden in komplexen Anwendungsentwicklungsumgebungen ausgeliefert zu denen umfangreiche Bibliotheken mitgeliefert werden Einige der darin gefundenen Schwachstellen k nnen unter Umst nden ber das CMS ausgenutzt werden vgl Tabelle 3 20 Entwicklung von Schwach 2010 2011 2012 stellen Basis Technologien PHP 35 35 22 Python 7 3 7 Java JRE 54 57 45
52. Drupal konnte dieses Kriterium nicht gepr ft werden Eine Verschl sselung der fachlichen Logs ist in TYPO3 nicht m glich da sie zusammen mit den technischen Logs in einer gemeinsamen Datenbanktabelle abgelegt werden F r Drupal gibt es eine Erweiterung mit der Datenbankeintr ge verschl sselt werden k nnen falls fachliche Logs m glich sind s o und in der Daten bank abgelegt werden erf llt Drupal dieses Kriterium WordPress unterst tzt keine fachlichen Logs f r Joomla und Plone konnte das Kriterium nicht gepr ft werden Ob eine R cksicherung von Informationen aus der Archivierung Klartext offenbaren w rde konnte im Rahmen dieser Studie nicht gepr ft werden 4 4 3 4 Einbindung in Systemmanagement Laufzeitinformationen extrahierbar In den Dokumentationen der untersuchten CMS wurden keine Hinweise zur Abfrage von Laufzeit informationen durch ein Systemmanagement Werkzeug gefunden Einbindung in Systemmanagement Steuerung per Skript TYPO3 erlaubt eine Steuerung per Skript und stellt hierf r eine eigene Skriptsprache TypoScript zur Ver f gung Auch die Systeme Drupal bietet eine Skriptsprache auf der Basis von Lisp und Plone k nnen ber Skripte in ihren Grundfunktionen Start Stop Neuladen der Konfiguration gesteuert werden F r WordPress und Joomla standen keine Informationen zur Einbindung in ein Systemmanagement per Skript zur Verf gung Einbindung in Systemmanagement Steuerung per API Eine Steuerung
53. Es ist positiv zu erw hnen dass die Informationen zu auftretenden Schwachstellen bei allen Open Source Systemen transparent und nachvollziehbar sind Bundesamt f r Sicherheit in der Informationstechnik 69 4 Sicherheitsuntersuchung 4 Sicherheitsuntersuchung 4 1 Vorgehen In dieser Phase der Untersuchung werden die sicherheitsrelevanten Aspekte der ausgew hlten Content Management Systeme nach den in Kapitel 2 3 aufgestellten Kriterien bewertet Dazu wurden f r die Open Source CMS die ffentlich zug nglichen Informationen wie die System dokumentation Tutorials und Guidelines aber auch Eintr ge in Foren oder Communities ausgewertet Im Rahmen dieser Studie waren die zur Verf gung stehenden Ressourcen begrenzt sie soll eine erste Ein sch tzung der zu erwartenden Sicherheit beim Einsatz der betrachteten CMS erm glichen Daher konnten nicht alle Kriterien f r alle Systeme mit gleicher Gr ndlichkeit untersucht werden Wenn eine Information in den verf gbaren Quellen nicht binnen 15 Minuten auffindbar war wurde die Auswertung f r das jeweilige CMS an dieser Stelle abgebrochen und dies in den Ergebnissen vermerkt Die Tatsache dass eine Information nicht leicht zu finden ist gibt einem potenziellen Anwender eines Systems aber auch schon einen Hinweis Eine bersicht der detaillierten Untersuchungsergebnisse f r jedes untersuchte System findet sich im An hang vgl ab Seite 99 ff Hier finden sich auch sofern verf gb
54. FR Bundesamt IS f r Sicherheit in der Informationstechnik Sicherheitsstudie Content Management Systeme CMS Version 1 0 Autoren Christian Breitenstrom Clemens Micklisch Dr Ma gorzata Moch l von der init Aktiengesellschaft f r digitale Kommunikation K penicker Stra e 9 10997 Berlin J rgen Baum Clemens Pfl ger Jan Steffan vom Fraunhofer Institut f r Sichere Informationstechnologie SIT Standort Schloss Birlinghoven 53754 Sankt Augustin Bundesamt f r Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel 49 22899 9582 0 E Mail bsi bsi bund de Internet https www bsi bund de Bundesamt f r Sicherheit in der Informationstechnik 2013 Inhaltsverzeichnis Inhaltsverzeichnis 1 Da E T 7 1 1 MOTY Un 6 1 re A E TE A E A EA E E E IR 7 1 2 U atorsu hungi eeens ad ee ee E 8 1 3 Unters chungssmetnodik sn een enter 9 1 4 Aufbau der Studie unusnssssssessesssessensseneensenneeseenssenenneennenneenennenneennsnnennennnennneneennennennnennnenesnnenneennsnnennessenneennenensnnenennenenn 10 1 5 NO OT ee 10 2 3 Aufstellung der Bewertungskriterien uuasssssssesesssessensseneensenssuneeneennenneensensenneennennenneensenneensensenneessnneeneenenneenensenee 27 2 3 1 perb keesaan ee 27 2 32 saa aA OS ee AE N EE ea 30 2 3 3 SAAE IE IST A a a E S ee EA A AA A ee 44 2 3 4 SETVICE ODEIALON een E E A ne Nee 47 2 4 Typische Anwendunssszenarien usssssesseesesssessenseen
55. Gesch ftsprozesses entsprechend abgesichert werden Sicherheitsmaf nahmen bzw Funktionalit ten des CMS f r dieses Szenario sind beispielsweise e die einfache und sichere Handhabung von Passw rtern z B durch Hinweise auf die Passwortsicherheit inklusive der sicheren Registrierung und der Wiederherstellung von vergessenen Passw rtern e Ma nahmen zur Vermeidung von automatisierten Aktivit ten auf der Website CAPTCHA e eine einfache und sichere Administration die keine allgemein bekannten Standard Accounts und Passw rter zul sst e ein gut definiertes Update Management so dass insbesondere Sicherheitspatches zeitnah eingespielt werden e die M glichkeit vorgefertigte Erweiterungen f r Community Websites Umfragen Bewertungen Newsletter User Generated Content zu installieren und ggf anzupassen e der Betrieb sowohl des Front als auch des Backends mittels HTTPS Protokolls zur Sicherstellung der notwendigen Transportverschl sselung e eine sichere Anbindung der verwendeten Datenbank die nicht auf dem gleichen Server betrieben und separat gesch tzt verschl sselt wird e die sichere Anbindung der Gesch ftsprozesse ber Web Services bspw durch WS Security sowie e die M glichkeit einen Verzeichnisserver zur sicheren Nutzerverwaltung anzubinden auch hier muss ggf eine Transportverschl sselung m glich sein Das Szenario impliziert dass bereits ein kleines Team an Konzeption und Betrieb der
56. ITIL Service Transition Abbildung 2 9 Kriterien berblick Service Design Pr fung Test Wie aus Abbildung 2 9 ersichtlich sind f r die Verifikation der Umsetzung der Sicherheitsanforderungen zahlreiche Tests automatisierte und manuelle Quellcodereviews Schwachstellentests notwendig die jeweils individuell durchgef hrt werden m ssen 32 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 tt Governance _ H Priifung Taste a aa aa aa asa aa a ia a sa sa asa asa asa aa Verification D OSERE AONE OERA Ir A CAE _ AuslieferungsServer 7 Content Repository Editor Reife der verwendeten Programmiersprachen j i r Basistechnologie Feten cna E Integrationsf higkeit i Datenbanken 7 wi Ki SOLA CODN LOE MH POAT S E E S A IMMER EE BSE AEEA OA A C MEGA E N OS CES OEA O DL IN S E N A BEN BL DE l _ Clusterf higkeit i L _ Skalierbarkeit des Systems Multisite F higkeit Bewertungskriterium Rollen und Rechtekonzept ITIL Service Operation ML Service IT Tr Anpassbarkeit FSoftwareentwicklung HOME DEREN RER O O 6 E S M Construction Sprachvarianten sichere Datenablage Umsetzung von nf S cherheitsanforderungen I ITIL Service L A Security Requirements Transition Suchmaschine 9 mehrstufiger workflow Inhaltsverwaltung Authentifizierung
57. Informationen hierzu auffindbar vollst ndig 0 Testinstallation Keine Zuordnung von Aktionen zu Sitzungen nur zu Accounts Loglevel konfigurierbar Keine Informationen hierzu auffindbar Vertraulichkeit Fachliche Logs von Testinstallation Nur ber Filter bei der Anzeige technischen Logs trennbar Verschl sselung der Testinstallation sys_log Tabelle in Datenbank speichert alle fachlichen Logs mit Bordmitteln m g Aktionen im Typo3 Backend Technische Ad ministratoren k nnen diese einsehen lich R cksicherung http typo3 org extensions repositor Der Link zeigt eine bliche Extension f r voll offenbart keinen view w4x backup st ndige Typo3 Backups In der Dokumentation Klartext ist nicht von einer Verschl sselung zu lesen Bundesamt f r Sicherheit in der Informationstechnik 110 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Einbindung in Laufzeitinformationen extrahierbar Es wurden keine Informationen hierzu ge System funden aa eeN Steuerung per Skript Keine Skriptf higkeit keine Hinweise gefunden Steuerung per API http typo3 org api typo3cms class t y Die API Klasse Bootstrap php hat Public po311cm s11 core1 1 core1 1 Member Functions BaseSetup und Shutdown _bootstrap html 111 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordP
58. Mechanismen mechanismen mit Annahmen und http plone org documentation kb se Einschr nkungen curing plone http plone orgs documentation topic Installation Beschreibung aller sicherheits relevanten Ein stellungen http hasecke com plone benutzerhan dbuch 4 0 http www plone entwicklerhandbuch de plone entwicklerhandbuch Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung http developer plone ors security ind ex html http plone ors documentation kb se curing plone Beschreibung ver http hasecke com plone benutzerhan Beschriebene Szenarien SSO mit AD schiedener dbuch 4 0 robuste Plone Zope Installation Szenarien z B ex Installation unter Ubuntu Debian Mac OS terner ID Provider http plone ors documentation kb se X Windows etc curing plone http plone org documentation topic Installation Service Operation Marktdurchdringung Internetpr senz Moderierte Foren mit Fokus Security http plone org support forums Bei plone com kein Forum speziell f r Anzahl IT Sicherheit gefunden http stackoverflow com questions ta gged plone Bei stackoverflow keine Message tagged mit plone und security Akteure mit Fokus Security Anzahl http plone org foundation about tea Jeder Entwickler wird ber Fehler in m SecurityIeam seinem Bereic
59. PHP Systemen l uft Plone in einem Applikationsserver Zope und weist deshalb die Vorz ge der Lastverteilung auf Anwendungsebene auf Im Unterschied zur Absicherung der Website durch systemnahe Dienste z B Cluster aus Linux Servern kann ein Benutzer seinen pers nlichen Vorgang selbst dann fortsetzen wenn der Zope Server auf dem er gerade gearbeitet hat ausf llt Dies ist nat rlich auch f r alle Websites mit hohen Lastanforderungen interessant Zope Enterprise Objects ZEO ist der empfohlene Weg um den aufw ndigen Rendering Prozess auf endlich viele Clients zu verteilen Alle Clients die ber einen Loadbalancer zu einem Browser zugeordnet werden m ssen verbinden sich an einen ZEO Storage Server Bei den ZEO Clients handelt es sich intern auch um vollwertige Zope Applikationsserver FAKT Die Lastverteilung funktioniert bei Plone ber den Zope Applikationsserver F r die Absicherung des ZEO Storage Servers k nnen Mechanismen und Komponenten aus dem Linux HA Projekt verwendet werden Es gibt zudem einige kommerzielle Angebote von IT Dienstleistern dazu 2 2 2 2 Komponenten Die zentralen funktionalen Aspekte des Content Management Frameworks CMF sind die Inhalts und Nutzerverwaltung die Zugriffssteuerung die Template Engine die Suchmaschine ebenso wie der Redaktionsworkflow und die Unterst tzung verschiedener Content Types Mit der Installation des Kerns ist deshalb schon eine voll funktionsf hige Website vorhanden
60. PO3 CMS 6 0 Kriterium Wert Quelle Anmerkung logischen logischen odules FunctionsModule Index html einzelnen Module k nnen bei Bedarf mit Funktionen Funktionen gleichwertiger Software ersetzt werden Die http www flagbit de typo3 cms typo3 Funktionen sind entsprechend logisch auf die enterprise cms ueber typo3 cms html Module aufgeteilt Trennung in Ver 0 http formidable typo3 ug reference co F r Entwicklungszwecke gibt es ein Sandboxing schiedene Sicher ntrol sandbox html d h das Ausprobieren einer neuen un heitsniveaus m g sicheren Funktion Dies ist allerdings kein lich Sandbox probates Mittel f r den Produktivbetrieb um verschiedene Schutzbedarfe abzubilden Basistechnologie Verwendung Testversion Bei einer Standardinstallation werden keine zu sicherer Biblio s tzlichen Bibliotheken zur verwendeten theken PhP Version installiert Ausrichtung an http wiki typo3 org TYPO3 4 7 HTML HTML 5 relevanten 5 frontend rendering Accessability insbes Government Package Standards Integrations Web Services 0 http typo3 org extension manuals t Webservices werden ber Extension in Typo3 f higkeit o3 webservice 0 3 8 view 1 1 realisiert Payment http typo3 org extensions repository Payment M glichkeiten werden ber Extensions id 23 amp L 0 amp qg payment in Typo3 realisiert Authentifizierung http www ti informatik uni tuebingen OpenID Autorisierung de borchert Troja studdiplfiles
61. SCO 8 esse Nina sein 61 Tabelle 3 16 TYPO3 Security Advisoties n nn eek 62 Tabelle 3 17 TYPO3 Schwachstellenmeldungen u 00000000000000000B0020eneeneeneeneennennennennnenenneeneeneeneeneensennensenseeneeneeneeneenne 62 Tabelle 3 18 TYPOS CVSS Score ke een rennen 63 Tabelle 3 19 TYPO3 Schw achstellen sun sense ee 64 Tabelle 3 20 Entwicklung der Schwachstellen in verwendeten Basistechnologien uunusseee 64 Tabelle 3 21 Entwicklung von Schwachstellen Datenbank Systemen uunusssessnsnseeesenneneneenenenne 65 Tabelle 3 22 Durchschnittswerte aller CMS bzgl der genannten Schwachstellentypen eee 66 Bundesamt f r Sicherheit in der Informationstechnik 5 Inhaltsverzeichnis Tabelle 3 23 Schwachstellen in den Erweiterungen und Basis Installation een 67 Tabelle 3 24 Behandlung der Schwachstellen 22 222 2 ei 68 68 Tabelle 3 25 Schweregrad der Schwachstellen Bundesamt f r Sicherheit in der Informationstechnik Einleitung 1 1 Einleitung 1 1 Motivation Unter einem Content Management System CMS wird im Allgemeinen ein System verstanden das die Verwaltung die Darstellung und die Nutzung aufbereiteter Informationen z B Texte Bilder Grafiken er leichtert Da es sehr unterschiedliche Anwendungsszenarien f r die Verwaltung Darstellung und Nutzung von auf bereiteten Informationen gibt haben sich im Laufe der Zeit verschiedene Kategorien von CMS entwickelt die d
62. Sandbox Basistechnologie Verwendung Bei einer Standardinstallation werden keine sicherer Biblio zus tzlichen Bibliotheken zur verwendeten theken PhP Version installiert Ausrichtung an http drupal ors project xhtml Unterst tzung kann mit Modulen nach relevanten ger stet werden Der Link zeigt ein Modul f r Standards xhtml als Beispiel Integrationsf hig Web Services http drupal org project soapclient Bundesamt f r Sicherheit in der Informationstechnik 136 Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung keit Payment 0 http drupal org project payment Ein Payment Modul ist verf gbar Authentifizierung 0 http drupal org project simple Ida Alle Protokolle stehen als Extension zur Ver Autorisierung f gung OAuth LDAP sowie OpenID http drupal org project oauth2 http drupal org project openid Skalierbarkeit des Nutzung von http drupal org project boost Systems Caching Mechanismen http www cmsmatrix org matrix cms m atrix Verteilbarkeit http alphanodes de hish performance d kritischer rupal infrastrutur Komponenten zur Erh hung Per formance Ver f gbarkeit Auswahl und Reife der Erweiterungs http api drupal orgs api drupal Die Trennung der APIs nach Erweiterungs mechanismen aspekten war im Rahmen der Studie nicht pr fbar Umsetzung von Rollen und Vererbung vo
63. Sicherheitsproblemen gut auffindbar und diese Projekte betreiben ein ffentliches Bug Tracking System so dass Anwender den Fortgang der Behebung von Fehlern in der Software verfolgen k nnen W hrend der Behebung von Sicherheitsl cken w rde ein Bug Tracking System allerdings auch Angreifern Informationen ber offene Schwachstellen liefern Daher bietet keines der betrachteten CMS eine direkte Suchm glichkeit f r sicherheitsrelevante Fehler die noch nicht behoben wurden im Bug Tracking System an Weitere Details hierzu wie bspw Adressen sind in den Tabellen zum jeweiligen CMS im Anhang ab Seite 99 zu finden Sicherheitsrelevante Informationen Advisories sind bei allen betrachteten Open Source Systemen leicht auffindbar und meist gut strukturiert Auch hier sei auf die Tabellen im Anhang ab Seite 99 verwiesen Den Prozess zum Umgang mit Sicherheitsl cken machen die Open Source Projekte mit Ausnahme von Joomla ffentlich 4 2 1 4 Sicherer Entwicklungsprozess Schlecht strukturierter schwer wartbarer oder missverst ndlicher Quelltext ist eine potenzielle Fehlerquelle und Ursache f r Sicherheitsl cken Bei Open Source Projekten mit h ufig wechselnden nicht hauptamt lichen Entwicklern ist deshalb Sorgfalt besonders wichtig F r alle betrachteten Open Source CMS konnten ffentliche Richtlinien und Qualit tskriterien f r Quell texte gefunden werden Auch die Kommentierung der Quelltexte ist ausf hrlich und f r mit dem Projekt ve
64. Ver erbung Definition von Gruppen http docs typo3 org typo3cms Gettin Started Tutorial UserManagement Grou ps Index html Rollen basierter Zugriff http docs typo3 org typo3cms Gettin Started Tutorial UserManagement Backe Bundesamt f r Sicherheit in der Informationstechnik 102 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung ndUsers Index html Attribut basierter http docs typo3 org typo3cms Getting Kein ABAC m glich Zugriff StartedTutorial UserManagement Grou s Index html Granularit t der http docs typo3 org typo3cms Gettin Zugriffssteuerung StartedTutorial UserManagement Grou s Index html Anpassbarkeit Unterst tzung z B Nicht out of the box aber auf verschiedene mobiler Endger te http t3n de magazin einfachen mittel Weise realisierbar n mobilen website typo3 iphone optim F r Backend geplant ieren 224743 http typo3 org news article typo3 60 back to the future Nicenames http wiki typo3 org lis7 ber Extensions realisierbar URL rewriting Personalisierung http www typo3extensions org index p ber Extensions f r Mail realisierbar hp title directmail personalization Kontext Sensitivit t Franz Ripfel Irene H ppner Melanie Unter anderem kontextsensitive Hilfen und Meyer Das TYPO3 Profihandbuch Der Men s Leitfaden f r Entwickler und Ad ministratoren zu Version 4 3
65. Version installiert Ausrichtung an Testinstallation Die genannten Punkte k nnen alle mit JA relevanten beantwortet werden Einige davon sind jedoch Standards vom Template abh ngig Beispiel Entwicklerl gestaltet sein Layout mit jQuery Entwickler2 gestaltet sein Layout mit Mootools Integrations Web Services 0 http wordpress org extend plugins wor Plugins verf gbar Bundesamt f r Sicherheit in der Informationstechnik 114 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung f higkeit dpress web service http wordpress ors extend plugins soa Payment http wordpress org extend plugins sear Realisiert ber Plugins PayPal und ch php q payment Invoice Plugins Authentifizierung http wordpress org extend plugins ope OpenID OAuth sowie LDAP Autorisierung nid http wordpress org extend plugins oau th provider http wordpress orsg extend plugins sim le Idap login Skalierbarkeit des Nutzung von http codex wordpress ors WordPress O Systems Caching ptimization Caching Mechanismen Verteilbarkeit http codex wordpress org WordPress O Verteilbarkeit nicht direkt m glich Per kritischer ptimization Gaching formance Optimierung m glich mit ver Komponenten zur schiedenen Caching Plugins und Ein Erh hung Per stellungen formance Ver f gbarkeit Auswahl und Reife der Erweiterungs mechanismen http
66. abelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung nicht sicher ableiten welche anderen Module Plugins ben tigt werden und welche Inkompatibilit ten es dabei gibt Bibliotheken integriert die m glicher Testinstallation Es werden keine zus tzlichen Bibliotheken weise Konflikte ausl sen mitgeliefert oder vorhandene ver ndert Komplexit t Anzahl manueller Vor Nacharbeiten http www itworld com security 157395 Die Grundinstallation core gilt als sicher bei Konfiguration und Installation joomla or drupal which cms handles sec urity best page 0 2 Aber der Zugriff auf die Settings Datei sollte eingeschr nkt und der User 1 entfernt werden Verwendung von Standards Automatisiertes Update durch Paketverwaltung http www ehow com how 7387345 upd ate drupal modules html Kann mit cron jobs automatisiert werden Sichere Default Installation http www itworld com security 157395 joomla or drupal which cms handles sec urity best page 0 2 Au er Entfernen von user 1 s o Hinweis auf sicherheitsrelevante Ein stellungen an Ort und Stelle Testinstallation bernahme sicherheitsrelevanter Einstellungen bei Updates http drupal ors node 1223018 siehe UPGRADE txt If you made modifications to files like htaccess or robots txt you will need to re apply them from your backup after the new files are in place Anwenderdokumentation
67. ach neuen Credentials mit anderen Ereignissen im System z B dem Hochfahren des CMS korrelieren Dann w re es m glich dass nur unter bestimmten Be dingungen ein neues Credential angefordert werden kann Die H rde f r einen Angreifer der bereits den Server bernommen hat w rde h her werden Im Bereich der Autorisierung setzt sich XACML als Standard immer mehr durch Der Ansatz ist es infra struktur bergreifend Zugriffsrechte zu spezifizieren welche durch die einzelnen Komponenten umgesetzt werden Es w re w nschenswert auch Content Management Systeme an eine solche zentrale Autorisierung ankn pfen zu k nnen Die Trennung der Informationsablagen nach Schutzbedarf ist ein w nschenswertes Feature Es ist ein immer wiederkehrendes Problem dass Administratoren mit root Rechten alle fachlichen Daten sehen k nnen Die L sung dieses Problems besteht darin die Komponenten nur noch in Ausnahmef llen mit Auditierung als root zu administrieren Dies funktioniert jedoch nur wenn die Software das Management mit einem Administratorenkonto ohne root Rechte erm glicht Die Trennung in unterschiedlichen Schutzbedarf erm glicht es auch sehr gut technische Logs von fachlichen zu trennen Die Dokumentation sicherheitsrelevanter Einstellungen an Ort und Stelle ist bei Plone und WordPress gut und bei TYPO3 verbesserungsw rdig 5 2 Szenario basierte Handlungsempfehlungen Alle betrachteten CMS bieten dem Anwender eine F lle
68. achen Fall wird es einem Angreifer durch fehlende Access Control Mechanismen m glich sich h here Rechte zu erschleichen Verallgemeinert bedeutet es dass Systeme zu selten mehrschichtige Sicherheitssysteme umsetzen Systemgrenzen k nnten viel mehr dazu genutzt werden sich sicherheitstechnisch gegeneinander abzugrenzen Angreifer haben es dann deutlich schwerer von einem System zum n chsten zu kommen Dies wird auch mittelfristig noch ein Thema bleiben 5 3 2 Standards f r die sichere Konfiguration Da die sichere Konfiguration f r den sicheren Betrieb derart wichtig ist und bei jeglichen komplexen Systemen offensichtlich immer fehleranf llig ist hat das NIST unter Einbindung der Community eine Reihe von Spezifikationen mit dem Ziel erarbeitet die Konfiguration eines Systems beschreibbar und pr fbar zu machen Das Security Content Automation Protocol das momentan in Version 1 2 vorliegt enth lt das Extensible Configuration Checklist Description Format XCCDF die Open Vulnerability and Assessment Language OVAL und die Open Checklist Interactive Language OCIL Eine Reihe von bekannten Produkten k nnen darauf basierend automatisiert Konfigurationen testen Die Spezifikationen sind so auf einander abgestimmt dass die vom NIST verwendete Nomenklatura f r Schwachstellen und Risiken ver wendet werden Das zentrale Repository beherbergt die bestehenden Konfigurationsbeschreibungen F r den Apache Webserver
69. allation roles und groups werden synonym ver Zugriff wendet Attribut basierter Ein attributsbasierter Zugriff ist nicht Zugriff dokumentiert Granularit t der http docs joomla org Access Control List Zugriffssteuerung 2 5 Tutorial Default Groups Anpassbarkeit Unterst tzung http www joomla org 3 en mobile r3ady mobiler Endger te Nicenames Testinstallation SEF SEO URLs URL rewriting Personalisierung Es konnten keine Informationen dar ber ge funden werden Bundesamt f r Sicherheit in der Informationstechnik 126 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Kontext Sensitivi Es konnten keine Informationen dar ber ge t t funden werden Sprachvarianten Inter http www joomla org core features html Demo Templates werden als UTF8 ausgeliefert nationalisierung nach Best Practices realisiert Sichere Daten ablage Ablage von Zu Testinstallation Benutzt MD5 Hash mit Salt in Datenbank gangsdaten tabelle laut aktueller Liste der Bundesnetz agentur nicht geeignet R cksicherungen Datenbankablage Wiederherstellung einzelner konzeptionell Inhaltsbereiche sind nicht dokumentiert vorbereitet Vertraulichkeit http docs joomla org Database structure Gemeinsame Datenbank und Integrit t von Benutzerdaten http www torkiljohnsen com wp content bzw Vorgangs daten sch tzbar
70. als z B Drupal Da Python als Programmiersprache im Serverumfeld sehr verbreitet ist gilt die Sprache als beraus reif Eine der grundlegenden Pr missen von Python no surprise wirkt sich f r den Dienstleister im Betrieb sehr positiv aus Plone ist vergleichbar wartungsarm Das System wirbt damit den besten Track Record von Schwachstellen CVSS zu haben was im Kapitel 3 2 2 genauer untersucht wird Es gibt L sungsanbieter berall auf der Welt 2 2 3 WordPress WordPress wurde als personal publishing system als Nachfolger von b2 cafelog entwickelt Urspr nglich als Werkzeug zur Erstellung von Web Blogs gedacht lassen sich durch die hohe Anpassbarkeit auch CMS Funktionalit ten abbilden und einsetzen 27 Beispiele Testen von Websites http twill idyll org Testen von Netzwerken http www secdev org projects scapy 28 http zodb org 29 Selbst bei Nutzung der Anbindung an relationale Datenbanken liegen die Daten als objektrelationale Ab bildung vor und sind damit nicht gut auswertbar 30 http en wikipedia org wiki CVSS Bundesamt f r Sicherheit in der Informationstechnik 19 2 Einf hrung in Content Management Systeme CMS Spezifikation WordPress 3 4 2 Betriebssystem Windows Unix Linux Eingesetzte Programmiersprache PHP 5 4 2 oder h her Webserver Applikationscontainer Apache oder Nginx wird empfohlen Datenhaltung Datenbank MySQL 5 0 oder h her Redaktions Client Browser
71. ar entsprechende Links f r weiterf hrende Informationen zum jeweiligen System und Kriterium Einige Funktionalit ten bzw Kriterien konnten im Rahmen dieser Studie nicht nachgewiesen bzw gepr ft werden vgl oben Diese sind durch np not proved gekennzeichnet Andere Funktionalit ten konnten in angemessener Zeit s o 15 Minuten Fest legung in den Quellen nicht gefunden werden sind aber m glicherweise doch f r das jeweilige System verf gbar Diese wurden durch nf not found gekennzeichnet Vor einer Entscheidung f r ein bestimmtes System sollten alle Informationen anhand der hier gegebenen Kriterien ausgewertet werden und ggf durch eigene Kriterien und Gewichtungen erg nzt werden Dieses Kapitel beschreibt f r jede der in Kapitel 2 3 zusammengestellten Phasen Design Transition und Operation die Ergebnisse der Funktions und Sicherheitsuntersuchung Dabei werden f r jedes Kriterium die Einzelergebnisse genannt es wird evtl auf Besonderheiten einzelner CMS hingewiesen und f r die jeweilige Kriteriengruppe zusammengefasst 4 2 Service Design 4 2 1 Gesch ftsf hrung Governance 4 2 1 1 Lizenzierung Ausprobierbarkeit Da bei allen untersuchten Open Source Systemen die Software kostenlos zur Verf gung steht steht hier immer die M glichkeit einer eigenen Testinstallation offen TYPO3 und Joomla bieten hierf r spezielle Pakete an mit denen mit wenig Aufwand eine lauff hige Instanz mit Beispielinhalten aufges
72. arstellung der Durchschnittswerte aller CMS bzgl der genannten Schwachstellentypen Als Ergebnis kann festgestellt werden dass XSS Code Execution und SQL Injection die drei h ufigsten Schwachstellen darstellen 66 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 3 3 2 Verteilung der Schwachstellen zwischen Basis Installation und Erweiterung FAKT Anhand der Auswertung der Daten zeigt sich klar dass ein Gro teil der Schwachstellen in den Erweiterungen der CMS zu finden sind Drupal Plone WordPress Joomla TYPO3 Basis Installatio 4 17 70 00 19 88 13 37 13 75 n Erweiterungen 95 83 30 00 80 12 86 63 86 25 Tabelle 3 23 Schwachstellen in den Erweiterungen und Basis Installation 100 90 80 70 60 50 40 30 20 10 0 aut Drupal Plone WordPress Joomla TYPO3 E Erweiterungen m Basis Installation Abbildung 3 8 Graphische Darstellung der Schwachstellen in den Erweiterungen und Basis Installation Bei Plone waren die wenigen gefundenen Schwachstellen in Erweiterungsmodulen die Teil der Basis installation sind deshalb ergibt sich die im Vergleich zu den anderen Systemen inverse Darstellung Die Studie der IBM X Force 2012 Mid year Trend and Risk Report kommt zu einem vergleichbaren Ergebnis das Verh ltnis der Anzahl von Schwachstellen in Kern Komponenten zur Anzahl der Schwachstellen in Erweiterungen betr gt dort eins zu f nf
73. assung erw hnte XSS Schwachstelle wird in der Liste der behobenen Fehler nicht genannt e Joomla liefert im Release Announcement eine Liste der behobenen Fehler und der neuen Features zu sammen mit der Angabe der betroffenen Releases und einer Upgrade Empfehlung Die Detail informationen zu Security Issues enthalten die CVE Number und eine allgemeine Beschreibung der Sicherheitsl cke die Angaben zu anderen Issues geben eine detaillierte Beschreibung des Problems und der vorgenommenen nderungen e Die Information zu einem Drupal Patch ein Security Advisory beschreibt die durch den Patch be hobenen L cken einschlie lich des zugeh rigen CVE Identifiers nennt die betroffenen Drupal Versionen und gibt falls n tig weitere Hinweise zur Sicherheit an e Plone nennt in seinen Security Advisories die betroffenen Plone Versionen nennt die behobenen Schwachstellen und stellt unter einem separaten Link auch die notwendigen Patches und Hotfixes zur Verf gung Von den CMS f r die diese Kriterien gepr ft werden konnten liefert lediglich Plone eher d rftige Informationen zu den Security Patches 4 4 3 Betrieb 4 4 3 1 Logging Revisionsf higkeit Der f r eine Revisionsf higkeit erforderliche Schutz der Integrit t der Logeintr ge durch Zeitstempel und Signatur ist bei allen Systemen nicht gegeben Der Schutz der Integrit t der Logeintr ge kann aber meist durch den Einsatz eines Logservers erreicht werden Die ebenfalls f r Revi
74. at ebenfalls eine sehr lebhafte Community die viele Erweiterungen erstellt Es ist sehr einfach zu installieren und hat eine sehr an sprechende Benutzeroberfl che so dass auch unge bte Benutzer gut mit der CMS Funktionalit t klar kommen k nnen FAKT Joomla verf gt ber eine Administrationsoberfl che die auch f r unge bte Benutzer verst nd lich und nutzbar ist 36 vgl Content Syndication 37 vgl Search Engine Optimization SEO 38 http wordpress org about requirements 39 http www suphp org 22 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Spezifikation Joomla 3 02 Betriebssystem Windows Unix Linux Eingesetzte Programmiersprache PHP 5 3 1 empfohlen Webserver Applikationscontainer Apache 2 x mit mod_mysql mod_xml and mod _zlib Nginx 1 1 Microsoft IIS 7 Datenhaltung Datenbank MySQL 5 1 mit PDO PostgreSQL 8 3 18 oder h her mit PDO Microsoft SQL Server 10 50 1600 1 Redaktions Client Alle g ngigen Browser die CSS unterst tzen Lizensierung Open Source unter GPLv2 oder sp ter Tabelle 2 4 Joomla Spezifikations bersicht 2 2 4 1 Systemarchitektur hnlich wie bei WordPress ist der Content Server nicht vom Auslieferungssystem getrennt vgl Abbildung 2 5 wodurch die Joomla Instanz zum Single Point of Failure wird Dar ber hinaus ergeben sich hnlich wie bei WordPress Skalierungsproble
75. ationstechnik 87 5 Zusammenfassung der Studie Um 1 besser pr fen zu k nnen w re es hilfreich wenn die Open Source Projekte die periodisch durch gef hrten Schwachstellentests standardisieren und ver ffentlichen w rden Und um ber 1 bessere Ge wissheit zu haben w re es f rderlich wenn die Open Source Projekte regelm ig automatisch statische Quellcode Analysen insbesondere ber die Erweiterungsmodule durchf hren und die offenen Punkte als Info ver ffentlichen w rden So w ren die Entscheidungen ber die Verwendung von Erweiterungs modulen noch leichter zu treffen Die Struktur und der Informationsgehalt bei der Ver ffentlichung von Schwachstellen sind bei Drupal TYPO3 Joomla feed und Plone musterhaft w hrend sie bei WordPress noch verbessert werden k nnen Keines der Systeme stellt Webservice Schnittstellen bereit die nach WS Security abgesichert sind Dies mag an mangelndem Bedarf oder an zu gro em Aufwand liegen Es w re w nschenswert im Sinne einer defense in depth die Kommunikation zwischen CMS und SOA Diensten Ende zu Ende absichern zu k nnen WS Security ist im Bereich Java oder Net ein gut unterst tzter Standard Des Weiteren w re im Sinne einer defense in depth zu begr en wenn die exponierten CMS ihre Credentials zum Zugriff auf Datenbanken nicht lokal abspeichern sondern ggf periodisch von einem Dienst beziehen w rden Dann k nnte man ber das Systemmanagement die Anfrage n
76. au Als Plugins verf gbar OpenID OAuth Autorisierung th LDAP sowie Kerberos WebServerAuth http www plone entwicklerhandbuch de plone entwicklerhandbuch authent ifizierung lda roducts by categor http plone or auth Weitere durch Projekte 149 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung http www plone de ueber plone plon e broschure als pdf datei Skalierbarkeit des Nutzung von 0 http www imn htwk leipzig de mfra Systems Caching nk lehre osem 10 MSchmeisser MVog Mechanismen el doku_caching pdf http www plone de ueber plone plon e broschure als pdf datei Verteilbarkeit vgl Kapitel 2 2 2 1 kritischer Komponenten zur Erh hung Per formance Verf g barkeit Auswahl und Reife der Erweiterungs 0 http developer plone org getstarted ind Erweiterungen ber Python Packages mechanismen ex html id5 https i python or 1 3Aaction search amp term plone amp submit search http developer plone org getstarted aste html http ploneapi readthedocs org en 1 0 O rc 1 Umsetzung von Rollen und Vererbung von Es konnten keine Informationen dazu ge Sicherheitsan Rechtekonzept Rechten funden werden Bundesamt f r Sicherheit in der Informationstechnik 150 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Krite
77. ausgegangen werden dass die personenbezogenen Daten auf keinen Fall unverschl sselt in der Datenbank des CMS abgelegt werden d rfen Die Daten sollten in eine besonders ge sicherte Datenbank eines Fremdsystems berf hrt werden die dem Anspruch des hohen bzw sehr hohen Schutzbedarfs gen gt Die damit verbundene Vorgehensweise und entsprechende Maf nahmen f r das Fremdsystem werden an dieser Stelle nicht weiter betrachtet jedoch muss beachtet werden dass die ggf am Front End des CMS eingegebenen oder auch angezeigten personenbezogenen Daten dem Schutzbedarf entsprechend abgesichert werden Sicherheitsmaf nahmen bzw Funktionalit ten des CMS f r dieses Szenario sind dann beispielsweise e die einfache und sichere Handhabung von Passw rtern z B durch Hinweise auf die Passwortsicherheit inklusive der sicheren Registrierung der Wiederherstellung von vergessenen Passw rtern e Ma nahmen zur Vermeidung von automatisierten Aktivit ten auf der Website CAPTCHA e eine einfache und sichere Administration die keine allgemein bekannten Standard Accounts und Passw rter zul sst e ein weitgehend automatisiertes Update Management so dass insbesondere Sicherheitspatches auto matisiert durch den daf r vorgesehenen Mitarbeiter der Kommune eingespielt werden Das Szenario beschreibt dass es genau eine Person gibt die die Pflege der Website einschlie lich des Patchmanagements bernimmt e die M glichkeit vorgefertigte Erweiteru
78. brauch genutzt werden Anmeldung 0 Testinstallation Eine kurze Pr fung auf Sicherheitsl cken im Anmeldevorgang hat nichts Auff lliges ergeben Es waren keine Schwachstellen erkennbar Brute Force Schutz https www dongit nl tech modsecurit Im Typo3 Kern ist kein Schutz gegen Passwort y brute force protection Brute Force Angriffe gegen Benutzer Pass w rter vorgesehen Einen rudiment ren Schutz verspricht Einsatz der Erweiterung fail2ban oder des Apachemoduls mod_security Passwort vergessen Testinstallation Die Dokumentation hierzu ist mangelhaft Eine 105 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung http www t3node com blog enhanced weitergehende Pr fung war nicht m glich password recovery for frontend users in typo3 43 Captcha http typo3 org extensions repositor Verschiedene Extensions view captcha http tvpo3 org extensions repositor view sr freecap http typo3 org extensions repositor view spamshield Sitzungsver CSRF Schutz 0 http buzz typo3 org teams security art Schutz durch Token das bei jeder Anfrage mit waltung icle typo3 45 will be the most secure t gesendet wird Secure und 0 http typo3 org extension manuals doc Option f r secure flag cookieSecure HttpOnly Flag bei guide security 1 0 1 view 1 7 1d12040 Cookies 49
79. ce Projekte nachweislich einen Sicher heitsprozess implementiert haben Die Software hat Produktcharakter mit einem ver ffentlichten Release plan einem transparenten Bugtracker etc Die Umsetzung eines Sicherheitsprozesses entspricht dem Stand der Technik den selbst viele unter Zeitdruck erstellte kommerzielle Softwarepakete nicht erreichen Die resultierende Software ist gemessen an ihrer Funktionalit t und der daraus resultierenden Komplexit t eine gute Wahl f r einen Dienstanbieter Der konfigurative Aufwand beim Installieren eines CMS ist ungleich h her als bei einer spezialisierten Webapplikation Dies ergibt sich aus den vielen verschiedenen Anwendungsf llen und Rahmen bedingungen in denen das CMS lauff hig sein soll Diese Konfiguration beeinflusst ma geblich die effektive Sicherheit der Website Keines der betrachteten Systeme kann jedoch as is unbeobachtet oder durch den unbedarften Anwender betrieben werden Mehr noch als spezialisierte Webapplikationen unterliegen Content Management Systeme dem permanenten Wettstreit zwischen Exploit Entwicklern und Security Teams Anzahl und Frequenz der ver ffentlichten Schwachstellen erfordern bei den betrachteten CMS ein gesch tztes Zeit budget von t glich ca 15 min pro Website um verf gbare Patches zu erkennen Datensicherungen vorzu nehmen und Patches einzupflegen Diese Sch tzung geht davon aus dass t gliche Datensicherungen bereits Teil des Systemmanagements sind Soba
80. che Features tats chlich ben tigt werden und wie viel Aufwand diese Er g nzungen kosten Keines der betrachteten Systeme bietet jedoch eine Ende zu Ende gesicherte Anbindung an die im Szenario beschriebene SOA Landschaft Dies muss architektonisch anders gel st werden Eine Weiterentwicklung der bestehenden Webservice Erweiterungen um WS Security w re eine begr ens werte Alternative 5 2 4 Szenario 4 Mittelst ndisches Unternehmen mit mehreren Standorten Im letzten Szenario verf gt der Dienstanbieter ber ausreichend IT Personal um selbst ein professionelles Systemmanagement durchzuf hren Das Szenario dass im Kapitel 2 4 4 beschrieben wurde konzentriert sich insbesondere auf Merkmale wie e Mandantenf higkeit f r den Betrieb mehrerer Sites e einen ausgefeilten Redaktionsworkflow der an die Prozesse des Unternehmens anpassbar sein muss e die M glichkeit einen Web Shop sowie die daf r notwendigen Erweiterungen wie Payment zu be treiben e die punktuelle skalierbare Architektur f r gro e Benutzerzahlen sowie e die Anbindung von Diensten einer SOA Vertraulichkeit und Integrit t ist auch in diesem Szenario sehr wichtig da Kundendaten verarbeitet werden und insbesondere durch die Verbindung zu dem vermutlich attraktiven Web Shop einschlie lich des Be zahlsystems mit Angriffen zu rechnen ist ber die Website werden gesch ftskritische Prozesse angesto en bzw abgewickelt die bis in die zentralen Systeme der Fi
81. chreibung des Prozesses zur Be 0 http codex wordpress org Security FAQ Es gibt Hinweise zum Melden von Security arbeitung von Sicherheitsproblemen Issues jedoch keine Beschreibung wie das Security Team damit verf hrt gt schlechte Transparenz Sicherer Ent wicklungsprozess Einheitliche Qualit tskriterien http codex wordpress ors WordPress C odings Standards Coding Guidelines Aussagekr ftige und durchg ngige http core svn wordpress org trunk Kommentierung im Quelltext Strukturelle Mittel zur Durchsetzung http codex wordpress org How does co Patches werden vom Developer Team an der Qualit tskriterien de make it into WordPress genommen oder abgewiesen http codex wordpress ors Reporting Bu 85 Transparenz des Entwicklungs http core trac wordpress or prozesses Dokumentation der Sicherheitsanforderungen und ziele http codex wordpress org Hardening W Allgemeine Sicherheitsdokumentation Einsatzszenarien Annahmen Einschr nkungen ordPress Beschreibung aller Sicherheitsmechanismen auf Archi Hierzu konnten leider im angemessenen Zeit tektur Design und Implementierungsebene rahmen keine Dokumentationen gefunden werden Pr fung Test Verifikation Design Review nachweislich http codex wordpress org How does co Die Haupt Entwickler von WordPress haben de make it into WordPress als Einzige die M glichkeit Code in das Pr
82. chteten CMS haben eine ausreichende Installationsbasis und widmen einen Teil der Ressourcen den Sicherheitsaspekten f r Joomla und Drupal k nnen die Anwender auf spezielle Sicherheitsforen zur ckgreifen 4 4 2 Behandlung von nderungen Security Patches 4 4 2 1 Security Patches Die Zeit bis zum Erscheinen eines Security Patch gerechnet von der Meldung einer Schwachstelle konnten wir nicht ermitteln da diese Daten i d R nicht ver ffentlicht werden Einige Aussagen von Mitgliedern aus 82 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 Security Teams geben an dass eine Behebung von L cken innerhalb einer Woche angestrebt wird einzelne Stichproben in den Foren belegen aber dass es manchmal auch l nger dauern kann Weitere Details und Links hierzu finden sich in den Tabellen im Anhang ab Seite 99 unter dem Kriterium Behandlung von nderungen Die Begleitinformationen zu Security Patches sind unterschiedlich detailliert e Die Releases von TYPO3 haben jeweils einen Changelog eine Beschreibung von nderungen und Ver besserungen sowie Hinweise zur Kompatibilit t mit fr heren Versionen e F r die Versionen von WordPress sind eine Liste der ge nderten Dateien ein detaillierter Changelog eine Zusammenfassung der nderungen sowie eine bersicht der durch die Version behobenen Fehlermeldungen verf gbar Allerdings sind die Informationen nicht immer vollst ndig Eine in der Zu sammenf
83. codex wordpress org Plusin API http codex wordpress org Writing a _Pl ugin Erweiterungen sind durch Plugins realisiert die von dritten Parteien entwickelt werden Die Pflegequalit t der Plugins ist dabei sehr unter schiedlich Die Trennung der APIs nach Er 115 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung weiterungsaspekten war im Rahmen der Studie nicht pr fbar Umsetzung von Rollen und Vererbung von http codex wordpress org Roles and Ca Anzahl der Gruppen ist jedoch beschr nkt auf Sicherheitsan Rechtekonzept Rechten pabilities Abonnent Administrator Autor Mitarbeiter forderungen Redakteur Definition von http codex wordpress org Roles and Ca Pre defined Roles Gruppen pabilities Rollen basierter http codex wordpress org Roles and Ca Zugriff pabilities Attribut basierter http codex wordpress org Roles and Ca Zugriffsrechte nur ber Rollen definierbar Zugriff pabilities Granularit t der Inhaltsbereiche lassen sich nicht built in mit Zugriffssteuerung Rollen versehen Anpassbarkeit Unterst tzung http codex wordpress org Theme Devel Eigene Themes k nnen responsive gestaltet mobiler Endger te opment und umgesetzt werden Es gibt au erdem Plugins f r das korrekte Ge http www wpbesinner com wp tutorial stalten einer mobilen Version der
84. d cookie cookieHttpOnly lockSSL 0 Backend auch ber http statt nur https Alle Standardwerte sind allgemein bekannt Hinweis auf sicherheitsrelevante Einstellungen an Ort und Stelle Kaum Hinweise in Konfigurationsdateien bernahme sicherheitsrelevanter Ein http wiki typo3 org Upgrade Upgrade beeinflusst Einstellungen in Datenbank stellungen bei Updates nicht Anwenderdokumentation Lieferung von Guidelines Tutorials 1 1 Tutorials http typo3 org documentation docum 2 Educational Resources ent library tutorials current 2 http typo3 org teams security resourc 3 Blog des Security Teams 107 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung es 3 http buzz typo3 org teams securit Qualit t Zielgruppenorientierung http wiki typo3 orge Main Page Das Wiki ist unterteilt f r Entwickler Ad ministratoren und Editoren Navigation und Suche Test Aufbau als Wiki Informationen stehen direkt am Schlagwort Mehrsprachigkeit Dokumentation bspw Offizielle Dokumentation nur englisch http www typo3 handbuch net Nur Handbuch von Drittanbietern auf deutsch oder auf der offiziellen Site verf gbar http typo3 org documentation docum ent library tutorials doc tut quickstart de 0 0 6 view Aktualit t http wiki
85. d und in einer Datenbank Tabelle abgelegt Welcher Algorithmus verwendet wird h ngt davon ab was jeweils bei der verwendeten Installation zur Verf gung steht MD5 wird nur als letzte Option verwendet sofern auf dem System keine anderen Algorithmen verf gbar sind Joomla benutzt f r das Benutzerpasswort den MD5 Hash mit Salt in einer Tabelle Dies entspricht nicht mehr den aktuellen Mindestanforderungen der Bundesnetzagentur f r die Verwendung von Hash Algorithmen Drupal speichert das Benutzer Passwort auch als Hashwert in einer Tabelle Der Algorithmus basiert auf SHA512 mit Salt mit mehreren Hash Iterationen Die Zahl der Iterationen liegt zwischen 128 27 und etwa einer Milliarde 230 sie soll mit jeder Drupal Version verdoppelt werden um dem Leistungszuwachs von zum Cracking verwendeten Computern entgegenzuwirken Momentan Drupal Version 7 werden 32768 Hash Iterationen 215 durchgef hrt Plone verwendet SSHA d h Salt und SHA Dieser Algorithmus kann mit LDAP Kerberos und der Zope Datenbank ZODB verwendet werden Zope verwaltet User und bietet Hashing der Passw rter out of the box Plugins erhalten maximal die Hashwerte der Passw rter von den normalen User Objekten so dass diese die User Objekte nicht weiter auswerten k nnen Alle Systeme bieten die M glichkeit der R cksicherung der Daten im Ganzen bspw ber sqldump jedoch nur WordPress Drupal und Plone unterst tzen auch die R cksicherung einzelner Bereic
86. der Informationstechnik Sicherheitsuntersuchung 4 heitserfahrung in diesem Umfeld zur Verf gung Joomla Drupal und Plone verwenden f r Paymentfunktionen eigene Verfahren Hervorzuheben sind TYPO3 WordPress und Plone die mehrere Standardverfahren zur Authentisierung unterst tzen Caching Mechanismen zur Erh hung der Performance bieten alle Systeme eine Session Replikation auf mehrere Server nur Plone Die PHP Systeme k nnen einen Opcode Cache verwenden der zus tzliche Laufzeitgewinne bringt Alle CMS haben ein Rollen oder Gruppen basiertes Rechtesystem wobei die Systeme unterschiedliche Verfeinerungsm glichkeiten bieten vgl Kapitel 4 2 3 6 Eine individuelle Anpassung beispielsweise mittels spezieller URL Formate Nicenames Personalisierung ist bei allen Systemen vorgesehen Auch UTF 8 steht bei allen CMS zur Verf gung Eine sichere Ablage von Zugangsdaten ist nicht berall gegeben Die Trennung der Datenablage nach Schutzbedarf sowie eine Teilbereiche betreffende R cksicherung ist nirgendwo gegeben vgl Kapitel 4 2 3 9 Alle Systeme bieten Mechanismen zur Inhalteverwaltung Workflows Freigabe Versionierung etc Sichere Verfahren zur Authentifizierung Brute Force Schutz Captchas vergessene Passw rter und zur Sitzungsverwaltung CSRF Schutz gibt es f r alle Systeme teilweise aber nur als Erweiterung F r diese essentiellen Eigenschaften und deren St rke sind die Tabellen im Anhang zu beachten Die Erstins
87. der Vorgangsbe arbeitung wie aufeinander folgende Aufgaben und Freigaben mit Mehr Augen Prinzip anhand sogenannter Workflows unterst tzt 12 BITV Barrierefreie Informationstechnik Verordnung http www barrierefreies webdesign de bitv 12 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Inhalte darstellen Webserver Application Server 4 Inhalte bereitstellen Inhaltsverwaltung Template Engine Suchmaschine Daten speichern Datenbank Abbildung 2 1 Generisches UML Deployment Diagramm A Nutzerverwaltung Inhalte exportieren BE Command Line Interface Vernwaltu ngsdaten Zugriffssteuerung pflegen Daten bereitstellen DZ Dateisystem o Die Komponenten Inhaltsverwaltung Nutzerverwaltung Zugriffssteuerung Template Engine und Such maschine sind im Content Server vgl Abbildung 2 1 Mitte zusammengefasst Der Zugriff auf den Content Server erfolgt ber einen Redaktions Client Redaktions Client und Content Server kommunizieren ber ein standardisiertes oder propriet res Protokoll zur Erstellung und Pflege von Inhalten aber auch zur Um setzung des Redaktionsworkflows Der Redaktions Client enth lt als wichtigste Komponente einen Editor ber den die Redakteure Inhalte und deren Metadaten erfassen und pflegen Zus tzlich steht bei einigen Systemen ein Command Line Interface CLI zur Verf gung Die Dat
88. der oben genannten Grundfunktionen ber API ist bei TYPO3 WordPress und Drupal m glich F r Joomla und Plone standen keine Informationen zur Einbindung in ein Systemmanagement per API zur Verf gung 4 5 Zusammenfassung der Sicherheitsuntersuchung Alle Systeme bieten die M glichkeit das CMS vor einer Entscheidung auszuprobieren und sich ber den Funktionsumfang zu informieren Fehler insbesondere sicherheitsrelevante k nnen gemeldet werden und werden meist in angemessener Zeit behoben Alle Systeme informieren den Nutzer auch durch Advisories zu sicherheitsrelevanten Informationen nachdem die Fehler behoben wurden Die Hersteller haben Maf nahmen f r eine sichere Entwicklung wie Qualit tskriterien Richtlinien Reviews oder Tests vorgesehen wobei ber einen messbaren Erfolg der Ma nahmen nichts konkret gesagt werden kann Die Anzahl und Verteilung der gefundenen Schwachstellen l sst aber indirekt Aussagen zu vgl Kapitel 4 6 Sicherheitsrelevante Aspekte der Architektur wie Modularisierung Trennung von Systemkomponenten Verwendung von Standards werden bei allen Systemen ber cksichtigt Die Verwendung von Diensten wie Web Services Payment Authentisierung wird von den Systemen unter schiedlich realisiert Hier ist bei einer Entscheidung darauf zu achten ob eigene oder Standardverfahren genutzt werden Web Services stehen nur f r Betreiber Administratoren mit Programmier und Sicher 84 Bundesamt f r Sicherheit in
89. dule manuell aktualisiert werden was aber durch entsprechende Cron Jobs zumindest teilweise automatisiert werden kann Zur Plone Aktualisierung stehen Updateskripte bereit deren Einsatz mittels buildout zumindest teilweise ver einfacht werden kann Grunds tzlich gilt bei allen Systemen dass eine sichere Default Konfiguration die Risiken einer unsicheren Konfiguration f r den Betrieb minimiert Werden bspw Standardpassw rter f r die Administratoren konten verwendet m ssen diese unverz glich nach der Installation ge ndert werden denn bei Nicht nderung stellen diese nat rlich ein erhebliches Risiko dar Die TYPO3 Defaultinstallation ist in einigen Punkten unsicher bspw Secure Cookies sind deaktiviert oder beim Backend Zugang wird https nicht er zwungen WordPress enth lt in der Standardkonfiguration keine separat aktivierbare Absicherung des Backend Zugangs mit https Auch Joomla erlaubt nach der Installation einen Backend Zugang ohne Transportverschl sselung ber https Force SSL muss nachtr glich f r den Administrator aktiviert werden Bei Drupal sollte der User 1 wieder entfernt werden Plone generiert f r ein benutzerdefiniertes Konto mit Manager Rechten ein zuf lliges Passwort Hinweise in den Konfigurationsdateien zur Bedeutung der jeweiligen Parameter gibt es bei TYPO3 kaum Die Konfigurationsdatei von WordPress hingegen ist ausf hrlich dokumentiert und kommentiert Die mit Joomla gelieferte Musterdatei hatte eini
90. duziert Die Anzahl der unver ffent lichten Schwachstellen wird vermutlich gr er da ein Markt f r funktionierende noch ungemeldete Exploits Zero Day Exploits entstanden ist So ist es nachvollziehbar dass einige Experten daran zweifeln dass komplexe Systeme berhaupt abzusichern sind zu viele Entwickler zu viele Einflussfaktoren An wendunssf lle eine Wissensbandbreite die selbst Experten nie in G nze berschauen Aktuelle Strategien gehen vom Gegenteil aus und versuchen komplexere Systeme zu kapseln Die Intelligenz wird in die Unterscheidung des normalen vom auff lligen Verhalten der Website gesteckt Sobald das Verhalten auff llig wird kann der Betreiber pr fen ob es sich um regul re gewollte Benutzung 98 http web nvd nist gov view ncp repository 99 RSA Strategie Bundesamt f r Sicherheit in der Informationstechnik 95 5 Zusammenfassung der Studie der Dienste handelt oder um einen Angriff So wird entweder eine Sicherheitsl cke identifiziert oder die umgebende Kapsel nachjustiert Die ENISA Studie Proactive Detection of Security Incidents legt gro en Dienstanbietern nahe scheinbar lohnenswerte Angriffsziele als Spielwiese f r Angreifer zu erstellen um sie leicht von den eigentlichen Ressourcen abzulenken und besser aufsp ren zu k nnen Beide Strategien sind nicht neu sie sind mit herk mmlichen ggf auch Open Source Mitteln zu realisieren Beide Ans tze sind valide sie
91. e Systems AB 35 http akismet com Bundesamt f r Sicherheit in der Informationstechnik 21 2 Einf hrung in Content Management Systeme CMS Im Bereich Nutzer und Zugriffsverwaltung muss man jedoch auf externe Module zur ckgreifen Die Inhaltsverwaltung ist naturgem auf Texte beschr nkt und muss ber vorhandene Erweiterungs module erg nzt werden Da Blogs im Unterschied zu modernen Websites keine Inhalte aus verschiedenen Quellen aufnehmen z B Wetterinformationen Agenturmeldungen etc zus tzlich zu eigenen Inhalten des Betreibers ist auch die Suchmaschine nur ber externe Module einbindbar Der Ansatz eines Systems zur Realisierung von Blogs ist es eher von extern vorhandenen Suchmaschinen gefunden zu werden Deshalb gibt es sehr viele Er weiterungen zur Optimierung der Auffindbarkeit 2 2 3 4 Besonderheiten WordPress hatte in der Vergangenheit h ufige schnell aufeinander folgende Update Zyklen im Rahmen von funktionalen Patches Ein kontinuierlicher und konsistenter Update Prozess wurde damit f r Betreiber erschwert da dieser allein durch die H ufigkeit zeit und damit kostenintensiv war Auf der Webseite von WordPress wird schon bei den Anforderungen darauf hingewiesen das WordPress als PHP Applikation mit einem unprivilegierten Systemnutzer zur Laufzeit betrieben werden sollte Als Werkzeug wird auf suPHP verwiesen 2 2 4 Joomla Joomla ist aus dem Open Source Projekt mambo hervorgegangen und h
92. e die LDAP Anbindung oder integrative Bestandteile wie eine XML RPC Schnittstelle sind ber Erweiterungen verf gbar Mit Jackalope ist ein Content Repository nach JSR 170 283 Standard implementiert worden Dar ber hinaus sind Interaktionen mit Java Komponenten m glich Die Aktualisierung bzw Erweiterung des TYPO3 Systems erfolgt ber den Extension Manager per Web Browser Hier besteht ein besonderer Schutz gegen unberechtigte Manipulation der Seite mit Ad ministrationsrechten Die Installation setzt eine Datei ENABLE INSTALL TOOL voraus die der Ad ministrator auf dem Filesystem des Servers erzeugen muss Die Datei wird von der Installation selbst wieder gel scht so dass sie vor einer neuen Erweiterung wieder erzeugt werden sollte 46 https fosswiki liip ch display jackalope Home Bundesamt f r Sicherheit in der Informationstechnik 25 2 Einf hrung in Content Management Systeme CMS Inhalte darstellen Inhalte pflegen Inhalte importieren E N Inhalte exportieren vVerrwa ltungsdaten pflegen O TYPO3 Core ER Z provser D Extensions Daten speichern Daten bereitstellen MySQL En PostgreSQL _ Dateisystem Oracle MSSQL HRE Abbildung 2 6 TYPO3 Systemarchitektur 2 2 5 3 Protokolle Kommunikation und Datenfl sse Die Administration erfolgt per Web Browser ber http bzw https Die Kommunikation zwischen TYPO3 und MySQL erfolgt
93. ecurity Guide Plone bietet einen gut strukturierten berblick ber die Sicherheit Weitere Details hierzu finden sich in den Tabellen im Anhang vgl Seite 99 4 3 2 2 Qualit t Zielgruppenorientierung Zielgruppengerechte Aufteilung der Dokumentation findet sich bei allen Systemen bei Joomla sogar durch f nf Reader Profiles auf der Einstiegsseite der Dokumentation und noch weitere acht Rollen 4 3 2 3 Qualit t Navigation und Suche Navigation und Suche in der Dokumentation sind bei den Systemen TYPO3 und WordPress durch den Aufbau als Wiki implizit realisiert Die Dokumentation zu Joomla ist gut strukturiert besonders die ziel gruppenspezifischen Quick Links sind hilfreich Die Einstiegsseite zur Drupal Dokumentation ist gut strukturiert die einzelnen Themenseiten enthalten die erwarteten Informationen und die Suchfunktion findet die relevanten Dokumente Die Navigation im Plone User Manual und den anderen verf gbaren Handb chern ist gut gel st die Suche nach einem Stichwort dagegen findet selbst die entsprechende gleichnamige Manual Seite nicht 4 3 2 4 Qualit t Mehrsprachigkeit Bei keinem System liegt die gesamte Dokumentation in deutsch und englisch vor Die Dokumentation zu TYPO3 und WordPress liegt nur auf englisch vor Das Projekt Joomla Security hat begonnen deutsch sprachige Dokumente zum Thema Sicherheit in Joomla bereitzustellen Unter drupalcenter de erarbeitet eine Community derzeit ein deutschsprachiges Handbuc
94. edia WebSite X5 Evolution 5401 0 74 CMSimple 3281 0 44 CMS made simple 2837 0 38 WEB DE WebBaukasten 2766 0 37 Plone 2724 0 37 Tabelle 1 1 Tools f r die Erstellung von Websites ohne HTML Editoren 1 3 _Untersuchungsmethodik Zun chst muss ber den typischen Projektzeitraum einer CMS Einf hrung von der Produktauswahl bis zur Au erbetriebnahme untersucht werden welche Eigenschaften oder Rahmenbedingungen sicherheits relevant sein k nnen Hier gibt es klare Abstufungen So wirken sich beispielsweise gemeldete Schwach stellen die nicht zeitnah behoben werden direkt negativ auf die Empfehlung eines CMS aus w hrend eine schlechte Integrationsf higkeit in vorhandene Systemmanagementumgebungen dagegen eher mittelbar Einfluss auf die Sicherheitseigenschaften hat Die Kriterien die zur Untersuchung der einzelnen Systeme verwendet werden werden zu Beginn aufgestellt und erkl rt Der Schwerpunkt der Untersuchung liegt dabei klar auf der Architektur und auf dem konzeptionellen Aufbau der Systeme Die technische Struktur der Komponenten ihre Kommunikations beziehungen und ihre gegenseitigen Absicherungsm glichkeiten stehen im Vordergrund wo m glich wird auch die interne Softwarearchitektur untersucht F r die eingehende Beurteilung der IT Sicherheit ist an vielen Stellen ein Schwachstellentest empfehlens wert Da es sich bei dieser Studie um eine erste Einsch tzung und Basisuntersuchung der CMS handelt wird auf die Durchf hrung
95. eibung der sicherheitsrelevanten Einstellungen bieten fast alle Systeme Lediglich f r Joomla haben wir keine bersicht der Einstellungen gefunden Eine Beschreibung von Szenarien f r verschiedene CMS Einsatzzwecke wie extensives Caching Replikation Single Sign On haben wir nur bei zwei Systemen ansatzweise gefunden e Bei WordPress wird der Einsatz f r Multiple Blogs Gruppen Blogs oder als CMS beschrieben e Die bei Plone beschrieben Szenarien betreffen Single Sign On mit Active Directory eine robuste Plone Zope Installation und die Installation unter verschiedenen Betriebssystemen Kein System bietet eine im Sinne dieser Kriterien vollst ndige Dokumentation an 4 4 Service Operation 4 4 1 Marktdurchdringung 4 4 1 1 Internetpr senz Zu allen untersuchten Content Management Systemen gibt es Foren in denen zum Teil auch Sicherheits aspekte diskutiert werden Aber spezielle Foren zu Sicherheitsthemen finden sich nur f r Joomla und Drupal Bei Joomla gibt es je eines f r jede der drei Versionen Fast alle Entwicklerteams haben eine spezielle Gruppe von Mitarbeitern die sich mit Sicherheitsfragen be fassen die Security Teams oder Security Strike Teams 4 4 1 2 Anzahl der Installationen Die Anzahl der Installationen in Deutschland der jeweiligen CMS ist nicht exakt feststellbar und beruht auf unterschiedlichen Quellen und Messverfahren Sie liegt f r alle betrachteten Systeme aber deutlich ber 50 Installationen Alle betra
96. eife der Such http typo3 org extension manuals doc Suchmaschinen werden ber Extensions maschine indexed search current view 1 1 integriert bspw auch Solr http typo3 org extension manuals solr current view 1 1 Inhaltsverwaltung Redaktioneller Testinstallation Rechtehierarchie erlaubt redaktionellen Work Workflow flow Bundesamt f r Sicherheit in der Informationstechnik 104 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung definierbar Versionierungvon http typo3 org documentation docum Inhalten ent library core documentation doc_co re inside 4 1 0 view 3 7 Wiederverwendung http docs typo3 org typo3cms extensi Es k nnen Referenzen auf bereits bestehenden von Content zur ons bs fce 0 8 0 manual html Content gemacht werden Reduktion der Komplexit t http www jochenfroehlich com en t o3 best practice references html Preview verf gbar http typo3 org documentation docum Previewing Visiting the frontend website will ent library core documentation doc co display it as it will appear when all versions in re inside 4 1 0 view 3 7 the workspace is eventually published switch enable disable this feature Authentifizierung Registrierung 0 http typo3 org extensions repositor Benutzer Registrierung ist nicht Bestandteil der view sr feuser register Standardinstallation sondern eine Extension Mailadresse kann f r Miss
97. ein Inhalt auf Grund fachlicher Bestimmungen Aufbewahrungsfrist aufbewahrt werden muss darf Ver ffentlichen Vorgang um CMS basierte Inhalte f r den Benutzer zu Publishing g nglich zu machen Webseite Gesamtheit aller Inhalte die unabh ngig von ihrem Format z B Text Bild auf einer Seite im Webbrowser des Benutzers erscheinen Website Schaufenster im Internet ber das ein Dienstanbieter Internet Auftritt dem Benutzer seine Informationen und Gesch fts Internetpr senz prozesse anbietet WYSIWYG Akronym f r das Prinzip What You See Is What You Get Was du siehst ist das was du bekommst zero day exploit Ein Exploit f r den es vom Hersteller des Systems noch keine Information keine Abhilfe keine Fehler bereinigung gibt 164 Bundesamt f r Sicherheit in der Informationstechnik Abk rzungsverzeichnis Abk rzungsverzeichnis Abk rzung Bedeutung API Application Programming Interface ABAC Attribute Based Access Control BIT Bundesstelle f r Informationstechnik BITV Barrierefreie Informationstechnik Verordnung BSI Bundesamt f r die Sicherheit in der Informationstechnik CAE Content Application Engine CMF Content Management Frameworks CMF CSRF Cross Site Request Forgery CSRF CVE Common Vulnerabilities and Exposures init linit AG f r digitale Kommunikation IIOP Internet Inter ORB Protocol NVD Na
98. eine flexible Modularisierung vgl Kapitel 2 2 2 1 und 2 2 2 2 86 http plone org products plone security overview 87 http www plone entwicklerhandbuch de plone entwicklerhandbuch 72 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 Grunds tzlich sollten auch vertrauensw rdige und nicht vertrauensw rdige Systembestandteile archi tektonisch voneinander getrennt sein bspw durch Sandboxing Ein Sandboxing wie es bspw bei Java zu finden ist gibt es f r PHP Systeme nicht F r Python steht grunds tzlich der RestrictedPython Mode zur Verf gung der aber f r das aktuelle Plone nicht gepflegt ist und nicht verwendet werden kann So m ssen alle nicht Java Systeme auf Betriebssystem Mittel zur Kapselung der Komponenten zur ckgreifen 4 2 3 2 Sichere Architektur Basistechnologie Die Verwendung von aktuellen sicheren Bibliotheken ist ein wesentlicher Aspekt in der Softwareent wicklung Die Verwendung h ufig eingesetzter Bibliotheken wie bspw jquery helfen Sicherheitsl cken oft ver ursacht durch eigene propriet re L sungen zu vermeiden Da verbreitete und h ufig verwendete Biblio theken nicht nur mehr Sicherheit bieten sondern auch die Entwicklung wesentlich vereinfachen werden diese auch von allen Systemen in Abh ngigkeit von der jeweiligen Plattform grunds tzlich verwendet Die CMS TYPO3 WordPress Joomla und Drupal bauen als PHP basierte Systeme auf den Komponenten
99. einen Schwachstelle f r das Erraten von validen Nutzerkonten 68 http web nvd nist gov 69 http secunia com advisories product 33191 task advisories Bundesamt f r Sicherheit in der Informationstechnik 59 3 Aktuelle Bedrohungslage Schwachstellen f r Anzahl der Schwachstellen in WordPress 3 X im Zeit Schwachstellen raum 2003 2012 Unpatched 2 14 00 Vendor Patch 12 86 00 Vendor Workaround 0 0 00 Partial Fix 0 0 00 Tabelle 3 12 WordPress Schwachstellen Eine Suche nach Exploits mit Hilfe von ExploitsDatabase ergab ber 250 Exploits f r WordPress Hier ist der Gro teil der Exploits f r WordPress Plugins eingetragen worden 3 2 4 Joomla Joomla hat f r die Behandlung von Schwachstellen ein Security Strike Team aufgestellt welches die aktuelle Joomla Version aktiv betreut Vom Team wurden 2012 f r mehr als 15 Schwachstellen aller Schweregrade die dazu geh rigen Patches zur Verf gung gestellt vgl Tabelle 3 13 Die Meldungen im Security News Archiv der Developer Community von Joomla betreffen keine Erweiterungsmodule sondern nur Schwachstellen in Kern Komponenten vgl Tabelle 3 13 Meldungen im Security News Archiv Anzahlin 2010 2011 2012 Joomla Core 11 35 22 Tabelle 3 13 Joomla Meldung aus Security News Archiv Ein klarer Trend ber die Schwachstellen Meldungen der NVD und CVE Details ist ber die letzten drei Jahre nicht
100. einiger erforderlicher Komponenten gepr ft o Welche Pakete genutzt werden ist nicht er sichtlich Bibliotheken integriert die m g Testinstallation Es werden keine zus tzlichen Bibliotheken licherweise Konflikte ausl sen mitgeliefert oder vorhandene ver ndert Komplexit t Anzahl manueller Vor Nacharbeiten http docs joomla org Installing Joomla Alles Teil der gef hrten Installation bei Konfiguration und Installation Verwendung von Automatisiertes http docs joomla org Joomla Update Syst Joomla Update Manager Muss manuell aus Standards Update durch em gel st werden installiert dann aber auto Paketverwaltung matisch Wenig dokumentiert Sichere Default Installation Testinstallation Backend Zugang standardm ig ohne https Hinweis auf sicherheitsrelevante configuration php Datei configuration php dist hatte einige Einstellungen an Ort und Stelle Hinweise die vom Setup erzeugte Datei nicht 129 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung bernahme sicherheitsrelevanter Konfigurationsdateien bleiben erhalten Einstellungen bei Updates Anwenderdokumentation Lieferung von Guidelines Tutorials http docs joomla org Vielzahl von Dokumenten mit Security Bezug http docs joomla org Security and Perfor mance FAQs Newsfeed Joomla Develo
101. eitsrisiken aufweisen k nnte Beispielsweise kann jedes neue Release Sicherheitsl cken mit sich bringen die erst im Prozess der weltweiten Nutzung bemerkt werden Schon die Auswahl der untersuchten Version kann also unterschiedliche Ergebnisse liefern Da die Auslieferungspolitik immer auch ein Unter suchungskriterium ist betrachtet diese Studie jeweils immer die aktuellsten als stabil bezeichneten Versionen Die IT Sicherheit wird wesentlich von rechtlichen und organisatorischen Rahmenbedingungen beeinflusst Der Redaktionsworkflow ist ein deutliches Beispiel daf r Da dies eine generische Betrachtung der CMS sein soll werden die Systeme danach beurteilt wie sie organisatorische Best Practices z B das Vier Augen Prinzip unterst tzen Das organisatorische Umfeld wird einbezogen in dem dom nenspezi fische Szenarien gebildet werden Auch auf Basis dieser Szenarien wird die Eignung der CMS eingesch tzt Auch der Support des CMS Herstellers bzw der Dienstleister die f r das ausgew hlte CMS Leistungen an bieten ist beginnend von der Planungsphase bis zum Betrieb wichtig f r eine sichere CMS Nutzung Um hier eine Einsch tzung zu erhalten k nnen stichprobenartige Interviews mit Kunden gef hrt werden in denen ermittelt wird inwieweit der Support IT Sicherheitsaspekte behandelt und in welcher Qualit t die Sicherheitsfragen beantwortet wurden Bei den Open Source Projekten ist die Qualit t der Security Foren Newsticker tra
102. ekr ftige und durchg ngige Kommentierung im Quelltext https eithub com xeraa cms security bl ob master README md In der Quelle wird gezeigt wie viele Zeilen Quellcode und Kommentare der Core Build enth lt Das Dokument enth lt aber keine Aussage ber die Qualit t der Kommentare Stichproben zeigen Aussagekr ftige Kommentierung Strukturelle Mittel zur Durchsetzung der Qualit tskriterien Keine Informationen hierzu auffindbar Transparenz des Entwicklungsprozesses http drupal org project drupal Es wird beschrieben was in den einzelnen Versionen ver ndert wurde Dazu geh ren auch die evtl beseitigten Bugs wodurch diese zustande gekommen sind wer den Bug ent deckt hat und wer ihn beseitigt hat Dokumentation der Sicherheitsanforderungen und ziele Einsatzszenarien Annahmen Einschr nkungen http www itworld com security 157395 joomla or drupal which cms handles sec urity best page 0 5 Beschreibung aller Sicherheitsmechanismen auf Archi tektur Design und Implementierungsebene http drupal ors node 360052 http drupalsecurityreport org about dru Die Dokumentation ist vorhanden aber nicht vollst ndig Pr fung Test Verifikation Design Review nachweislich http www itworld com security 157395 joomla or drupal which cms handles sec urity best page 0 3 Siehe auch Sicherheitstests H ngt von der Modulgruppe ab Code Review nachweislich
103. elbst bei forum typo3 org nicht Akteure mit Fokus Security Anzahl http typo3 org teams security membe 12 Mitglieder hat das Security Team rs Anzahl Installationen in Deutschland http typo3 org home typo3 in numbe 1 51 von 7 496 183 de Domains nutzen TYPO3 rs 113 191 TYPO3 Installationen Behandlung von nderungen Security Patches Zeit bis zum Erscheinen nf http typo3 org teams security security I d R werden die Schwachstellen erst mit dem bulletins Erscheinen des Patches ver ffentlicht es konnte also keine zeitliche Bewertung gefunden vor genommen werden 101 nf nicht gefunden es wurden keine Informationen hierzu gefunden eine negative Bewertung erscheint aber nicht angemessen 109 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung How long was the average delay between the date when you got to know the hole and the bug fix This really depends on the issue the severity The time is between a day and some weeks Georg Ringer Member of the TYPO3 Security Team Transparenz der Begleitinformationen http forge typo3 org projects typo3V4 Releases haben Changelog Forge zeigt aktuelle documentation activit Issues und was bearbeitet wird Betrieb Logging Revisionsf higkeit integrit tsgesch tzt Keine
104. enhaltung der CMS Inhalte erfolgt separat von der eigentlichen CMS Kerntechnologie In allen CMS dieser Studie wird eine Datenbank zur Speicherung der Inhalte und Metadaten verwendet Zus tzlich wird das Dateisystem zur Ablage von Konfigurationsdaten und Inhalten genutzt Das Auslieferungssystem besteht mindestens aus einem Webserver zur Darstellung der Inhalte Neben dem Webserver kommt in umfangreicheren CMS ein Application Server zum Einsatz Dieser Server stellt zus tz liche Extras wie die Erstellung dynamischer Inhalte oder die Kommunikation ber ein Webformular zur Verf gung Die Ein und Ausgabe der im CMS verwalteten Inhalte kann ber verschiedene Kan le erfolgen So k nnen neben der Darstellung als Webseite auch Exporte im XML Format oder auch Newsfeeds realisiert werden Der Import von Inhalten kann ebenso ber verschiedene Formate erfolgen Letztlich kann auch der Editor als Eingabekanal bezeichnet werden Bundesamt f r Sicherheit in der Informationstechnik 13 2 Einf hrung in Content Management Systeme CMS 2 2 Beschreibung der ausgew hlten Systeme 2 2 1 Drupal Spezifikation Drupal 7 17 Betriebssystem Windows Unix Linux Eingesetzte Programmiersprache PHP 5 3 oder h her Webserver Applikationscontainer Apache Nginx Microsoft IIS Datenhaltung Datenbank MySQL 5 0 15 oder h her mit PDO PostgreSQL 8 3 oder h her mit PDO SQLite 3 3 7 oder h her MariaDB 5 1 44 oder h her Microsoft SQL Se
105. er Websites in der de Domain erstellt werden wobei die Auflistung nur die automatisiert erkennbaren Websites d h etwa 20 der Domains um fasst Ein Teil der Eintr ge verzeichnet reine HTML Editoren die hier nicht betrachtet werden Es zeigt sich das Open Source Produkte mit professionellem Support wie WordPress TYPO3 oder Joomlal weit vorn in der Gunst der Dienstanbieter liegen Zus tzlich zu den drei meist genutzten Open Source Projekten wurden die Open Source Systeme Drupal und Plone ausgew hlt weil Drupal auf der Weltrangliste Platz vier ein nimmt und Plone ebenfalls weit verbreitet ist 5 Einf hrende Links zum Thema CMS gibt es im Anhang 6 Fehlkonfigurationen z hlen zu den h ufigsten Fehlern vgl https www owasp org index php Top_10_2010 A6 7 Fehlerbehaftete Websites die erkennbar mit ein und demselben Werkzeug erstellt wurden 8 Dazu gibt es verschiedene ffentliche Statistiken wie z B Publishing tool statistics for Germany CMSCrawler com http www cmscrawler com tld de Zugriff am 03 12 2012 8 Bundesamt f r Sicherheit in der Informationstechnik Einleitung 1 Anzahl der Sites die das Publizierungswerkzeug Werkzeug verwenden Marktanteil in WordPress 169442 23 21 TYPO3 129687 17 77 Joomla 126471 17 32 NetObjects Fusion 43411 5 94 Web2Date 23612 3 23 Contao Open Source CMS 18308 2 51 Adobe GoLive 15673 2 14 Drupal 15594 2 13 xtCommerce 7590 1 04 CMS Contenido 6939 0 95 CMAAIl 6326 0 86 Incom
106. er angebotenen Erweiterungen zielen darauf ab die bereits im Kern vorhandenen Funktionalit ten weiter zu professionalisieren oder zu verein fachen So ist z B ein Freigabeprozess mit Versionierung der Zwischenschritte nur ber Erweiterungen realisierbar Dies deckt sich mit Drupal und WordPress Im Joomla Extensions Directory sind kommerzielle und Open Source Varianten dieser Erweiterung vorhanden Die Nutzerverwaltung ist Teil des Kernsystems und enth lt bereits vordefinierte Nutzerrollen wie zum Beispiel Autor Editor und Publisher 2 2 4 5 Besonderheiten Entwickler die eine Erweiterung oder Anpassung erstellen wollen m ssen ber PHP SQL XHTML und CSS Kenntnisse verf gen Skalierung und deren Optimierung sind vergleichbar zu WordPress Im Unter schied zu WordPress ist die Erweiterung von Joomla im Design des Systems erw nscht und die not 24 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 wendigen APls liegen vor so dass mit Joomla leicht kleinere Websites auf die Kundenw nsche zurecht ge schneidert werden k nnen 2 2 5 TYPO3 Spezifikation TYPO3 CMS 6 0 Betriebssystem Windows Unix Linux Eingesetzte Programmiersprache PHP Version nicht n her bezeichnet Webserver Applikationscontainer Apache empfohlen mit Modulen mod_gzip mod_rewrite Microsoft IIS Datenhaltung Datenbank MySQL Oracle PostgreSQL MSSQL alles durch PHP Ver
107. erheits problemen Die Bekanntgabe einer schnell auffindbaren Kontaktadresse ist Minimum 0 ja ja hoch Bug Tracking Syste m mit Kategorie Sicherheit Die Sichtbarkeit der auf getretenen Probleme deren Bearbeitungszustand und ja hoch 34 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung SCHEN MACHE kriterium ng tempo kann ausschlaggebend f r das Vertrauen in ein Produkt sein Advisories auf der Die Sichtbarkeit der auf 0 ja ja hoch Website des getretenen Probleme deren Herstellers leicht Bearbeitungszustand und auffindbar tempo kann ausschlaggebend f r das Vertrauen in ein Produkt sein Beschreibung des Sicherheitsprobleme sind 0 ja ja hoch Prozesses zur Be berall an der Tagesordnung arbeitung von Entscheidend ist wie sich ein Sicherheits Dienstanbieter darauf vor problemen bereiten kann dass bei ihm selbst Handlungsbedarf ent steht Transparenz der Hand lungen im Notfall schaffen Sicherheit Sicherer Entwicklungsprozess einheitliche Quali Transparente Kriterien sind Existieren nachweislich verbindliche hoch t tskriterien zumindest notwendige Kriterien nach denen die Entwickler Voraussetzung f r einheitliche die Software erstellen Mindest Qualit t ja nein aussagekr ftige und Kommentier
108. ersuch unternommen werden Zusammenh nge zwischen der Bewertung anhand der Untersuchungskriterien und den Ergebnissen der Bedrohungsanalyse in Kapitel 3 zu ermitteln Die Anzahl der gemeldeten Schwachstellen vgl Abbildung 3 9 im Mittel etwa 14 pro Jahr und CMS kann als Beleg daf r gewertet werden dass die von allen Open Source Systemen vorgesehenen Meldewege vgl Kapitel 4 2 1 3 angemessen sind und genutzt werden Daf r dass ein Gro teil der Schwachstellen in den Erweiterungen der CMS zu finden ist vgl Tabelle 3 23 und Abbildung 3 8 gibt es mehrere m gliche Erkl rungen e Zu einem ber einen l ngeren Zeitraum relativ stabilen Kernsystem gibt es eine Vielzahl von Er weiterungen die evtl von unterschiedlichen Teams entwickelt und berarbeitet werden mit Ausnahme von TYPO3 wo drei unterschiedliche Kerne von unterschiedlichen Teams gepflegt werden Bundesamt f r Sicherheit in der Informationstechnik 85 4 Sicherheitsuntersuchung e Die Security Teams der Hersteller befassen sich in der Regel mit Schwachstellen in den Kern komponenten der Systeme Viele der verf gbaren Erweiterungen fallen nicht in ihren Bereich auf die Bereinigung der Fehler in diesen Erweiterungen haben sie keinen oder nur wenig Einfluss So ist auch zu erkl ren dass Schwachstellen in den Kernkomponenten der Systeme h ufiger beseitigt werden als solche in Erweiterungen vgl Tabelle 3 24 e Zuallen Systemen sind Qualit tskriterien und Richtl
109. essenesseneoseneoseessesensesenseneosonensesrsnesesrsnenesesnes 89 5 2 2 Szenario 2 B rgerb ro in einer kleinen Gemeinde uuuunssesesessensensenneensenseeneenenne 89 5 2 3 Szenario 3 Open Government Site einer Kleinstadt 91 5 2 4 Szenario 4 Mittelst ndisches Unternehmen mit mehreren Standorten 93 5 3 DUSBI CR e ee RER HerREAeIgarenae 94 5 3 1 Entwicklung der Gef hrdungen OWASP Top 10 2013 uasnnnenseessennseeneennsenneeensennenennennennenn 94 5 3 2 Standards f r die sichere Konfiguration uaesesesssssssssssssensssssenssnssensensennsnnennnnnnennennnennennnnnnnnnenenenennnn 95 5 3 3 Alternative Sicherheitsstrategien unassssssssssesssessensseneensesnennsensennenneennsnneeneennenneennennennennnenneeneensennenensnnenennenenn 95 Abbildungsverzeichnis Abbildung 2 1 Generisches UML Deployment Diagramm sessssesssssssenssensensenneensenennennsennennennsennenennnnnne 13 Abbildung 2 2 Drupal Systemarchitektur aessssssssssssssessenssessensenssensensensesnensessnenneensennennennnennensennnennennsnnnenenneneneene 15 Abbildung 2 3 Pl one Systemarchitekt r u 18 Abbildung 2 4 WordPress Systemarchitektur uusssssssssssssssssssssenssensensssnssnsensesnennsennennennennennnennnnnennsennennsnnnnnnennnne 21 Abbildung 2 5 Joomla Systemarchitektur uesssessssssssssssssesssnsseseenssnsseneenssuneeneensseneenssnnennensenenennensennennennnennennenne 24 Abbildung 2 6 TYPO 3 Systemarch
110. esssenneeneensennenseennenneeneennenseennsnnenneennenseenssnnenneennenneeneennensensnnenenn 51 2 4 1 szenari FE Prva EVENT Site een ee een 51 2 4 2 Szenario 2 B rgerb ro einer kleinen Gemeinde u unununssssensenssesensensseneensenneenenennenennnnne 51 2 4 3 Szenario 3 Open Government Site einer Kleinstadt essssssssssssesesensenseneenennensenenenenennnn 52 2 4 4 Szenario 4 Mittelst ndisches Unternehmen mit mehreren Standorten eeesesssasasesess 52 3 2 1 31 07 UNSEREN SONRENBENEENRORENIE RUIREIEFEIUEEREIFERNU A A EURER 54 22 PIOC ee E SEEENENEE EEE E E E EE AEE SERIE E EEA EE EENENEESUNENE 56 3 2 3 MN OLE O ee nee ee ee 58 3 2 4 JOO ea ein tee 60 3 2 5 PNA 5 AAA EN EEA TA EO EEG T A E E N N OA IAT E TI AE E ETE N 62 3 2 6 ee e eip EN n A A EE ae ee 64 3227 Datenbank Sy lee nee er nee 65 3 3 AUSWEITUNG een ee ea ee 65 3 3 1 Klassifizierung nach Schwachstellentypen uusssssnsesssensensenseesensenneensensenneensenennenne 65 3 3 2 Verteilung der Schwachstellen zwischen Basis Installation und Erweiterung 67 3 3 3 Schwachstellen K mpensation uu nennen 67 3 3 4 Versleichder CM5 zueinander 68 3 3 5 DEKOS Oi ee 68 4 1 NOTO ee ee ee E A ra re ae 70 4 2 DEV IC DI SO ie ee 70 Bundesamt f r Sicherheit in der Informationstechnik 3 Inhaltsverzeichnis 4 2 1 Gesch ftsf hrung Governance uunnunnesseesseseennsenneennennnnsnnnnnnennnnnnnennnnennnnnnennnnennennnennnnenennnennen
111. et werden sollen k nnen die Ver bindungen ber SSH getunnelt werden FAKT Drupal erm glicht ber drush die Verwaltung mehrerer Websites auf sichere Art und Weise SSH Tunnel Alle redaktionellen T tigkeiten zwischen Redaktions Client und Content Server erfolgen per Web Browser ber http bzw https Die Kommunikation zwischen Drupal und MySQL erfolgt ber einen lokalen Socket oder ber TCP standardm ig auf Port 3306 Die MySQL Authentifizierung ist so gestaltet dass ein Angreifer aus dem Abh ren der Kommunikation nicht auf das Passwort schlie en kann Eine etablierte Session versendet Daten im Klartext beim Er ffnen der Session kann jedoch angegeben werden dass SSL verwendet werden soll FAKT Die Kommunikation der php basierten Systeme zur mysql Datenbank erfolgt nach dem Stand der Technik 2 2 1 4 Funktionalit ten Drupal hat sehr limitierte M glichkeiten zum Umsetzen eines Redaktionsworkflows Inhalte werden direkt hnlich wie bei einem Wiki durch das Publizieren ge ndert Durch vorhandene Erweiterungsmodule ist es m glich diesen Mechanismus durch Zwischenzust nde d h Positionen zum Freigeben von Inhalten zu erg nzen Der Seitenerzeugung hnelt im Aufbau einem Portal Server Die Autorisierung geht bis auf Attribut Ebene d h es kann mittels PHP beispielsweise gesteuert werden dass angemeldete Benutzer in einer Region der Seite verschiedene Inhalte sogenannte Bl cke angezeigt bekommen Es
112. etzt werden kann Dar ber hinaus existieren f r alle Open Source CMS ffentliche Demo Instanzen die ein Ausprobieren ohne eigenen Server erlauben Die ffentlich zug nglichen Demo Instanzen erlauben es jedem sich mit verschiedenen Berechtigungsstufen am Backend anzumelden und so Funktion und Bedienung auszu 84 15 Minuten wurden als die Zeit angenommen die wahrscheinlich ein Administrator maximal f r die Suche verwenden w rde 70 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 probieren Im Falle von TYPO3 Joomla und Plone werden Demo Instanzen vom jeweiligen Projekt selbst bereitgestellt Der Drittanbieter OpenSource CMS betreibt ffentliche Demo Instanzen von mehreren hundert CMS darunter TYPO3 WordPress und Drupal Zu beachten ist dass bei ffentlichen Demo Instanzen aus Sicherheitsgr nden meistens nicht alle Funktionen zur Verf gung stehen 4 2 1 2 Entwicklerdokumentation Schulungen Anleitungen zu Security Themen Alle Systeme bieten ein umfangreiches Sortiment an Dokumentationen Anleitungen und Schulungen die ffentlich zug nglich sind Die Dokumentationen scheinen auf den ersten Blick auch recht aktuell zu sein allerdings sind bei TYPO3 einige veraltete Dokumentationen und Anleitungen f r Entwickler aufgefunden worden vgl Tabellen ab Seite 99 4 2 1 3 Transparenz der Kommunikation bei Schwachstellen Bei allen Open Source CMS ist eine Kontaktadresse zur Meldung von
113. fe definiert z B http www cmsmatrix org matrix cms matrix 4 Um die Lesbarkeit zu vereinfachen wird ab hier nur noch von CMS gesprochen w Bundesamt f r Sicherheit in der Informationstechnik 7 1 Einleitung 1 2 _Untersuchungsgegenstand Der Schwerpunkt dieses Dokumentes liegt auf der technischen Betrachtung des sicheren Einsatzes von CMS Die einzelnen Phasen des Softwarelebenszyklus werden unter Sicherheitsgesichtspunkten analysiert Dar ber hinaus werden Themen wie beispielsweise Protokollierungseinstellungen und Datenschutz welche mittelbaren Einfluss auf das Sicherheitsmanagement haben benannt und wo m glich bewertet Die bei CMS Installationen gefundenen Schwachstellen lassen sich neben Konfigurationsfehlern haupt s chlich auf konzeptionelle M ngel bei der Planung der verschiedenen Komponenten und Abl ufe zur ck f hren Das Dokument wird deshalb einerseits eine grundlegende und verst ndliche technische Bewertung der Systeme erstellen andererseits wird es auf die Stolpersteine bei der Einf hrung der CMS eingehen um den Verantwortlichen Anhaltspunkte zur Bewertung der Komplexit t beim CMS Einsatz zu geben Bei der Behandlung des Themas Content Management Systeme stellt sich die Frage welche CMS be trachtet werden m ssen Besonders gravierend wirken sich ungepatchte Monokulturen in der ver wendeten Web Technologie aus In der Tabelle 1 1 wurde die Verteilung der Software dargestellt mit d
114. fied Installer installiert Python und Zope 2 sowie Plone Komplexit t Anzahl manueller Vor Nacharbeiten bei http plone ors documentation manu F r die Installation sind keine zus tzlichen Konfiguration und Installation al installing plone installing on windo WS http plone org documentation manu al installing plone installing on linux unix bsd sicherheitsrelevanten Schritte notwendig Verwendung von Automatisiertes Standards Update durch Paketverwaltung http plone org documentation manu al upgrade guide http www hasecke com plone benutz erhandbuch 4 0 installation aktualisier Es stehen Upgradescripte f r die Aktualisierung bereit Teilweise automatisiert ber Buildout 155 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 curing plone Plone 4 21 Kriterium Wert Quelle Anmerkung ung html Sichere Default Installation http plone org documentation kb se Es wird ein zuf lliges Administratorpass wort generiert Secure Cookies und https Backend m ssen manuell aktiviert werden Hinweis auf sicherheitsrelevante Einstellungen an Ort und Stelle cfg Testinstallation Hinweise im blichen Ma in den buildout cfg Dateien bernahme sicherheitsrelevanter Einstellungen bei Updates http www hasecke com plone benutz erhandbuch 4 0 installation aktualisier ung html Es waren
115. g Kein spezielles Security Forum aber Forum mit den Security Advisories des Security Teams Drupalcenter kein Sicherheits Forum Akteure mit Fokus Security Anzahl https security drupal org team members Anzahl Installationen in Deutschland http www handelskraft de 2011 12 j00 Nicht feststellbar Am verbreitetsten unter den Bundesamt f r Sicherheit in der Informationstechnik 142 Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung mla drupal wordpress typo3 und contao top 10 000 Webseiten allerdings weltweit im kampf um die spitze ca 690 Websites in de nutzen Drupal http w3techs com technologies overvie w content management all Behandlung von nderungen Security Patches Zeit bis zum Erscheinen http drupal org security Der Vergleich eines Security Fixes der am 17 10 2012 bekannt gegeben wurde mit den http drupal ors SA CORE 2012 003 Quellen brachte nichts weil einer der be teiligten Security Team Member einen Branch eingecheckt hat den er vorher irgendwann gebildet hat ohne dass man sehen kann wann er es getan hat Transparenz der Begleitinformationen http drupal org SA CORE 2013 001 Link zeigt ein Beispiel Betrieb Logging Revisionsf higkeit Integrit tsgesch tzt Keine Informationen gefunden Vollst ndig http drupal org project settings audit lo
116. g sessions lo in html locking user account after too many retries Passwort vergessen http plonedemo de Konnte nicht tief genug gepr ft werden Kurzpr fung auf http plonedemo de ergab keine Schw chen URL enth lt keine NutzerID Captcha http plone org products plone captce Via Erweiterung has Sitzungsver CSRF Schutz 0 https github com plone plone protect waltung Secure und 0 http plone org documentation kb se HttpOnly Flag bei curing plone Cookies Bundesamt f r Sicherheit in der Informationstechnik 154 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung Service Transition Installation Deployment Vorbedingungen An Root Access auf System http hasecke com plone benutzerhan Nicht zwingend aber empfohlen Bei forderungen dbuch 4 0 installation linux html Installation ohne Root Rechte funktioniert Plone dann auch mit Be nutzerrechten Dies ist aber in der Regel f r Produktivsysteme bei Plone nicht w nschenswert Transparenz der Abh ngigkeiten http www hasecke com plone benutz Buildout ist ein skript und recipe ge gibt es ein Build System wie maven o erhandbuch 3 3 5 glossar html steuertes Buildsystem Bibliotheken integriert die m glicher Testinstallation Es werden keine zus tzlichen Bibliotheken weise Konflikte ausl sen mitgeliefert oder vorhandene ver ndert Der Uni
117. ge wichtige Hinweise die daraus vom Setup erzeugte Datei allerdings keinen einzigen mehr F r Drupal und Plone gibt es keine zentrale Konfigurationsdatei Bei Updates werden die sicherheitsrelevanten Einstellungen der Konfigurationsdateien durch TYPO3 WordPress und Joomla problemlos bernommen bei Drupal muss z B die evtl wichtige Datei htaccess manuell wiederhergestellt werden f r Plone konnte dies nicht gepr ft werden Bei allen Systemen ist eine Installation ohne oder mit nur wenigen zus tzlichen Arbeitsschritten m glich WordPress Joomla und ab der n chsten Version TYPO3 k nnen auch automatisiert aktualisiert werden Dabei werden i d R die sicherheitsrelevanten Einstellungen au er bei Drupal bernommen soweit wir das pr fen konnten 4 3 2 Anwenderdokumentation 4 3 2 1 Lieferung Guidelines Tutorials Zu allen betrachteten Systemen sind Tutorials oder Guidelines verf gbar bei denen aber nicht immer Sicherheit das Thema ist TYPO3 bietet u a einen ausf hrlichen Security Guide weiteres Schulungsmaterial und einen Blog des Security Teams Bei WordPress findet sich kein Dokument das sich ausdr cklich mit sicherheitsrelevanten Aspekten befasst F r Joomla gibt es neben rund zehn Artikeln der Serie Security 80 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 Checklist etwa drei ig Artikel zu einzelnen sicherheitsrelevanten Themen Zu Drupal gibt es einen Ad ministration amp S
118. gibt es aktuell f r die Version 2 2 f nf verschiedene Konfigurationsprofile zum Download Keines der betrachteten CMS ist dort vertreten Die Idee des Repository tr gt dem Umstand Rechnung dass die Software in verschiedenen Kontexten ge nutzt wird und sich st ndig weiterentwickelt Die Projekte k nnten das Repository mit jedem Release welches eine neue Konfiguration erm glicht selbst ndig erg nzen Jede Version k nnte mit zugeh rigen Metainformationen z B mit einem Schutzniveau versehen sein Auch wenn dieser bausteinorientierte Ansatz des NIST ein substanzieller Fortschritt gegen ber allen vergleichbaren Bem hungen ist wird die Sicherheit von CMS Sites jedoch h ufig durch die umsichtige Verkn pfung vieler verschiedener Komponenten z B Loadbalancer Webserver Web application firewall Caches Datenbanken erreicht Es m sste folglich hnlich wie in der Autoindustrie blich eine Paketierung verschiedener Infrastruktur dienste zu einem CMS Cluster geben welches sich an einem typischen Anwendungsszenario z B vgl Kapitel 5 2 orientiert Dieses CMS Cluster k nnte als Ganzes beschrieben und damit abpr fbar sein 5 3 3 Alternative Sicherheitsstrategien Seit Jahren fast Jahrzehnten gibt es Forschungen Strategien und Tools zur Vermeidung von Sicherheits l cken Das Wissen um m gliche Sicherheitsl cken und deren Vermeidung erweitert sich best ndig Gleichzeitig werden immer neue Schwachstellen gefunden und pro
119. gsten Quellen CMS Quelle http typo3 org http typo3 org news article typo3 60 back to the future http wiki typo3 org http typo3 org documentation document library http typo3 org teams security http buzz typo3 org teams security http wiki typo3 org http docs typo3 org http docs typo3 org typo3cms SecurityGuide http wordpress org http codex wordpress org WordPress http core trac wordpress org http learn wordpress com http www joomla org Joomla http docs joomla org http docs joomla org Security http drupal org http drupal org documentation http drupal org security secure configuration http www plone de http plone org http plone org products plone security overview http plone org products plone security advisories http plone org documentation http plone org documentation manual installing plone http www plone de dokumentation handbuecher http www hasecke com plone benutzerhandbuch 3 3 5 162 Bundesamt f r Sicherheit in der Informationstechnik Stichwortverzeichnis Stichwortverzeichnis System CMS auf Websites Begriff Bedeutung Synonym Abk rzung Auslieferungssystem Teil des CMS das die Seiten der Website aus verschiedenen Informationsquellen zusammen so aufbereitet wie der Be nutzer sie sieht Attribute Based Acce
120. h informiert und hat diese zu beheben Das Security Team berwacht diese Anzahl Installationen in Deutschland http plone ors support sites Es werden 170 Sites f r Deutschland ge listet Bundesamt f r Sicherheit in der Informationstechnik 158 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung Behandlung von nderungen Security Patches Zeit bis zum Erscheinen 0 F r einen Zeitrahmen zum Bereitstellen Keine Information Kein ffentliches Bug von Patches oder Bugfixes gibt es nur Tracking Nur eine Angabe aus AP1 einen Anhaltspunkt Der vorhin bereits erw hnte am 6 November 2012 You ask from when we knewitasahole to bereitgestellte Patch wurde am the bug fix but we don t keep records of 31 10 2012 offiziell gemeldet that My instinct is that that number would be on the order of 10 days but we have nothing to back that up Matthew Wilkes Plone security team Transparenz der Begleitinformationen http plone org products plone securi Problembeschreibung vorhanden ty advisories Betrieb Logging Revisionsf higkeit Integrit tsgesch tzt nf Keine Angaben gefunden Vollst ndig http www hasecke com plone benutz Logs sind vorhanden bei Verwendung des erhandbuch 4 0 umgang workflow ht Publication Control System mil fig workflow historie http plone ors documentation fag pl one logs Loglevel konfigur
121. h zu Drupal Bei www plone de findet man manche Dokumente in deutsch darunter aber nichts Sicherheitsrelevantes 4 3 2 5 Qualit t Aktualit t F r die meisten Systeme ist die zugeh rige Dokumentation gr tenteils auf einem aktuellen Stand mit Ausnahme von TYPO3 wo es einige M ngel gibt Man kann sich aber bei TYPO3 ber die Security Bulletins auf dem neuesten Stand zur Sicherheitsthematik halten Bei Joomla sind noch nicht alle Dokumente f r die aktuelle Version 3 0 erh ltlich aber bis auf einzelne Dokumente sind die zur Version 2 5 geh renden weiter anwendbar 4 3 2 6 Qualit t Vollst ndigkeit Eine Beschreibung der Sicherheitsmechanismen findet sich bei fast allen Systemen wenn auch nicht immer in dem ben tigten Umfang Bundesamt f r Sicherheit in der Informationstechnik 81 4 Sicherheitsuntersuchung e Der Security Guide von TYPO3 beschreibt typische Risiken und Bedrohungen und die verf gbaren Mittel eine Site davor zu sch tzen e Zu WordPress enth lt das Dokument Hardening WordPress entsprechende Informationen e Die Guidelines und FAQ zu Joomla enthalten zwar Beschreibungen einiger Mechanismen aber keine tiefergehenden Informationen e Bei Drupal liefert der Abschnitt Securing your Site im Administration amp Security Guide diese Informationen e Der Artikel Hardening Plone in der Plone Knowledge Base beschreibt zwar entsprechende Use Cases aber nicht alle Sicherheitsmechanismen Auch eine Beschr
122. he des Daten bestandes Bei Plone wird dies ber Scripte realisiert Besonders vertrauliche Nutzerdaten sollten in besonderen Bereichen mit h herem Schutzniveau ge speichert werden k nnen Alle Systeme bieten nat rlich die M glichkeit der Transportverschl sselung ber SSL Weitergehende Verfahren wie bspw die individuelle Verschl sselung von Inhaltsdaten wird leider von keinem System standardm ig angeboten Drupal bietet aber als einfache Alternative zur Verschl sselung per SSL das Modul Encrypt Submissions das eine Verschl sselung von Web Formulardaten erlaubt Diese werden durch das Plugin jCryption das AES mit 256 bit nutzt verschl sselt bzw auf Serverseite mittels PHP entschl sselt Jedoch muss f r die Nutzung Java Script auf dem Client aktiviert sein ansonsten erfolgt eine unverschl sselte bertragung Es handelt sich aber auch hier nur um eine reine Transportver schl sselung Die Trennung von fachlichen Daten und Systemdaten ist f r den Datenschutz besonders wichtig da dann der technische Betrieb nicht in die fachlichen Daten die ggf vertraulich sind einsehen muss Leider ist auch diese Funktionalit t bei keinem der untersuchten CMS standardm ig verf gbar 4 2 3 10 Umsetzung von Sicherheitsanforderungen Suchmaschine Alle Systeme bieten detaillierte Suchfunktionen Die Verwendung von Standardsuchmaschinen hat gegen ber eigenen propriet ren L sungen den Vorteil der vereinfachten Wartbarkeit insbe
123. heit Nicht gefunden Advisories auf der Website des Herstellers leicht auffindbar http docs joomla org Security Diverse Checklists FAQs und How Tos F r Erweiterungen Vulnerable Extensions List Beschreibung des Prozesses zur Be arbeitung von Sicherheitsproblemen http docs joomla org Security Checklist You have been hacked or defaced Sicherer Ent wicklungsprozess Einheitliche Qualit tskriterien http developer joomla org 5 policies 3 Jo Coding guidelines omla Coding Standards html und http joomla github com joomla platform L Aussagekr ftige und durchg ngige http joomlacode org svn joomla develo Kommentierung im Quelltext ment trunk 123 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Strukturelle Mittel zur Durchsetzung http joomla github com joomla platform Men punkt Code Analysis der Qualit tskriterien Transparenz des Entwicklungs http joomlacode org gf project joomla prozesses Dokumentation der Sicherheitsanforderungen und Keine Informationen hierzu verf gbar ziele Einsatzszenarien Annahmen Einschr nkungen Beschreibung aller Sicherheitsmechanismen auf Archi Keine Informationen hierzu verf gbar tektur Design und Implementierungsebene Pr fung Test Verifikation Des
124. heit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung rticle drupal 7 protects against brute for zu sein Dies wurde aber nicht gepr ft ce attacks http drupal ors project flood control Passwort vergessen 0 Testinstallation One time link 1 Tag g ltig per email Wenn die Funktion aktiviert ist wird eine Sicher heitsfrage gestellt Die Sicherheit des Systems http drupal org project security questio h ngt von der ausgew hlten Frage und der ns vom Nutzer festgelegten Antwort ab Captcha http drupal org search site captcha Sitzungsver CSRF Schutz 0 Drupal ist grunds tzlich anf llig f r CSRF An waltung griffe Es gibt aber zu jeder L cke eine dokumentierte L sung die meist h ndisch umgesetzt werden muss Secure und 0 http www echoditto com blog dont sha HttpOnly Flag bei re your cookies drupal and httponly flag Cookies Service Transition Installation Deployment Vorbedingungen Root Access auf System http drupal ors documentation install Anforderungen Transparenz der Abh ngigkeiten In der Beschreibung jedes Moduls sind die gibt es ein Build System wie maven o Abh ngigkeiten dargestellt Ein Build System ist nicht zu finden Aus der Beschreibung der Module kann man Bundesamt f r Sicherheit in der Informationstechnik 140 Anhang Ergebnist
125. her eingerichtete Sicherheits steuerungen nicht wieder unbeabsichtigt deaktiviert Die sichere Benutzung ist nur dann m glich wenn die Kette der Sicherheitselemente l ckenlos ber den gesamten Lebenszyklus reicht Unterhalb der ITIL Phasen werden im Folgenden die Qualit tskriterien des Open Software Assurance Maturity Modells Open SAMM verwendet 48 Eine andere Quelle z hlt 15 Mitglieder des Server Teams Administratoren 49 Software Assurance Maturity Model SAMM A guide to building security into software development http www opensamm org Zugriff am 07 12 2012 Bundesamt f r Sicherheit in der Informationstechnik 27 2 Einf hrung in Content Management Systeme CMS vertiefende Untersuchung notwendig Bewertungskriterium ITIL Service Operation Gesch ftsf hrung Governance ITIL Service Design ni Pr fung Test verification Softwareentwicklurg Construction sichere CMS Anwendung a ITIL Service Transition 5 Abbildung 2 7 Kriterien berblick Open SAMM ist ein Ergebnis des Open WebApp Security Projektes und bedient sich bei der Formulierung der Sicherheits und Verifikationsmechanismen der Tools und Standards vgl OWASP Application Security Verification Standard ASVS 2009 die gleichfalls in diesem Projekt geschaffen werden Die Bewertungskriterien werden f r alle drei ITIL Phasen in Form von Tabellen mit folgenden Spalten auf gef hrt e Bewer
126. ichere Modularisierung Modularisierung Die Trennung der Verantwort 0 Trennung auf Serverebene mittel entwicklung Architektur Trennung der Trennung der lichkeiten ist ein Grundprinzip Trennung auf Komponenten Construction logischen logischen verteilter Softwareentwicklung ebene Funktionen Funktionen Die voneinander getrennten Bestandteile weisen geringere Komplexit t auf und lassen sich leichter noch zielgerichteter absichern Trennunginver Die Trennung der vertrauens Built in ja hoch Bundesamt f r Sicherheit in der Informationstechnik 37 2 Einf hrung in Content Management Systeme CMS Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung SCHEN MACHEN kriterium ng schiedene Sicher w rdigen von den nicht ver 0 ber Betriebssystemmittel heitsniveaus m g trauensw rdigen System lich Sandbox bestandteilen ist ebenfalls ein allgemeiner Ansatz Hierf r gibt es verschiedene Mittel z B Java Sandbox Virtualisierung auf Betriebssystemebene Rechte beschr nkung auf Betriebs systemebene Sandboxing im CMS selbst Verwendung Pr fung der Installation auf 0 Es werden keine veralteten un ja hoch sicherer veraltete Softwareversionen sicheren Bibliotheken in der Bibliotheken Standard Installation gefunden Baseco Ausrichtung entlang Werden Standards wie RSS Standards werden verwendet mittel relevanter StandardsXHTML jquery WebDAV Priopriet re L
127. icklerdokumentation Schulungen Anleitungen zu http www plone entwicklerhandbuch Security Themen de plone entwicklerhandbuch http developer plone org index html https buildoutcoredev readthedocs or g en latest index html http docs zope org zope2 zdgbook Se curity html Transparenz der Kontakt des CMS Herstellers zur 0 To report potentially security related Kommunikation bei Meldung von Sicherheitsproblemen issues please send a mail to the Plone Schwachstellen Security Team at security plone org Bug Tracking System mit Kategorie http docs zope org zope2 zdgbook in Extra Meldeweg Sicherheitsl cken sollten Sicherheit dex html nicht ffentlich bekannt sein bevor sie behoben sind Deshalb werden die Bugs 145 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung nicht ver ffentlicht und nur den ent sprechenden Entwicklern bekannt ge macht Intern vermutlich ein eigenes Bug Tracking System Durchaus ein Sicherheitsgewinn Advisories auf der Website des 0 http plone ors products plone securi Herstellers leicht auffindbar ty advisories Beschreibung des Prozesses zur Be 0 http plone ors products plone securi arbeitung von Sicherheitsproblemen ty overview Sicherer Ent Einheitliche Qualit tskriterien https buildoutcoredev readthedocs or Style Guide wicklungsprozess
128. ierbar http developer plone org testing and d Addons k nnen verschiedene Loglevel ebussing logsing html nutzen Vertraulichkeit Fachliche Logs von http developer plone org testing and Keine Angabe in der Dokumentation ge technischen Logs debussins lossins html funden trennbar Verschl sselung der np Konnte nicht gepr ft nachgewiesen 159 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung fachlichen Logs mit werden Bordmitteln m g lich R cksicherung http plone org documentation kb ba Keine Angabe in der Dokumentation ge offenbart keinen ckup plone funden Klartext Einbindung in Systemmanagement Laufzeitinformationen extrahierbar Konnte nicht gepr ft nachgewiesen werden Steuerung per Skript http plone ore documentation kb sta rtup script for debian tutorial all page S http developer plone org misc com mandline html Es k nnen Skripte f r verschiedene Funktionen genutzt werden Steuerung per API http developer plone org reference m anuals external plone api api index ht ml Keine Angaben in der Dokumentation Bundesamt f r Sicherheit in der Informationstechnik 160 Anhang Ergebnistabelle Plone 4 21 161 Bundesamt f r Sicherheit in der Informationstechnik Linkliste der wichtigsten Quellen Linkliste der wichti
129. iese Anwendungsszenarien besonders gut unterst tzen Die funktional m chtigste Kategorie ist das Enterprise Content Management System ECM welches ein Unternehmen entlang seiner Gesch fts prozesse voll und umfassend unterst tzt F r funktionale Vergleiche von CMS finden sich im Netz einige Portale die einen ersten berblick bieten Diese Studie konzentriert sich allerdings auf Web Content Management Systeme d h CMS die daf r konstruiert wurden um die Pflege Darstellung und Nutzung aufbereiteter Informationen auf einer Intra net oder Internetsite zu erleichtern Diese Systeme sind aus sicherheitstechnischer Sicht besonders kritisch da sie einem Angreifer ein erstes Ziel eine erste Plattform bieten k nnen um in eine komplexere Unter nehmensstruktur einzudringen Web Content Management Systeme sind meist Systeme von der Stange die so h ufig eingesetzt werden dass eine bekannt gewordene Sicherheitsl cke viele Websites gleichzeitig gef hrdet Bekannte Sicherheitsl cken im CMS k nnen von Angreifern leicht dazu missbraucht werden interne Infrastrukturen ohne gro en Aufwand auszuspionieren Netzwerktechnisch unterscheiden die Architekten kommunaler Websites oft zwischen einem sicheren Intranet Beh rdennetz Fachanwendungen Firma etc das durch Firewall Strukturen gesichert ist und einer externen Website die v llig getrennt von der internen Infrastruktur betrieben wird Die Haupt aufmerksamkeit der verantwort
130. ign Review nachweislich Keine Informationen hierzu verf gbar Code Review nachweislich Nur f r Security Patches Sicherheitstests nachweislich Keine Informationen hierzu verf gbar Softwareentwicklung Construction Sichere Archi Modularisierung Modularisierung 0 Testinstallation Content Server und Auslieferungssystem sind tektur Trennung der Trennung der nicht trennbar Joomla benutzt aber das logischen logischen LAMP bzw WAMP Prinzip Linux Windows Funktionen Funktionen Apache MySQL PHP Die einzelnen Module k nnen bei Bedarf mit gleichwertiger Software ersetzt werden Die Funktionen sind ent sprechend logisch auf die Module aufgeteilt Trennunginver 0 Testinstallation Keine CMS Funktionalit t verf gbar Zur ck schiedene Sicher heitsniveaus m g lich Sandbox greifen auf OS Mittel Bundesamt f r Sicherheit in der Informationstechnik 124 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Basistechnologie Verwendung Testinstallation Bei einer Standardinstallation werden keine sicherer Biblio zus tzlichen Bibliotheken zur verwendeten theken PhP Version installiert Ausrichtung an Testinstallation XHTML core jquery core CMIS Modul relevanten Standards Integrations Web Services 0 http extensions joomla org extensions mi SOAP extension f higkeit scellaneous development 21684 http
131. igrate konzeptionell vor bereitet Vertraulichkeit und http drupal org project encrypt submiss AES 256 aber nur Transportverschl sselung Integrit t von Be ions nutzerdaten bzw Vorgangsdaten Bundesamt f r Sicherheit in der Informationstechnik 138 Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung sch tzbar Systemdatenvon Hierzu gibt es keine Informationen fachlichen Daten separiert Suchmaschine Reife der Such http drupal org documentation module maschine s search http drupal org project search api solr view modes Verwaltung der Redaktioneller http drupal org project workflow_adv Inhalte Workflow definierbar Versionierung von http drupal org project versioncontrol Inhalten Wiederverwendung http drupal org project linodef von Content zur Reduktion der Komplexit t Preview verf gbar http drupal org project pagepreview Standardm ig verf gbar und mit Modulen erweiterbar Authentifizierung Registrierung Testinstallation Keine besonderen Schwachstellen erkennbar Anmeldung Testinstallation Keine Schwachstellen erkennbar Brute Force Schutz 0 http drupal ors node 117056 Brute Force Schutz im Grundsystem aber Passwort kein Reset vorgesehen ber eine Extension http www greeniguanamarketing com a scheinen wenigstens die Parameter einstellbar 139 Bundesamt f r Sicher
132. ine SQL Datenbank verwendet wird FAKT Die Anteile der Code Execution Schwachstellen die schwerwiegendsten Fehler sind_bei_ Joomla und TYPO3 recht hoch Da dies PHP Systeme sind scheint der Vergleich zu Drupal und WordPress angemessen 79 http www cvedetails com 80 http www cvedetails com Bundesamt f r Sicherheit in der Informationstechnik 65 3 Aktuelle Bedrohungslage Typo3 Joomla Wordpress Plone Drupal 0 20 40 60 80 100 E File Inclusion E CSRF E Gain Privileges E Gain Information m Bypass something E Http Response Splitting E Directory Traversal E XSS E Sal Injection E Memory Corruption Overflow E Code Execution E DoS Die folgende Betrachtung vergleicht die Durchschnittswerte aller CMS bzgl der genannten Schwach stellentypen Dos Code Overfl Memory SQL XSS Director HTTP Bypass Gain Gain CSRF File Executi ow Corruptio Injecti yTra Respons Someth Infor Privile Inclusi on n on versal e Split ing matio ges on ting n Durch 5 41 0 0 34 65 4 0 14 31 3 5 5 schnit t Tabelle 3 22 Durchschnittswerte aller CMS bzgl der genannten Schwachstellentypen m Dos E Code Execution Overflow E SQL Injection E Directory Traversal E Memory Corruption E XSS E HTTP Response Splitting m By pass Something E Gain Information E Gain Privileges E CSRF E File Inclusion Abbildung 3 7 Graphische D
133. ing html jedoch gegenw rtig nicht gepflegt heitsniveaus m g lich Sandbox Basistechnologie Verwendung Testversion Es wird Python und das Zope 2 sicherer Biblio http plone org documentation manu Framework verwendet Die passenden theken al installing plone installing on linux unix bsd what is the unified installer Versionen werden mit dem Unified Installer mitgeliefert Es werden keine weiteren Bibliotheken verwendet Ausrichtung an relevanten Standards http plone org products plone featur es old 3 0 existing features standards compliant xhtml and css http www plone nutzerhandbuch de webdav index html HTML5 Rss XHTML CSS WebDAV WS Security Bundesamt f r Sicherheit in der Informationstechnik 148 Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung WS Trust http plone org events regional past e SAML vents nola05 collateral web services p SOAP resentation pdf test driven development Integrationsf hig Web Services http packages python org wsapi4plon SOAP keit e core WS Security http plone org events regional past e vents nola05 collateral web services _p resentation pdf Payment 0 http i python or i Products P Payment Module verf gbar loneGetPaid O0 10 4 http plone ors products collective pf g payment Authentifizierung http plone org products webserver
134. inien vorhanden vgl Kapitel 4 2 1 4 Organisatorische Maf nahmen um die Einhaltung dieser Kriterien und Richtlinien auch durchzusetzen sind aber bei Joomla nicht dokumentiert und greifen bei TYPO3 f r Erweiterungen nur unter be stimmten Bedingungen Allgemein k nnen die CMS Entwickler die Qualit t und Sicherheit von Er weiterungen nicht sicherstellen die au erhalb der Projektplattformen angeboten werden Erweiterungen f r das Python basierte CMS Plone werden blicherweise als Python Package ausgehend von einem durch die Plone Entwickler vorgegebenen Code Skeleton Template entwickelt Durch diese vorgegebene Struktur und die Verwendung von Zope Komponenten werden einige Quellen f r Schwach stellen vermieden So l sst sich die im Vergleich zu den anderen CMS geringe Zahl von gemeldeten Plone Schwachstellen erkl ren Zusammenfassend kann gesagt werden dass ausreichende Richtlinien und Qualit tskriterien zusammen mit entsprechenden Reviews und Sicherheitstests helfen das Risiko von Schwachstellen in den Basis systemen zu reduzieren bei ben tigten Erweiterungen aber im Einzelfall darauf geachtet werden soll ob sie ebenfalls Tests unterzogen und von einem Security Team betreut werden 86 Bundesamt f r Sicherheit in der Informationstechnik Zusammenfassung der Studie 5 5 Zusammenfassung der Studie 5 1 Ergebnisse 5 1 1 Sicherheitsniveau der betrachteten CMS Zuerst darf festgestellt werden dass die betrachteten Open Sour
135. ion Die hier ausgewerteten Quellen sind aus den eingangs geschilderten Gr nden als Anhaltspunkt nicht aber als Kriterium f r die Auswahl des CMS geeignet Dennoch lassen sich einige Aussagen ableiten Transparenz Alle Open Source CMS stellen eine Transparenz bzgl ihrer Schwachstellen her Der Dienst anbieter kann aufgrund dieser Informationen eine qualifizierte Entscheidung treffen in dem er bezogen auf sein Anwendungsszenario pr ft welche Schwachstellen ihn in der Vergangenheit berrascht h tten Er kann pr fen oder pr fen lassen wie das Security Team auf diese Schwachstelle reagiert hat wie die Qualit t 82 http www secunia com 83 www cvedetails com 68 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 der Kommunikation in Bezug auf die Sicherheitsl cken war und welche zus tzlichen Schwachstellen das Team selbst beseitigt hat Schwachstellen im CMS Kern Die Anzahl der im CMS Kern gefundenen Schwachstellen ist gering im Ver h ltnis zu den Schwachstellen in den Erweiterungen Im Fall von Plone f hrt dieser simple Vergleich zu einem gr eren Verh ltnis da bei Plone schon viele Erweiterungen im Kern enthalten sind Die geringen absoluten Zahlen gefundener Schwachstellen bei Plone sprechen jedoch f r die Qualit t dieses CMS Im Allgemeinen lassen die Ergebnisse jedoch nicht die Schlussfolgerung zu dass die Beschr nkung auf die Standardinstallation ausreichend sicher w re Gefu
136. ionen ausgetauscht und Transaktionen aus Sicht des B rgers abgewickelt werden Die Website wird mehrsprachig angeboten Aufgrund der Menge der zu verwaltenden Inhalte und Sprach varianten sind das Verwenden von Vorlagen Templates und Dokumententypen zwingender Bestandteil des CMS Die Anbindung der Gesch ftsprozesse erfolgt ber standardisierte Schnittstellen Web Services der Fach verfahren Ein konkretes Beispiel f r diesen Fall w re eine mittlere Kommune bei der die B rger ber aktuelle Vor haben der ffentlichkeit diskutieren k nnen Antr ge an ihre Verwaltung stellen und sich ber deren aktuellen Status informieren k nnen 2 4 4 Szenario 4 Mittelst ndisches Unternehmen mit mehreren Standorten Das Szenario orientiert sich an einem Dienstanbieter der mit einem eingesetzten CMS mehrere Websites f r unterschiedliche Zielgruppen mit gemeinsam genutzten Inhalten umsetzen m chte Redakteure die f r die Erstellung der Inhalte verantwortlich sind kommen in diesem Fall aus unterschied lichen Bereichen Die Erstellung der Inhalte erfolgt z T nach dem Mehr Augen Prinzip und erfordert definierte Redaktionsworkflows Der Dienstanbieter verf gt ber vier bis f nf Mitarbeiter f r den Betrieb der CMS Komponenten sowie mindestens vier Mitarbeiter die ber Marketing ffentlichkeitsarbeit an den Redaktionsworkflows be teiligt sind Die inhaltliche und technische Umsetzung ist v llig separiert Geldmittel und Fachexpe
137. ionstechnik Einleitung 1 Fakten werden optisch gr n und durch das vorangestellte Wort FAKT gekennzeichnet Empfehlungen mittel bis langfristige Ma nahmen werden optisch rot sowie durch das voran gestellte Wort EMPFEHLUNG gekennzeichnet Bundesamt f r Sicherheit in der Informationstechnik 11 2 Einf hrung in Content Management Systeme CMS 2 Einf hrung in Content Management Systeme CMS 2 1 Technischer und funktionaler Aufbau Websites insbesondere Informationsportale im Internet leben von verl sslicher Information qualitativ hochwertigen Inhalten und zeitnaher Aktualisierung Mit CMS k nnen Dienstanbieter die Benutzer schnell kosteng nstig und zuverl ssig mit den im Kontext relevanten Informationen versorgen Mit zunehmender Komplexit t der Websites werden CMS als technische Basis unabdingbar um die Vielzahl an Inhalten und Formaten zu pflegen und zu organisieren Die zentrale und formatunabh ngige Datenhaltung erm glicht es Inhalte auch mehrfach und in verschiedenen Internetangeboten zu publizieren H ufig werden CMS um E Commerce E Participation oder E Collaboration L sungen erweitert Der technische Aufbau der zu betrachtenden Systeme ist schematisch in Abbildung 2 1 dargestellt Die Systeme unterscheiden sich sowohl hinsichtlich der Basis Technologien als auch im Hinblick auf die Ab grenzung der logischen Komponenten Grunds tzlich folgen CMS den Prinzipien moderner Soft ware Architekturen
138. itekf r un nn 26 Abbikluns 27 Kriterien berDlick nu nennen AEE 28 Abbildung 2 8 Kriterien berblick Service Design Gesch ftsf hrung 30 4 Bundesamt f r Sicherheit in der Informationstechnik Inhaltsverzeichnis Abbildung 2 9 Kriterien berblick Service Design Pr fung Test 32 Abbildung 2 10 Kriterien berblick Service Design Softwareentwicklung eeeeeseseesesse 33 Abbildung 2 11 Kriterien berblick Service Transition uaessssssssssssssssensessensensensensensennennennennennennennennennnenennnnene 44 Abbildung 2 12 Kriterien berblick Service Operation usaessssessesssessensseneensennseneeneennenneenssnnennennnenneeneennennennnnenennenensenee 47 Abbildung 3 1 Drupal Schwachstellen Basis Installation und Erweiterungen nssne 55 Abbildung 3 2 Plone Schwachstellen Basis Installation und Erweiterungen neeen 57 Abbildung 3 3 WordPress Schwachstellen Basis Installation und Erweiterungen 59 Abbildung 3 4 Joomla Schwachstellen Basis Installation und Erweiterungen 61 Abbildung 3 5 TYPO3 Schwachstellen Basis Installation und Erweiterungen 63 Abbildung 3 6 Verteilung der gemeldeten Schwachstellen eussssseseseensenseneseneneeneneenenne 66 Abbildung 3 7 Graphische Darstellung der Durchschnittswerte aller CMS bzgl der genannten Schwach stellenty pe manner ee eisen 66 Abbildung 3 8 Graphische Darstellung der Schwachstellen in den Erweiterungen und Basis Installati
139. ke it at least 6 characters Add lowercase letters Add uppercase letters Add numbers Add punctuation To change the current user password enter the new password in both fields Abbildung 4 3 Zu Beginn bei leerer Eingabe Password TETT Password strength e Weak Confirm password To make your password stronger Make it at least 6 characters Add numbers To change the current user password enter the new password in both fields Abbildung 4 4 Nach Eingabe von PW pa Password Password strength Strong Confirm password To change the current user password enter the new password in both fields Abbildung 4 5 Nach Eingabe von PW passwort 1 Captcha Funktionalit ten sind mittels Plugins f r alle Systeme verf gbar vgl Tabellen im Anhang ab Seite 99 78 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 4 2 3 13 Umsetzung von Sicherheitsanforderungen Sitzungsverwaltung Auch eine sichere Sitzungsverwaltung ist f r CMS essentiell Hier ist insbesondere ein CSRF Schutz wichtig sowie die Verwendung von Secure und HttpOnly Flags bei Cookies Alle Systeme unterst tzten die entsprechenden Ma nahmen f r eine sichere Sitzungsverwaltung 4 3 Service Transition 4 3 1 Installation Deployment 4 3 1 1 _ Vorbedingungen Anforderungen Selbstverst ndlich sollten CMS nicht mit Root Rechten auf dem Server betrieben werden Aber auch die Installation sollte m glichst ohne
140. kehrt die bernahme von Daten in WordPress Joomla unterscheidet zwischen Modulen und Plugins Module sind Erweiterungen die das Rendern der Seiten beeinflussen k nnen und besitzen i d R eine geringere Komplexit t als Plugins Joomla Plugins unterscheiden sich in Content Search Authentication und System Plugins Alle Plugin Klassen sind so genannte observer classes die an ein globales Event Dispatcher Objekt im Joomla Kern gebunden sind Damit ist es m glich Joomla ereignisgesteuert mit neuen Funktionen zu erweitern Auch Drupal bietet die M glichkeit Erweiterungen bei Drupal Modules genannt zu entwickeln Hierzu stehen eine Reihe von sogenannten Drupal Hooks d h Funktionen des Drupal Cores zur Verf gung woran die Module abh ngig von ihrer Funktionalit t angekn pft werden 74 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 Plone verwendet zur Erweiterung add ons die als Python Packages entwickelt und zur Verf gung gestellt werden Diese werden dann auch ber PyPi Python Package Index verbreitet Zur Reduktion der Komplexit t von Python Packages werden Plone ZopeSkel Code Templates Code Skeleton Templates bereitgestellt auf deren Basis bspw neue Themen oder Funktionalit ten entwickelt werden k nnen 4 2 3 6 Umsetzung von Sicherheitsanforderungen Rollen und Rechtekonzept Die Vererbung von Rechten im Content Modell wird von WordPress und Joomla rea
141. ktionalit t die sie verwenden Betrieb Logging Revisionsf hig Integrit ts http extensions joomla org extensions ac Nicht im System integriert Die verlinkte Ex keit gesch tzt cess a security site security site protection tension kann berpr fen ob Daten auf dem 19452 System ver ndert wurden Es wird nicht er w hnt ob dazu auch die dazugeh rigen Logdaten geh ren Vollst ndig Keine Informationen ber Logging gefunden Loglevel konfigurierbar Keine Informationen ber Logging gefunden Vertraulichkeit Fachliche Logs von Keine Informationen ber Logging gefunden technischen Logs trennbar Verschl sselung Keine Informationen ber Logging gefunden der fachlichen Logs mit Bordmitteln m glich R cksicherung Keine Informationen ber Logging gefunden offenbart keinen Klartext Einbindungin Laufzeitinformationen extrahierbar Keine Informationen gefunden Ser Steuerung per Skript Keine Skriptf higkeit keine Hinweise ge management Anden Bundesamt f r Sicherheit in der Informationstechnik 132 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Steuerung per API Keine Informationen gefunden 133 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle An
142. ld ein Dienstanbieter diesen Aufwand tr gt erh lt er den Nutzen einer im Vergleich zu einer spezialisierten Webapplikation deutlich h heren Testabdeckung d h eines deutlich geringeren Risikos unentdeckter Schwachstellen 5 1 2 Optimierungsm glichkeiten Der sichere Betrieb einer CMS Website resultiert aus drei haupts chlichen Faktoren e 1 der Sicherheit der verwendeten Software e 2 der angemessenen Konfiguration und e 3 dem angemessenen Systemmanagement einschlie lich des Patchmanagements Der Fokus der Projekte liegt bisher auf 1 und 3 Das Schlie en der L cken die durch unsichere Konfigurationen entstehen wird einen deutlichen Gewinn an Sicherheit bringen Wie oben dargestellt lagern viele CMS architektonische Aufgaben wie Lastverteilung Hochverf gbarkeit etc an andere Komponenten aus Auch sollte das Sicherheitssystem immer mehrschichtig sein d h sich nicht auf die Wirksamkeit einer einzelnen Schicht verlassen Deshalb muss die sichere Konfiguration bergreifend ber die Infrastruktur auf Basis von Hauptanwendungszwecken unterst tzt werden Dies ist nicht allein Aufgabe des CMS Projektes Wo die CMS dies jedoch unterst tzen k nnten w re bei der Standardisierung von Konfigurationschecks vgl Kapitel 5 3 2 EMPFEHLUNG Eine sichere Konfiguration muss bergreifend ber die Infrastruktur auf Basis von Hauptanwendungszwecken unterst tzt werden Bundesamt f r Sicherheit in der Inform
143. letins zeigen Sicherheitsl cken Sicherheit bulletins und die L sung dazu Advisories auf der Website des 0 http typo3 org teams security security In der Rubrik Support gibt es direkt einen Link Herstellers leicht auffindbar bulletins zu den Security Bulletins Beschreibung des Prozesses zur Be 0 http typo3 org extension manuals doc Vor allem Punkt 1 10 Detect Analyze and arbeitung von Sicherheitsproblemen guide security 1 0 1 view Repair a Hacked Site der Dokumentation be achten Sicherer Entwick Einheitliche Qualit tskriterien http docs typo3 org typo3cms CodingGu lungsprozess idelinesReference Aussagekr ftige und durchg ngige Quellcode Kommentierung im Quelltext http prdownloads sourceforge net t 99 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung o3 typo3_src 4 7 7 zip download Strukturelle Mittel zur Durchsetzung der l http docs tyvpo3 org typo3cms Codin Eine Beschreibung der formalen Anforderungen Qualit tskriterien GuidelinesReference bzw Standards in Bezug auf PHP Programmierung die beachtet werden sollen wenn TYPO3 Extensions oder Core Teile ent wickelt werden Es werden keine Verfahren zur Durchsetzung beschrieben Transparenz des Entwicklungsprozesses http typo3 org news development Der Link f hrt zu
144. lichen Hinzuf gen neuer Dokumente Die Website enth lt einen gesch tzten Bereich f r eine berechtigte Nutzergruppe Innerhalb des Bereichs werden personenbezogene Daten dargestellt Bundesamt f r Sicherheit in der Informationstechnik 51 2 Einf hrung in Content Management Systeme CMS Die Website erlaubt Basis Interaktionen wie beispielsweise das Ausf llen eines Kontaktformulars und eine Suche Ein Fremdsystem wie zum Beispiel die Nutzerverwaltung der Mitarbeiter des Dienstanbieters ist an das CMS System angekoppelt Ein konkretes Beispiel f r dieses Szenario w re ein kommunales B rgerb ro bei der sich das Angebot sowie die ffnungszeiten ansehen und Termine mit Sachbearbeitern vereinbaren lassen 2 4 3 Szenario 3 Open Government Site einer Kleinstadt Das Szenario 3 beschreibt Websites mit zus tzlich zu den im Szenario 2 beschriebenen Funktionalit ten wie der Anbindung von Gesch ftsprozessen und der Einbindung einer Community Im Szenario 3 ist die Anbindung von ca 2 3 Fremdsystemen gefordert Zur technischen Pflege der CMS Komponenten stehen finanzielle Mittel f r zwei bis drei Mitarbeiter mit IT Wissen zur Verf gung und mindestens eine Stelle f r ffentlichkeitsarbeit Die Anzahl der zu pflegenden Seiten liegt bei ber 100 Seiten Die Website verf gt ber Mechanismen zur B rgerbeteiligung wie Umfragen Foren Newsletter User Generated Content Sie dient als zentrale Plattform ber die Informat
145. lichen Stelle liegt h ufig bei der internen Struktur Die Vernetzung der eigenen Webseite mit externen Internetseiten ist meist von Kunden B rgern ge w nscht stellt aber immer ein Sicherheitsrisiko dar Eine Entkopplung u erer Darstellung von interner Infrastruktur ist dabei oft keine Option Dies betrifft nicht nur kommunale Websites mit ihrem Tourismus Wirtschafts und Verwaltungsteil sondern auch viele Fachverfahren die sich mittlerweile sehr h ufig der Internettechnologien bedienen Das Ziel dieses Dokumentes ist es eine Auswahl von CMS mit dem Schwerpunkt auf Freie Software bez g lich ihrer Sicherheit zu untersuchen und zu bewerten Die Studie zeigt Privatpersonen und IT Verantwort lichen der ffentlichen Verwaltung sowie der freien Wirtschaft Handlungsfelder und Gestaltungsoptionen beim Auf oder Ausbau ihrer Websites mit CMS auf Dabei muss die rechtliche und organisatorische Ebene ebenso ber cksichtigt werden wie die darunter liegende Technik Es m ssen nicht nur verf gbare Funktionen von CMS verglichen werden sondern auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS 1 vgl Definition von CMS in Wikipedia http de wikipedia org wiki Content Management System 2 F r den Begriff Content Management System gibt es fast so viele Definitionen wie Anbieter und Berater Um die Systeme miteinander vergleichen zu k nnen werden im Stichwortverzeichnis einige Schl sselbegrif
146. lisiert Alle Systeme haben ein Rollen oder Gruppen basiertes Rechtesystem mit dem sich abgestufte Zugriffs rechte f r eine gr ere Anzahl von Benutzern definieren lassen Eine attributspezifische Rechtevergabe ABAC ist aber bei keinem der Systeme implementiert Bei den Systemen TYPO3 Joomla Drupal und Plone lassen sich die Inhalte einer Website hinsichtlich unterschiedlicher Zugriffsrechte sehr detailreich gliedern 4 2 3 7 Umsetzung von Sicherheitsanforderungen Anpassbarkeit Alle CMS verf gen ber M glichkeiten zur individuellen Anpassung Beispiele daf r sind die Verwendung eines speziellen URL Formats oder die Umsetzung einer Version der Web Seite f r mobile Endger te In der Regel werden solche Anpassungen ber externe Erweiterungen realisiert Bei TYPO3 ist der ist Zugriff mobiler Ger te auch f r das Back End geplant Nicenames die die Wartbarkeit Navigation und bersichtlichkeit erh hen werden von allen Systemen angeboten Mit Ausnahme von Joomla und Drupal bieten auch alle Systeme Funktionen zur Personalisierung an die eine individuelle Gestaltung der Webseiten unterst tzen Die Kontextsensivit t ist nur bei Drupal und Plone dokumentiert Ob die brigen Systeme hnliche Funktionen besitzen die nur noch nicht ausreichend dokumentiert sind oder ob sie tats chlich keine der artige Funktion besitzen konnte nicht weiter berpr ft werden 4 2 3 8 Umsetzung von Sicherheitsanforderungen Sprachvarianten
147. mationstechnik 91 5 Zusammenfassung der Studie e der Platzierung von Schadfunktionen auf dem Server zur Beobachtung berwachung der Besucher oder zur Verbreitung von Schadsoftware e dem Hochladen von unangemessenen und strafrechtlich relevanten Inhalten durch unberechtigte Dritte e dem Missbrauch des Servers f r die Nutzung in Botnetzen e dem Abh ren der Kommunikation mit dem Server e Angriffsszenarien zur Einschr nkung der Verf gbarkeit sowie e dem Ausspionieren und Verbreiten der personenbezogenen Daten der Gesch ftsprozesse und der Accounts sowie allen Formen des Identit tsdiebstahls ausgegangen werden Auch hier sollten die personenbezogenen Daten und weitere Gesch ftsprozessdaten nicht unverschl sselt in der Datenbank des CMS abgelegt werden Die Daten ben tigen eine strukturell ge sicherte Datenbank des jeweiligen angebundenen Gesch ftsprozesses die dem Anspruch des hohen bzw sehr hohen Schutzbedarfs gen gt Alle Infrastrukturkomponenten von der Lastverteilung ber Webserver CMS Datenbank bis zur Servicelandschaft der Hintergrundsysteme sollten konzeptionell gegeneinander gesch tzt sein und ihre Kommunikationsverbindungen angemessen abgesichert sein Verteidigung in der Tiefe Die damit verbundene Vorgehensweise und entsprechende Ma nahmen f r die Gesch ftsprozesse werden an dieser Stelle nicht weiter betrachtet jedoch m ssen die am CMS eingegebenen oder auch an gezeigten Daten dem Schutzbedarf des jeweiligen
148. me bzw Optimierungsm glichkeiten Die Softwarearchitektur des CMS gliedert sich in die Joomla Plattform f r Web und Kommandozeilen anwendungen und in die CMS Applikation auf Basis der Plattform FAKT Im Unterschied zu WordPress ist Joomla f r Erweiterbarkeit konzipiert was man an den bereits im Kern vorgesehenen Komponententypen erkennen kann 2 2 4 2 Komponenten Die Joomla Sprachwelt unterscheidet die Komponententypen Components Modules und Plugins Eine festgelegte Menge dieser Komponententypen bildet die Core Features Daneben werden Templates und Languages genannt die wie in den anderen CMS f r das Seitenlayout und die Mehrsprachigkeit genutzt werden Die zentralen funktionalen Aspekte wie Inhalts und Nutzerverwaltung Zugriffssteuerung Template Engine ein WYSIWYG Editor und die Suchmaschine sind Teil des Kerns Weitere Aspekte wie die An bindung verschiedener Authentifizierungsverfahren das Caching zur Verbesserung der Performance oder integrative Bestandteile wie XML RPC Schnittstellen sind im Kern bereits implementiert FAKT Die Installation der Core Features hinsichtlich ihrer Funktionalit t ergibt bei Joomla eine voll nutzbare per CMS verwaltete Website 40 http de wikipedia org wiki Single_Point_of_Failure 41 Components sind Apps meist einschlie lich ihrer Konfigurationsfunktionalit t 42 Modules sind einfachere Komponenten zum Seitenaufbau z B Banner oder Men s 43 Plugin
149. me sicherheitsrelevanter Ein ja hoch stellungen bei Updates nein Anwender an ja gering dokamenttg Lieferung Guidelines Tutorials nein a Qualit t Zielgruppenorientierung Gibt es f r die Zielgruppen Ad ja gering ministratoren Entwickler und Anwender nein 45 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Transition Bewertungskriterien Beschreibung Erl uterung Bewertung AUS Lu went kriterium ng separate Dokumentationen Navigation und Suche Sind Struktur und Formulierung ge ja gering eignet die Informationen zu finden nein Kann man punktuell darauf zugreifen Enth lt jedes Thema sinnvolle Informationen oder gibt es Seiten die nur weiter verweisen Mehrsprachigkeit Ist sicherheitsrelevante Dokumentation ja gering auch in deutsch vorhanden nein Aktualit t Ist sicherheitsrelevante Dokumentation Alle ja hoch auf dem letzten Stand Dokumentation ist bis auf vereinzelte Aus nahmen aktuell Es gibt fter ver altete Informationen Beschreibung aller Sicher ja mittel heitsmechanismen mit 0 nein Annahmen und Ein schr nkungen _ 1 1 Beschreibung aller sicher ja hoch Vollst ndigkeit heitsrelevanten Ein 0 nein stellungen Beschreibung ver ja gering schiedener Szenarien z B 0 nein externer ID Provider Tabelle 2 7 Kriterie
150. menfassung der Studie ein Shopsystem und auch einen konfigurierbaren Workflow anbieten als geeignet Joomla und WordPress bieten kaum geringere M glichkeiten Hier ist ein professionelles Sicherheitsmanagement aufzusetzen Plone bietet kaum Alternativen bei den Shopsystemen Im konkreten Einzelfall muss das Unternehmen selbst pr fen welches System sich mit dem geringsten Aufwand in die Unternehmensprozesse einbinden l sst und die geeigneten Funktionalit ten f r den zu erstellenden Anforderungskatalog bietet 5 3 Ausblick In einem sich rasant entwickelnden Umfeld stellt sich immer die Frage ob die gestern gewonnenen Er kenntnisse heute noch von Bedeutung sind und was man an allgemein g ltigen Anschauungen aus dem Text ziehen kann Die in Kapitel 3 dargestellten Statistiken wurden im Dezember 2012 erstellt der Abgleich der Sicherheitsuntersuchung mit diesem Stand fand im M rz 2013 statt Da die Datenlage statistisch sehr instabil ist wenige Daten verf gbar k nnen neue Releases neue Schwachstellenfunde neue Priorisierungen innerhalb der Extensions die Erkenntnisse der Bedrohungslage Kapitel 3 und der Sicher heitsuntersuchung Kapitel 4 relativ schnell ndern w hrend die Aussagen in der Zusammenfassung Kapitel 5 mittelfristige G ltigkeit besitzen Hier werden ma gebliche Tendenzen diskutiert die eine individuelle Betrachtung bereichern k nnen 5 3 1 Entwicklung der Gef hrdungen OWASP Top 10 2013 Die Top 10 sind die d
151. merkung Service Design Gesch ftsf hrung Governance Lizenzierung Ausprobierbarkeit Es ist zzt keine offizielle Testinstallation auf findbar Interessierte m ssen selbst eine Test installation erstellen Entwicklerdokumentation Schulungen Anleitungen zu http drupal org documentation develop Es gibt ausf hrliche Beispiele und vor Security Themen programmierte Module Au erdem gibt es Anleitung wie JavaScript und SQL genutzt werden k nnen Transparenz der Kontakt des CMS Herstellers zur 0 http drupal ors node 101494 Sicherheitsprobleme k nnen entweder ber Kommunikation Meldung von Sicherheitsproblemen die Seite security drupal org oder die bei Schwach E Mail Adresse security drupal org gemeldet stellen werden Bug Tracking System mit Kategorie 0 http drupal org security psa Sicherheitsprobleme werden erst ver ffent Sicherheit licht wenn es einen Patch gibt Advisories auf der Website des 0 http drupal orgs security contrib Herstellers leicht auffindbar Beschreibung des Prozesses zur Be 0 http drupal orgs node 213320 arbeitung von Sicherheitsproblemen Sicherer Ent Einheitliche Qualit tskriterien http drupal org coding standards wicklungs prozess http drupal org writing secure code Bundesamt f r Sicherheit in der Informationstechnik 134 Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung Aussag
152. n weniger als 5 5 in Deutschland mehr als 50 ja mittel Anzahl Installationen 0 zwischen 10 und 50 weniger als 5 Zeit bis zum Erscheinen Nur Schwachstellen sehr hoher Priorit t um weniger als 2 Tage ja hoch vergleichbar zu sein 0 zwischen 2 und 8 Tagen mehr als 8 Tage Transparenz der Begleitinformation Es ist bersichtlich hoch Behandlung ae Br Security gegliedert es ist eine n Patches nachvollziehbare Problembeschreibung vorhanden 0 Es ist erkennbar wer betroffen ist andernfalls Betrieb Logging Revisions integrit tsgesch tzt K nnen die Logs mit Zeitstempel und ja mittel f higkeit Signatur versehen werden nein vollst ndig hinsichtlich Sind fachliche Logs konfigurierbar aus denen ja mittel Revisionsf higkeit hervorgeht wer wann welche Aktion aus nein gel st hat LogLevel konfigurierbar Sind verschiedene Loglevel zwischen Trace ja mittel und Info konfigurierbar nein Vertraulich fachliche Logs von Kann das Logging so konfiguriert werden ja mittel keit technischen Logs dass die technischen Administratoren keine nein Bundesamt f r Sicherheit in der Informationstechnik 48 2 Einf hrung in Content Management Systeme CMS Service Operation Bewertungskriterien Beschreibung Erl uterung Bewertung use Machlun kriterium g trennbar vertraulichen fachlichen Informationen sehen Verschl sselung der Kann das
153. n http drupal org node 627332 Es ist nichts ber die Vererbung von Rechten Sicherheits Rechtekonzept Rechten im Content Modell dokumentiert anforderungen Definition von http drupal org node 627158 Die Definition von Gruppen wird nicht er Gruppen w hnt Rollen basierter http www drupalcenter de handbuch 28 Zugriff 797 Attribut basierter Ein attributbasierter Zugriff ist nicht 137 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Drupal 7 17 Drupal 7 17 Kriterium Wert Quelle Anmerkung Zugriff dokumentiert Granularit t der http drupal orgs getting started 6 admin Die Dokumentation ist nur sehr kurz Zugriffssteuerung user Anpassbarkeit Unterst tzung http drupal org documentation mobile mobiler Endger te Nicenames http codex gallery2 org Integration Dru URL rewriting al Installation URL Rewrite Personalisierung Es konnten keine Informationen dar ber ge funden werden Kontext Sensitivi http drupal ors project context t t Sprachvarianten Inter http www drupalcenter de node 251 nationalisierung nach Best Practices realisiert Sichere Daten Ablage von Zu http stackoverflow com questions 5031 Drupal nutzt SHA512 mit Salt und mehreren ablage gangsdaten 662 what is drupals default password en Iterationen in Datenbanktabelle cryption method R cksicherungen http drupal ors project backup m
154. n Service Transition Details Bundesamt f r Sicherheit in der Informationstechnik 46 Einf hrung in Content Management Systeme CMS 2 2 3 4 Service Operation Professional Support Zertifizierungen _ Support en gt Fartner und Dienstleister mit Internetpr senz Themenvielfalt Marktdurchdringung j Anzahl unabh ngiger Hogs Messen Konterenzen R ckw rtskompatibilit t SED ES EBEN WER A mp ITIL Service Behandlung vor Operation y Patches hj Anderungen TEE E DE 5 funktionale Patches Revwisionsf hlgkeit ee bogging Wertraulichkeit 1 Einbindung in Systemmanagement ITIL Service a Transition J Abbildung 2 12 Kriterien berblick Service Operation ITIL Service Design Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Operation Bewertungskriterien Beschreibung Erl uterung Bewertung eg Machtun riterium g Anzahl moderierter Foren mit Fokus Die Foren sind sehr praxisnah und damit eine mindestens eins hoch menet Security gute Erg nzung zur Dokumentation kein Forum H Anzahl Akteure mit Fokus Security Anzahl der Mitarbeiter bzw der Entwickler mehr als 10 ja hoch Markt pr senz i we durchdimsun im Security Team die tats chlich die Bugs 0 zwischen 5 und 10 beheben und Schwachstellen suche
155. n Beispiels Bei den brigen Systemen muss man sich mittels unterschiedlicher Dokumente einen berblick verschaffen Weitere Details hierzu finden sich in den Tabellen unter dem Kriterium Beschreibung aller Sicherheits mechanismen auf Architektur Design und Implementierungsebene im Anhang ab Seite 99 4 2 2 Pr fung Test Verifikation F r die Stabilit t Robustheit und Fehlerfreiheit eines Softwareprodukts sind w hrend der Entwicklung h ufige berpr fungen des Designs und der entstandenen Programmelemente von hoher Bedeutung Auch erfahrene Software Architekten und Entwickler machen Fehler und nicht jeder Entwickler ist gleich zeitig ein Sicherheitsexperte Um sicherheitsrelevante Fehler aufzudecken ist es sinnvoll einen Review von Experten durchf hren zu lassen Besonders wichtig sind Pr fungen des Software Designs sowie der Implementierung auf Schw chen Besonders gr ndlich und aufschlussreich aber auch aufw ndig ist eine Analyse des Quelltextes Leider ist nur wenig ber durchgef hrte Sicherheitsanalysen der betrachteten CMS ver ffentlicht Bei Open Source Projekten die ein explizites Security Team haben TYPO3 WordPress Joomla Drupal und Plone kann davon ausgegangen werden dass intern eine Pr fung stattfindet TYPO3 Drupal und Plone haben zumindest mehr oder weniger formale Richtlinien zur Pr fung von externen Erweiterungen vor deren Aufnahme in die offizielle Liste Dabei werden Kernkomponenten v
156. n LDAP Server f r die Benutzerverwaltung Sicherheit spielt in diesem Szenario eine besondere Rolle da personenbezogene Daten verarbeitet werden Vertraulichkeit und Integrit t haben hier einen deutlich h heren Stellenwert Auch die Anforderung an die Verf gbarkeit ist hoch zu bewerten da die Kommune mit dem elektronischen Angebot ihre Kosten ver ringern m chte Die B rger m ssen darauf vertrauen k nnen dass dieser Dienst st ndig erreichbar ist und funktioniert F r die Anwendung wird deshalb von hohem und ggf sehr hohem Schutzbedarf f r die personenbezogenen Daten ausgegangen F r diesen Server muss von der kleinen Gemeinde mindestens der BSI Standard 100 2 IT Grundschutzvorgehensweise beachtet werden was aber in diesem Kontext nicht weiter vertieft werden soll jedoch durchaus einen zu beachtenden Kostenfaktor darstellt Beispiele f r zu erwartende Bedrohungen sind e die Platzierung von Schadfunktionen auf dem Server zur Beobachtung berwachung der Besucher oder zur Verbreitung von Schadsoftware das Hochladen von unangemessenen und strafrechtlich relevanten Inhalten durch unberechtigte Dritte e der Missbrauch des Servers f r die Nutzung in Botnetzen e das Abh ren der Kommunikation mit dem Server e Angriffsszenarien zur Einschr nkung der Verf gbarkeit sowie e das Ausspionieren und Verbreiten der personenbezogenen Daten und der Accounts sowie alle Formen des Identit tsdiebstahls Es muss bei diesem Szenario davon
157. n Systeme k nnen evtl durch Massenregistrierung berlastet werden Eine generelle Schwachstelle der Benutzer Selbstregistrierung ist dass nach Eingabe einer Mailadresse offenbar wird ob ein anderer Nutzer mit dieser Adresse bereits eingetragen ist Mit diesem Wissen k nnen Passwort Reset Mails s u ausgel st evtl abgefangen und missbraucht werden Bei keinem System au er WordPress wurden Schwachstellen beim Anmeldevorgang entdeckt WordPress hingegen verwendet unterschiedliche Meldungen bei Login Fehlversuchen mit existierendem oder un bekanntem Nutzernamen vgl Abbildungen 4 1 und 4 2 Damit kann ein Angreifer zun chst einen korrekten Loginnamen feststellen und anschlie end Anmeldeversuche gezielt auf diesen Account konzentrieren ERROR The password you entered for the username pflueger is incorect Lost your password Abbildung 4 1 Existierender Benutzername falsches Passwort Bei Drupal ist ein Schutz vor Brute Force Angriffen bereits im Grundsystem integriert Bei den anderen Systemen kann er ber CMS Erweiterungen oder andere Produkte wie das Apache Modul mod_security realisiert werden Alle diese L sungen verfahren so dass nach einer festgelegten Zahl von fehlerhaften Anmeldungen innerhalb einer vorgegebenen Zeit weitere Versuche oder Zugriffe dieses Benutzers oder dieser IP Adresse blockiert werden Dieser Mechanismus kann allerdings auch f r Denial of Service Attacken missbraucht werden indem ein Benutzer durch mehre
158. n gleichzeitig unterst tzen TYPO3 unterst tzt bspw OpenID und OAuth RADIUS IMAP sowie LDAP ber Extensions WordPress bietet auch OpenID OAuth sowie LDAP Joomla unterst tzt dagegen nur OpenID und LDAP weitere Protokolle sind aber ber Extensions realisierbar Drupal bietet OAuth und LDAP sowie OpenID je ber eine Extension an Plone unterst tzt neben OpenID OAuth LDAP auch ber die Extension WebServerAuth Kerberos 4 2 3 4 Sichere Architektur Skalierbarkeit des Systems Alle betrachteten Systeme verf gen ber eigene Caching Mechanismen um die CPU Last bei der Aus lieferung von Inhalten gering zu halten Dabei verwenden alle Systeme mit Ausnahme von Plone ein CMS spezifisches Caching Plone ben tigt die Erweiterung plone app caching die eine Steuerung des Caching Verhaltens erm glicht Das ausgew hlte Verfahren wie bspw Strong caching oder Weak caching kann dann von Caching Proxies wie Varnish oder Squid umgesetzt werden Weitere Details f r alle CMS hierzu finden sich in den Tabellen im Anhang unter dem Kriterium Nutzung von Caching Mechanismen ab Seite 99 4 2 3 5 Sichere Architektur Auswahl und Reife der Erweiterungsmechanismen Die Auswahl und Reife der Erweiterungsmechanismen und hier insbesondere die saubere Trennung der APIs nach Erweiterungsaspekten konnte im Rahmen dieser Studie nicht vertieft gepr ft werden Grunds tzlich bieten aber alle Systeme Erweiterungsl sungen an Die
159. n sehr limitierten personellen Ressourcen ist dies das f hrende Prinzip Sofern die Prozesse im B rgerb ro ber organisatorische Ma nahmen so ge ndert werden k nnten dass ber die Website keine personenbezogenen Daten erfasst und verarbeitet werden gestaltet sich die Ab sicherung der Website entschieden einfacher Bei normalem Schutzbedarf insbesondere auch dann wenn die laut Szenario mit Pflege und Betrieb betraute Person nur ber geringere IT Kenntnisse verf gt sind auch Joomla und WordPress eine gute Wahl Jedoch sollte dann auf die Verwaltung von personen bezogenen Daten vollst ndig verzichtet werden 5 2 3 Szenario 3 Open Government Site einer Kleinstadt Das Szenario konzentriert sich zus tzlich zu den schon im Szenario 2 betrachteten Inhalten auf weitere Merkmale wie e die Einrichtung einer Community e die M glichkeit Umfragen zu erstellen Newsletter zu publizieren User Generated Content zu pr sentieren und e die M glichkeit einer Anbindung an Gesch ftsprozesse ber Web Services zu realisieren Au erdem w ren eine rollenbasierte Nutzerverwaltung eine bessere Suchmaschine sowie Mehrsprachigkeit von Vorteil Sicherheit spielt nat rlich auch in diesem Szenario eine besondere Rolle da hier bei der Ver wendung von personenbezogenen Daten bspw bei Mechanismen zur B rgerbeteiligung und der An bindung von Gesch ftsprozessen sichergestellt werden muss dass diese entsprechend der Anforderungen des Da
160. ndene Schwachstellen Die Anzahl der gefundenen Schwachstellen befreit keinen Dienstanbieter davon egal welches CMS er w hlt permanent die Meldungen der Security Teams zu verfolgen und darauf vorbereitet zu sein ein Security Update schnellstm glich einspielen zu m ssen EMPFEHLUNG Dienstanbieter m ssen permanent in der Lage sein Patches einzuspielen Auch bietet einzig die Auswertung der Anzahl von Schwachstellen Meldungen keine belastbare Aussage Die Anzahl der Meldungen ist abh ngig vom Verbreitungsgrad der Software der Anzahl der eingesetzten Module und nat rlich auch der Anf lligkeit der zugrunde liegenden Basis Technologien Ausnutzung der Schwachstellen Die H ufigkeit von ausnutzbaren Schwachstellen in den CMS Systemen selbst muss f r die Dienstanbieter Anlass genug sein ber eine Strategie der Verteidigung in der Tiefe defense in depth nachzudenken Die mit den CMS verbundenen Infrastrukturen m ssen gegenseitig vor einander abgegrenzt und gesch tzt werden EMPFEHLUNG Dienstanbieter sollten ihre Websites konzipieren bevor sie sie aufsetzen Das Prinzip Verteidigung in der Tiefe ist dabei von herausragender Bedeutung Die Wahrscheinlichkeit von Zero Day Exploits ist gegeben Ein aktives Monitoring der Website kann dabei helfen solche Situationen zu erkennen bevor eine Schwachstelle vom CMS Hersteller ver ffentlicht wird EMPFEHLUNG Dienstanbieter sollten ihre Websites permanent monitoren
161. ne Aussage ber die Reife der Systeme aus sicherheitstechnischer Sicht wagen zu k nnen Bundesamt f r Sicherheit in der Informationstechnik 53 3 Aktuelle Bedrohungslage 3 2 Erhebung 3 2 1 Drupal Das Drupal Security Team hat f r den Drupal Kern f r 2011 und 2012 gr ere Security Announcements herausgegeben in denen es sich auf verschiedene CVE s bezieht Dabei sch tzt das Team selber die Schwere der Schwachstellen im Kern f r 2012 auf 3 5 von 5 m glichen Gef hrdungsstufen Die Schwachstellen sind nach eigener Aussage alle von au en ausnutzbar Meldungen im Security News Archiv Anzahl in 2010 2011 2012 Drupal Core 2 3 4 Drupal Contributed Projects 113 59 174 Module Themes und Installationsprofile Tabelle 3 1 Drupal Meldung aus Security News Archiv Die Entwicklung der Meldungen der National Vulnerability Database NVD und CVE Details f r den Vendor Drupal weichen stark voneinander ab allerdings ist f r 2012 aus allen Quellen ein Anstieg der bekannten Schwachstellen zu verzeichnen vgl Tabelle 3 2 Meldungen f r Drupal von Anzahlin 2010 2011 2012 cvedetails com 8 3 13 nvd nist gov 51 10 163 portal cert dfn de 11 8 15 Tabelle 3 2 Drupal Schwachstellenmeldungen Die Schwere der Schwachstellen f r Drupal generell und seine Module wird ber den CVSS Score der CVE Details f r den Zeitraum 2010 2012 wie folgt eingest
162. nenennennennennnn 70 4 2 2 Pr lune 7 lese Ver Dkal on 72 4 2 3 Softwareentwicklung Construction uuaessesssseenseenseenneenneenneenneennnnnneennennnnennennnnennnnnnennnnnnennenenennennennnn 72 4 3 SEIYIC TAN SIE ON een ER Reese 79 4 3 1 Ins all 11109 Deplo ymeni een 79 4 3 2 Anwenderdokumentation e seeeseeeesoesseeeseeessessseessseeseeessessseesseenseessornsseesutenseesstessteesseesseesstesstenstesstessseeeesenseseesesenee 80 4 4 rC DE N A R 82 4 4 1 Mark tlar ch neue son E ANS 82 4 4 2 Behandlung von nderungen Security Patches unnauuuunnuuueeeeennnnnnnneennennnnnnnnnneennennnenn 82 4 4 3 BOU E 2 OOONEN EIER IENEEE EEE EEE I EENNIR HEUTE DEE ERLERNEN ENERGIE CNN SEIUERSUREINEUNNILEHEHENHHERS A PETELRGERURHINERNEIEHEUESUREERAREHERSE 83 4 5 Zusammenfassung der Sicherheitsuntersuchung8 esesssssssssssesesessensensenneensennenneensennennenenenne 84 4 6 Abgleich mit der aktuellen Bedrohunsslage uuussnsessensensssnsenseensensensenneennensennennennnnnn 85 5 1 LADIA o E E E E E EE E E E E EE EEE ET 87 5 1 1 Sicherheitsniveau der betrachteten CMS unnnssessenesnnnnsnennnnnnennnnenennnnenennnnenennnnenennnnnnennnnnnennnnnnennnne 87 5 1 2 Optimierunssm glichkeifen risiini iE EEE E EEN 87 5 2 Szenario basierte Handlungsempfehlungen usuusssssssssesesssessenssnnsensenssnneeneennennenneennennnnennnnenn 88 5 2 1 Szenario 1 Private Event Site eesesesensesesesenseseeseseesesensessosensosessenessen
163. nenneennennnnnneenneennennene 49 Tabelle 3 1 Drupal Meldung aus Security News Archiv usssessssssssssssessensensensensennennsnnenneenennsensennennennenne 54 Tabelle 3 2 Drupal Schwachstellenmeldungen unusssssssenssensensennsensensseneensennennennsennennenenennenenn 54 Tabelen 3 Drupal EV 3585 SCO ae a a a a A une 55 Tabelle o4 Drupal Schwachstelle nnasnnoiieann ie R TE 56 Tabelle 3 5 Plone Meldung aus Security News Archiv uassssssssssesssessensenseeseensenneensennenseensennenneesnennennsenenenensenenenne 56 Tabelle 3 6 Plone Schwachstellenmeldungen 2000000000000000200n0eneenneneennennennennnenenneeneenesnnensensennensenneeneeneeneenesnennenne 56 Tabelle 3 72 PINES CVSS OCOT aaa eisernen 57 Tabelle 3 8 Plone Schwachstellen uw uses ke 58 Tabelle 3 9 WordPress Meldung aus Security News Archiv assssssssssssssssssesenssensensenssensensenensenenennennne 58 Tabelle 3 10 WordPress Schwachstellenmeldungen unussssssnsesssensensennsensensseneensenenseneneenenenn 58 Tabelle 3 11 WordPress GV 55 Scores ne een 59 Tabelle 3 12 WordPress Schwachstellen saugen A A A 60 Tabelle 3 13 Joomla Meldung aus Security News Archiv asaesssssessssessessesseneessensenssnneneeneensenenneeneeneenennenneenenneenee 60 Tabelle 3 14 Joomla Schwachstellenmeldungen 0000000000000000000000nnennennennennenseneeneeneeneennennensenneenennenneneenensnnenenee 60 Tabelle3 15 0o m al EVS55
164. nforderungen und ziele Ein http plone org products plone securit satzszenarien Annahmen Einschr nkungen overview Beschreibung aller Sicherheitsmechanismen auf Architektur http plone ors products plone securi Design und Implementierungsebene ty overview http www plone entwicklerhandbuch de plone entwicklerhandbuch sicherh eit und arbeitsablaufe Pr fung Test Verifikation Design Review nachweislich https buildoutcoredev readthedocs or We have a few angels that follow the g en latest intro html changes and each commit to see what happens to their favourite CMS Code Review nachweislich https buildoutcoredev readthedocs org ber einen pull request kann ein review 147 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung en latest intro html eingeholt werden Sicherheitstests nachweislich http i python or i plone app testing 4 2 http developer plone org testing and debugging index html Softwareentwicklung Construction Sichere Architektur Modularisierung Modularisierung vgl Kapitel 2 2 2 1 und 2 2 2 2 Trennung der Trennung der logischen logischen Funktionen Funktionen Trennungin ver 0 http developer plone org security sand Sandboxing mit Python war m glich ist schiedene Sicher box
165. ngen Kalender Kontaktformular zu installieren und ggf an zupassen e der Betrieb sowohl des Front als auch des Back Ends mittels HTTPS Protokolls zur Sicherstellung der notwendigen Transportverschl sselung 93 Weiterf hrende Informationen hierzu unter https www bsi bund de DE Themen ITGrundschutz ITGrundschutzStandards ITGrundschutzStandards_n ode html d0c471418bodyText2 90 Bundesamt f r Sicherheit in der Informationstechnik Zusammenfassung der Studie 5 e eine sichere Anbindung der verwendeten Datenbank die nicht auf dem gleichen Server betrieben wird und deren Inhalte separat gesch tzt d h mit sicheren Mechanismen Parametern verschl sselt sind e die M glichkeit einen externen Verzeichnisserver zur Nutzerverwaltung sicher anzubinden Der Schutzbedarf hoch impliziert dass die Infrastruktur aus Firewall Webserver CMS Datenbank LDAP und anderen erforderlichen Diensten sorgf ltig aufeinander abgestimmt und geh rtet wird F r dieses Szenario sind Drupal und Plone gut geeignet F r Drupal ist wie bereits erw hnt die Lernkurve f r das Erstellen eigener Web Seiten zu Beginn sehr steil Insofern sollte der damit beauftragte Ad ministrator eine vorgefertigte Drupal Distribution nutzen Beide Systeme Plone und Drupal zeichnen sich durch einen sehr gereiften Sicherheitsprozess aus Ein grundlegendes Prinzip der Plone Python Community lautete no surprise Unter Ber cksichtigung der im Szenario dargestellte
166. ngen archi Saubere Trennung der APIs nach mittel mechanismen tektonisch vorgesehen und wie Erweiterungsaspekten sind sie gel st 0 Erweiterungen ber definierte APIs keine Erweiterungsm glichkeiten Umsetzung Rollen und Vererbung von Das Content Modell sieht vor ja mittel von Sicher Rechtekonzept Rechten dass Elemente die Rechte nein heits bergeordneter Elemente erben anforderunge k nnen so dass nicht jedes n Security Element explizit mit Rechten Requirements belegt werden muss Definition von Zuordnung von Benutzern zu ja mittel Gruppen Benutzergruppen ber die nein gemeinsam eine Zugriffs steuerung definiert werden Bundesamt f r Sicherheit in der Informationstechnik 39 2 Einf hrung in Content Management Systeme CMS Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung AUSSCHUSS Waca kriterium ng kann rollenbasierter Zu Zuordnung von Benutzern zu ja mittel griff Rollen ber die gemeinsam nein eine Zugriffssteuerung definiert werden kann attributbasierter Die Autorisierungsent ja gering Zugriff scheidung zum Zugriff auf eine nein Ressource kann von einzelnen Eigenschaften des Nutzers und der Ressource abh ngig sein Bsp Rechnungen mit Auf tragswert gt 100 000 Euro darf Nutzer Alice nicht sehen Granularit t der Lassen sich Inhaltsbereiche ja mittel Zugriffssteuerung einer Webseite hi
167. nsichtlich nein unterschiedlicher Zugriffs rechte gliedern Anpassbarkeit Unterst tzung Ist responsive Design mit ja mittel mobiler Endger te Bordmitteln oder mit Er nein weiterungen umsetzbar Nicenames URL Gibt es die M glichkeit ja gering Rewriting Nicenames zu nutzen nein Nicenames erh hen die Wartbarkeit Personalisierung Ist Personalisierung umsetzbar ja gering nein Kontext Sensitivit t Ist der Inhalt abh ngig vom ja gering Kontext des Benutzers der nein Situation anzuzeigen auszu 40 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung Zus ae kriterium ng blenden Sprachvarianten Inter Wird UTF 8 verwendet ja mittel nationalisierung nein nach Best Practices realisiert Ablage von Zu Gibt es hier Verfahren nach ja hoch gangsdaten Best Practices Sind nein mindestens die von der Bundesnetzagentur empfohlenen Algorithmen und Parameter nutzbar R cksicherungen Ist die R cksicherung einzelner ja mittel konzeptionell vor Bereiche des Datenbestandes nein bereitet m glich sichere Daten Vertraulichkeit und Ist die Ablage und Archivierung ja mittel ablage Integrit t von Be besonders vertraulicher Daten nein nutzerdaten bzw separat f r ein h heres
168. nsparent und kann direkt bewertet werden 1 4 Aufbau der Studie In Kapitel 2 werden die Grundlagen f r die Sicherheitsuntersuchungen gelegt Aufbauend auf der technischen Architektur eines Muster CMS die am Anfang des Kapitel 2 erl utert wird werden die aus gew hlten CMS mit diesem Muster verglichen Um den Vergleich der CMS untereinander und ihre Be wertung vornehmen zu k nnen werden Bewertungskriterien aufgestellt und kurz erl utert Den Abschluss von Kapitel 2 bildet eine Reihe typischer Szenarien die den funktionalen Umfang der im Anschluss ge pr ften CMS eingrenzen Kapitel 3 enth lt eine dokumentenbasierte Analyse der aktuellen Bedrohungslage mit den bemerkten Schwachstellen Kapitel 4 bewertet die CMS auf Basis der oben entwickelten Kriterien hinsichtlich ihrer Sicherheitseigen schaften Kapitel 5 f hrt alle Ergebnisse zusammen und bewertet die Eignung der Systeme f r die im Kapitel 2 be schriebenen Szenarien 1 5 Notation Um ein einheitliches Vorgehens bei der Erstellung der Studie ber verschiedene Teildokumente und Phasen zu wahren wird prinzipiell unterschieden zwischen e Fakten die mit Dokumentationen und Beobachtungen belegbar sind und e Empfehlungen zu kontinuierlichen oder einmaligen Ma nahmen Zur besseren Lesbarkeit sind diese unterschiedlichen Textteile farblich abgehoben und werden ab schlief end im Anhang zusammengefasst 11 vgl Kapitel 2 4 10 Bundesamt f r Sicherheit in der Informat
169. nstallation und Konfiguration ist bei den betrachteten Systemen unterschiedlich Bundesamt f r Sicherheit in der Informationstechnik 79 4 Sicherheitsuntersuchung e F r TYPO3 m ssen eine Datenbank angelegt und die entsprechenden Zugangsdaten in eine Konfigurationsdatei eingetragen werden Weitere Einstellungen werden durch ein Installations skript vorgenommen Anschlie end muss aber der Zugriff auf sicherheitsrelevante Dateien und Verzeichnisse eingeschr nkt werden ein Account und Passw rter m ssen gel scht oder ge ndert werden e Auch f r WordPress muss nur die Datenbankanbindung in einer Konfigurationsdatei eingetragen werden e BeiJoomla sind alle Konfigurationsarbeiten Teil eines gef hrten Installationsdialogs e Auch f r Drupal muss zun chst die Datenbank eingerichtet werden Der Zugriff auf die Konfigurationsdatei muss erm glicht werden damit das anschlie end aufzurufende Installations skript sie erg nzen kann Schlie lich muss die Konfigurationsdatei wieder zum Schreiben gesperrt werden Au erdem sollte der durch die Installation angelegte user 1 entfernt werden Schlie lich sind noch Cron Jobs u a zur regelm igen Wartung des Drupal Systems zu erzeugen e Bei Plone sind keine zus tzlichen Schritte zur Installation notwendig Ein automatisiertes Update des CMS steht f r WordPress und Joomla zur Verf gung f r TYPO3 ist es f r die Version 6 1 vorgesehen In Drupal m ssen das System und die eingesetzten Mo
170. odukt einzuf gen Es kann vermutet werden dass dies nach einem Review geschieht Jedoch 113 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung ist dies nicht transparent Code Review nachweislich http codex wordpress org How does co Nicht transparent de make it into WordPress Sicherheitstests nachweislich Nicht transparent Softwareentwicklung Construction Sichere Archi tektur Modularisierung Modularisierung 0 http codex wordpress org Developer D Verschiedene APIs Plugin Schnittstelle Trennung der Trennung der ocumentation WordPress benutzt das LAMP bzw WAMP logischen logischen Prinzip Linux Windows Apache MySQL Funktionen Funktionen PHP Die einzelnen Module k nnen bei Bedarf mit gleichwertiger Software ersetzt werden Die Funktionen sind entsprechend logisch auf die Module aufgeteilt Trennunginver 0 http codex wordpress org Test Drivin In Kombination mit lokaler Konfiguration schiedene Sicher WordPress eines Webservers und einer heitsniveaus m g MySQL Datenbank ist Sandboxing f r Test lich Sandbox zwecke m glich F r Produktion kann man nur auf Betriebssystemmittel zur ckgreifen Basistechnologie Verwendung Testinstallation Bei einer Standardinstallation werden keine sicherer Biblio zus tzlichen Bibliotheken zur verwendeten theken PhP
171. on 67 Abbildung 3 9 Schwachstellen absolut pro CMS url ana 68 Abbildung 4 1 Existierender Benutzername falsches Passwort uusesesssssessesensensensensenssnsenennennennnnenennenenennene 77 Abbildung 4 2 Nicht existierender Benutzername beliebiges Passwort 77 Abbildung 4 3 Zu Beginn bei leerer Eingabe 00000enesseenesnesneeneennennennennseneeneeneenesnsennensennennenseneenesneeneeneneenensnnnenennen 78 Abbildung 44 Nach Eingabe von PW P3 u u 22 RER 78 Abbildung 4 5 Nach Eingabe von PW passwortt1 uesssessssssssssssssssensensenssnsenssnsennennsnnennnensnnennnennennennsnnennennennennennnnenenenn 78 Tabellenverzeichnis Tabelle 1 1 Tools f r die Erstellung von Websites ohne HTML Editoren u nasseeneeeeeenseeneenneenenn 9 Tabelle 2 1Drupab Spezifikations uBersicht an een 14 Tabelle2 2 Plone Speziikations bersieht uch 17 Tabelle 2 3 WordPress Spezifikations bersicht useassssssseseesessesseseeseesennennennensenseneenennennensensensensenennennennennennenensnnenenenenenne 20 Tabelle22 00Mmla Spezitikations bersicht see 23 Tabelle2 5 1YP 03 Spezil kations ubersicht 22 22 2222er 25 Tabelle 2 6 Kriterien Service Design Delalls a une E AS 43 Tabelle 2 7 Kriterien Service Transition Details eesesesaasasssasssesseseesnenennenennnnenennnnenennnnenennnnenennnnn 46 Tabelle 2 8 Kriterien Service Operation Details u uuusscsssaasssnensessessenseennsensenneennennesnneennenn
172. on TYPO3 nach nderungen immer ausgiebigen Tests unterzogen Erweiterungen werden zumindest einem Review unterzogen wenn schon mehrfach Fehler festgestellt worden sind Bei Drupal werden neue und ge nderte Kern und Er weiterungskomponenten sowohl einem automatisierten Test unterzogen als auch durch ein Community Member begutachtet Plone hat einen detaillierten Workflow f r das Einreichen von neuen Komponenten oder Bug Fixes in dessen Rahmen auch gr tenteils automatisierte Tests vorgesehen sind Alle diese Tests betreffen aber in erster Linie die Funktionalit t der neuen oder ge nderten Module inwieweit Tests oder Reviewer Sicherheitsaspekte betrachten bleibt offen 4 2 3 Softwareentwicklung Construction 4 2 3 1 Sichere Architektur Modularisierung Die Modularisierung und Trennung der logischen Funktionen wie Auslieferung Nutzerverwaltung Content Verwaltung Datenhaltung vgl Kapitel 2 1 ein Grundprinzip der Softwareentwicklung wird von allen Systemen grunds tzlich umgesetzt Alle Open Source Systeme realisieren dies auf Komponenten ebene Die PHP basierten Systeme TYPO3 WordPress Joomla und Drupal benutzen dar ber hinaus das LAMP bzw WAMP Prinzip Linux Windows Apache MySQL PHP Die einzelnen Module k nnen bei Bedarf mit gleichwertiger Software ersetzt werden Die Funktionen sind entsprechend logisch auf die Module aufgeteilt Plone bietet aufgrund seiner Architektur die auf dem Applikationsserver Zope basiert auch
173. on notwendig und es sind mit geringen Hardwareanforderungen sehr viele Benutzer gleichzeitig zu bedienen Sobald WordPress Systeme jedoch durch zus tzliche Module um Funktionalit ten erweitert werden die sie funktional gleichwertig zu den anderen hier betrachteten CMS machen unterliegen sie bzgl des Lastver haltens sowie der Hochverf gbarkeit hnlichen Restriktionen wie die anderen PHP basierten CMS 31 LAMP Linux Apache HTTP MySQL und PHP 32 http www apsis ch pound 33 http www cnds jhu edu download download_wackamole cgi 20 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Inhalte darstellen Inhalte pflegen DE Inhalte importieren 0 PHP 3 Inhalte exportieren O Verrwaltungsdaten r Apps als Editor pflegen Daten speichern Daten bereitstellen MySQL Dateisystem u Y a Abbildung 2 4 WordPress Systemarchitektur WordPress zeichnet sich durch die Erweiterbarkeit mit ber 20 000 Modulen von Drittanbietern aus welche die Funktionalit t von WordPress umfassend auch in Richtung CMS erweitern Oft werden Funktionali t ten im Kern die urspr nglich f r das Blogging konzipiert waren f r CMS Anforderungen ausgebaut z B werden Redaktionsworkflows realisiert indem Tags auf den Seiten als Freigabestatus genutzt werden Nat rlich besteht in der Einbindung der Module von Fremdanbietern auch die Gefahr deren Sicherheits
174. one ors products collective sol r Verwaltung der Redaktioneller http www plone entwicklerhandbuch Die Redaktionsworkflows werden ber Inhalte Workflow de plone entwicklerhandbuch sicherh Richtlinien bestimmt und k nnen sehr definierbar eit und arbeitsablaufe arbeitsablaeufe weit konfiguriert werden vgl Kapitel 2 2 2 4 Versionierungvon http hasecke com plone benutzerhan Inhalten dbuch 4 0 umsang versionierung html Wiederverwendung http hasecke com plone benutzerhan von Content zur dbuch 4 0 artikeltypen bild html Reduktion der Komplexit t Preview verf gbar http hasecke com plone benutzerhan dbuch 4 0 artikeltypen semeinsamkeit en html Authentifizierung Registrierung http plonedemo de Konnte nicht tief gepr ft werden Kurzpr fung auf http plonedemo de 153 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung ergab keine sichtbaren Schw chen Nutzer ID nicht sichtbar Best tigungsmail mit URL zum Ab schluss der Registrierung URL hat Ablaufdatum Anmeldung http plonedemo de Konnte nicht tief gepr ft werden Kurzpr fung auf http plonedemo de ergab keine sichtbaren Schw chen URL enth lt keine NutzerID Brute Force Schutz http plone org documentation kb se Begrenzung der Login Versuche Passwort curing plone http developer plone or
175. ore Security Team Anzahl Installationen in Deutschland http en wordpress com stats Weltweit fast 60 Millionen Installationen Behandlung von nderungen Security Patches Zeit bis zum Erscheinen http codex wordpress org Hardening W 1 d R werden die Schwachstellen erst mit dem ordPress Security Themes Erscheinen des Patches ver ffentlicht http core trac wordpress org ticket 1181 Ein wieder er ffnetes Security Ticket war 9 nominell insgesamt drei Jahre offen Link 2 Transparenz der Begleitinformationen http codex wordpress org WordPress V Changelogs und zus tzliche Informationen ersions verf gbar aber keine Einsch tzung zum Risiko http plugins trac wordpress org report Nicht erkennbar ob es sich um Security Issues 1 handelt oder andere Bugs Betrieb Logging Revisionsf higkeit Integrit tsge http codex wordpress org Editing wp c Nur PHP Error Logging 121 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung sch tzt onfig php Debug Vollst ndig http codex wordpress org Editing wp c Nur PHP Error Logging onfig php Debug Loglevel konfigurierbar http codex wordpress org Editing wp c onfig php Debug Ist eher als PHP Debug Log zu sehen Vertraulichkeit Fachliche Logs von http codex wordpress org Debugging in Debug Funk
176. p www securelist com en analysis 204792250 IT_Threat_Evolution_Q3_2012 4 78 http www heise de security meldung WordPress Modul Uploadify als Einfallstor 1625729 html 64 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 3 2 7 Datenbank Systeme Die Entwicklung der Schwachstellen in verwendeten Datenbanken wurde in der Tabelle 3 21 dargestellt Datenbank System 2010 2011 2012 MySQL 6 16 59 Oracle Database Server 31 49 24 PostgreSQL 7 1 9 Microsoft SQL Server 1 3 Tabelle 3 21 Entwicklung von Schwachstellen Datenbank Systemen Bei der zu nutzenden Datenbank lassen mehrere der betrachtenden CMS dem Nutzer die Wahl zwischen verschiedenen Systemen Auch hier gilt dass die Schwachstellen der DB Systeme nicht sofort ber das CMS ausgenutzt werden k nnen Es ist eine Analyse der konkreten Schwachstelle erforderlich Zumindest ist zu unterscheiden ob es sich um Schwachstellen des Datenbankservers seiner Administrationswerkzeuge oder verwendeter Client Module handelt 3 3 Auswertung 3 3 1 Klassifizierung nach Schwachstellentypen Eine Auswertung der f r die CMS gemeldeten Schwachstellen im Zeitraum 2010 2012 zeigt die Verteilung der gemeldeten Schwachstellen auf verschiedene Angriffsvektoren vgl Abbildung 3 6 Einzelne Ergebnisse aus dieser Darstellung erkl ren sich schon aus der Architektur das System Plone ist nicht anf llig gegen SQL Injections da schlicht ke
177. per Network Security News Qualit t Zielgruppenorientierung http docs joomla org Reader profiles Beginners developers web designers administrators evaluators und weitere acht Rollen Navigation und Suche http docs joomla org Gut strukturiert besonders die zielgruppen spezifischen Quick Links sind hilfreich Mehrsprachigkeit 0 http www joomla security de Das Projekt Joomla Security hat begonnen deutschsprachige Dokumente zum Thema Sicherheit bereitzustellen Aktualit t http docs joomla org Einige Dokumente sind noch nicht f r die aktuelle Version 3 0 verf gbar aber bis auf einzelne Ausnahmen sind die Dokumente f r Version 2 5 weiterhin anwendbar Vollst ndigkeit Beschreibung aller 0 http docs joomla org Security Die aufgelisteten Guidelines und FAQs ent Sicherheits halten Beschreibungen einiger Mechanismen mechanismen mit z B Windows Unix File Permissions sind Annahmen und aber nicht vollst ndig und geben keine Hin Bundesamt f r Sicherheit in der Informationstechnik 130 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Einschr nkungen weise auf Annahmen oder Einschr nkungen Beschreibung aller 0 http docs joomla org Security Es gibt einzelne Beschreibungen jedoch keine sicherheits zusammenfassende Beschreibung der sicher relevanten Ein
178. r Sicht relevant Um die Betrachtungen in den Kapiteln 4 und 5 auf eine einheitliche Grundlage zu stellen werden hier typische Anwendungsszenarien durchgespielt In diesen Szenarien finden sich Privatpersonen ffentliche Stellen oder mittelst ndische Unternehmen wieder welche typische Anwender der ausgew hlten CMS sein k nnten Auf die Beurteilung sehr komplexer Szenarien wurde verzichtet Daf r ist in jedem Fall eine individuelle Analyse empfehlenswert Auf Basis der folgenden Szenarien k nnen die daf r notwendigen Funktionalit ten bzw Module pro CMS definiert werden Hiermit wird die Vergleichbarkeit in Bezug auf den technischen Umfang sichergestellt ohne dass typische Anwendungsf lle bergangen werden 2 4 1 Szenario 1 Private Event Site Das Szenario entspricht der oft genutzten M glichkeit f r einen Anlass im privaten Umfeld Geburtstag Party Hochzeit o eine eigene meist tempor re Website zu nutzen Die Zielgruppe sind Internet affine Freunde und Bekannte des Ausrichtenden Die Website soll schick aussehen und im brigen wenig Arbeit machen Redakteure die f r die Erstellung der Inhalte verantwortlich sind kommen aus dem Freundeskreis des Ausrichtenden Die Erstellung der Inhalte erfolgt ad hoc ohne definierte Redaktionsworkflows Typische Inhalte sind eine Anfahrtsskizze einige private Fotos sowie Texte die das Event und einige Details be schreiben Ein Wetterservice des Veranstaltungsortes soll
179. re fehlerhafte An meldevorg nge in seinem Namen ausgesperrt wird die Dauer der Sperre sollte deshalb mit Bedacht gew hlt werden Eine Sperre von 5 Minuten nach mehr als 5 Loginfehlern w rde einem automatisierten Brute Force Angriff das Ausprobieren von nur noch 72 Passw rtern pro Stunde erm glichen f r den Be nutzer ist die Wartezeit aber akzeptabel Bei l nger eingestellten Sperrdauern ist ein Eingreifen durch den Administrator erforderlich ein manuelles R cknehmen der Sperre ist jedoch bei Drupal und dem Joomla Plugin Brute Force Stop nicht vorgesehen WORDPRESS ERROR Invalid username Lost your password Abbildung 4 2 Nicht existierender Benutzername beliebiges Passwort Einen Mechanismus f r Benutzer die ihr Passwort vergessen haben bieten alle Systeme an Schwachstellen wurden nicht entdeckt Bundesamt f r Sicherheit in der Informationstechnik 77 4 Sicherheitsuntersuchung Positiv hervorzuheben ist das von Drupal verwendete Formular zum erstmaligen Setzen oder zum ndern eines Passworts Um die Nutzer zur Verwendung sicherer Passw rter zu motivieren wird w hrend der Passworteingabe ein St rke Balken angezeigt und es werden auf f nf Eigenschaften Hinweise gegeben die die Sicherheit des Passworts erh hen Mit jedem eingegebenen Zeichen werden diese beiden Anzeigen an gepasst vgl Abbildung 4 3bis 4 5 Password Password strength Weak Confirm password To make your password stronger Ma
180. ress 3 4 2 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung Service Design Gesch ftsf hrung Governance Lizenzierung Ausprobierbarkeit http www opensourcecms com scripts Drittanbieter vendor independant resource details php scriptid 88 for Open Source CMS Entwicklerdokumentation Schulungen Anleitungen zu http codex wordpress org Main Page Security Themen http codex wordpress org Developer D ocumentation http codex wordpress org Hardening W ordPress Transparenz der Kontakt des CMS Herstellers zur 0 1 http automattic com securit 1 f r Sites gehostet durch wordpress com Kommunikation Meldung von Sicherheitsproblemen 2 Plugins betreffend bei Schwachstellen 2 plugins wordpress org 3 selbst gehostete Sites 3 security wordpress org Bug Tracking System mit Kategorie np http core trac wordpress or Trac verf gbar allerdings keine explizite Sicherheit Security Kategorie http plugins trac wordpress org report Bei Security Issues wird auf den direkten 1 Kontakt zu WordPress verwiesen Dies war im Rahmen der Studie nicht pr fbar Advisories auf der Website des 0 http wordpress ors news category secu Herstellers leicht auffindbar rity Bundesamt f r Sicherheit in der Informationstechnik 112 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung Bes
181. ress org Codex Quick index http codex wordpress org Special AllPa es Codex ist ein Wiki Mehrsprachigkeit http codex wordpress org Hardening W Bisher nicht in Deutsch verf gbar ordPress Aktualit t http codex wordpress org Special Recen Regelm ige Updates des WordPress Codex tChanges Vollst ndig Beschreibung aller keit Sicherheitsmechanis men mit Annahmen und Einschr nkungen http codex wordpress org Hardening W ordPress Dokument Hardening WordPress Beschreibung aller sicherheitsrelevanten Einstellungen http codex wordpress org Hardening W ordPress Bundesamt f r Sicherheit in der Informationstechnik 120 Anhang Ergebnistabelle WordPress 3 4 2 WordPress 3 4 2 Kriterium Wert Quelle Anmerkung Beschreibung ver http codex wordpress org FAQ Advance Einsatzm glichkeiten von WordPress als CMS schiedener Szenarien z B externer ID Provider d Topics Alternate Uses of WordPress Service Operation Multi Blog etc Marktdurchdringung Internetpr senz Moderierte Foren mit Fokus Security http wordpress org support Kein explizites Security Forum allerdings Be Anzahl reiche mit Sicherheitsaspekten Akteure mit Fokus Security Anzahl http codex wordpress org Version 3 5 1 Ein WordPress security team wird erw hnt in fr heren Versionen WordPress C
182. rhalb des Zusatzmoduls Context hat das Security Team von Drupal schon vor den Entwicklern des Moduls Workarounds bereitgestellt um die L cke zu schlie en 3 2 2 Plone Die Meldungen im Security Archiv von plone org betreffen Schwachstellen in Kern Komponenten von Plone sowie auch im Zope Server vgl Tabelle 3 5 Das bisher einzige Advisory f r 2012 im November be hebt gleich 24 Schwachstellen auf einen Schlag Meldungen im Security News Archiv Anzahl in 2010 2011 2012 Plone und Zope 1 8 1 Tabelle 3 5 Plone Meldung aus Security News Archiv Die Entwicklung von Schwachstellen Meldungen 2010 2012 ber cvedetails und NVD ergeben ein vergleichbares Ergebnis zu den Hersteller Seiten wobei ber Plone und Zope berhaupt kaum Meldungen zu finden sind vgl Tabelle 3 6 Meldungen f r Plone und Zope Anzahl in 2010 2011 2012 cvedetails com 1 9 nvd nist gov 1 9 0 Tabelle 3 6 Plone Schwachstellenmeldungen Die Schwere der Schachstellen generell f r Plone und Zope wird ber den CVSS Score der CVE Details f r den Zeitraum 2010 2012 wie folgt eingestuft 62 http www heise de newsticker meldung XSS Luecke in Drupal Modul beseitigt Update 997913 html 63 http plone org products plone security advisories 20121106 56 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3
183. rium Wert Quelle Anmerkung forderungen Definition von http www plone entwicklerhandbuch Gruppen de plone entwicklerhandbuch sicherh eit und arbeitsablaufe sruppen Rollenbasierter http www plone entwicklerhandbuch Zugriff de plone entwicklerhandbuch sicherh eit und arbeitsablaufe rollen vgl Kapitel 2 2 2 4 Attribut basierter Es konnten keine Informationen dazu ge Zugriff funden werden Granularit t der http www plone entwicklerhandbuch Zugriffssteuerung de plone entwicklerhandbuch sicherh eit und arbeitsablaufe Anpassbarkeit Unterst tzung http www plone entwicklerhandbuch mobiler Endger te de plone entwicklerhandbuch erschei nungsbild theme fuer mobile anwend ungen Nicenames http wiki zope org zope2 ZopeAndA URL rewriting ache Personalisierung http www plone nutzerhandbuch de benutzer rollen und gruppen personal isierung index html http www plone de ueber plone plon e broschure als pdf datei Kontext Sensitivit t demo plone de 151 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle Plone 4 21 Plone 4 21 Kriterium Wert Quelle Anmerkung Sprachvarianten Inter http developer plone org troubleshoo nationalisierung ting unicode html nach Best Practices realisiert http www plone entwicklerhandbuch de plone entwicklerhandbuch interna tionalisierung Sichere Daten ablage
184. rma reichen Zus tzlich zu den im Szenario 3 aufgef hrten Bedrohungen muss damit gerechnet werden dass e professionelle Angreifer ber die Website in das interne Firmennetz einzudringen versuchen und e Angriffe auf die Shopl sung und die Verarbeitung der Transaktionsdaten Kunden Details Kredit kartendaten etc stattfinden Anfallende personenbezogene Daten aus dem Shopsystem und auch weitere Gesch ftsprozessdaten d rfen deshalb auf keinen Fall unverschl sselt in den Datenbanken des CMS abgelegt werden Das Shopsystem muss die entsprechenden Standards SET implementieren so dass die Kreditkartendaten gar nicht auf der Site verarbeitet werden Zus tzliche Sicherheitsma nahmen bzw Funktionalit ten der CMS f r dieses Szenario sind e dieleichte und sichere Integration der Shop und Bezahlsysteme einschlie lich der daf r genutzten Datenbank e diesichere Anbindung der Gesch ftsprozesse sowie e die M glichkeit einen externen Verzeichnisserver zur sicheren Nutzerverwaltung anzubinden auch hier muss ggf eine Transportverschl sselung m glich sein Die in diesem Szenario geforderte Einbindung von Fremdsystemen per SOA kann von keinem der unter suchten CMS direkt realisiert werden Hier m ssen im Einzelfall L sungen eingekauft oder selbst entwickelt werden F r den Workflow eines mittelst ndischen Unternehmens erscheinen TYPO3 und Drupal die u a Bundesamt f r Sicherheit in der Informationstechnik 93 5 Zusam
185. rt werden k nnen Die Funktionalit t dieser Module variiert von einem kompletten browserunabh ngigen visuellen Editor Kupu bis zu einem Modul zur Unterst tzung des Cachings von HTTP Die Standardinstallation ist ohne weitere Module bereits geeignet eine kleine Website zum Austausch von Informationen und Dokumenten aufzusetzen 2 2 2 3 Protokolle Kommunikation und Datenfl sse Die Kommunikation zwischen ZEO Clients und Server l uft ber ein eigenes Protokoll welches entfernte Prozeduraufrufe realisiert Diese Kommunikation wird in der Praxis ber SSH getunnelt um die Authentizit t der Kommunikationspartner und die Vertraulichkeit und Integrit t der transferierten Daten zu sichern FAKT Die Komponenten des Plone CMS kommunizieren ber entfernte Prozeduraufrufe die ber SSH getunnelt werden k nnen 2 2 2 4 Funktionalit ten Plone erm glicht verschiedenste Workflows Content kann mehrere Zust nde z B privat ffentlicher Entwurf zur Redaktion eingereicht ver ffentlicht annehmen In jedem Zustand gibt es eine Versionierung 26 http plone org products kupu 18 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 so dass ein Redakteur immer den letzten Stand wiederherstellen kann An die Zustands berg nge k nnen Funktionalit ten z B E Mailversand gekn pft werden Es gibt mehrere Workflowtypen die bereits in der Standardinstallation enthalten sind
186. rtise sind nicht nur f r den Aufbau sondern auch f r die Weiterentwicklung fest f r mehrere Jahre eingeplant Die Architektur des Gesamtsystems wird f r punktuell gro e Benutzerzahlen skalierbar konzipiert um terminbasierte Marketingaktionen durchzuf hren Mehr als drei Fremdsysteme sind per SOA eingebunden ein gemeinsamer Web Shop wird von allen Web sites genutzt 52 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 3 Aktuelle Bedrohungslage 3 1 Problemstellung Die betrachteten Content Management Systeme sind komplexe Systeme mit vielen tausenden Zeilen Quellcode Sie haben alle eine historische Entwicklung durchlaufen und sind von unterschiedlichsten Ent wicklern gemeinsam erstellt worden Unweigerlich sind Fehler Schwachstellen enthalten die sich auf die Sicherheit der Websites auswirken k nnen Dies ist auch in zuk nftigen Versionen der Software nicht zu vermeiden Dabei stellt sich die Frage ob die in der Vergangenheit gefundenen Schwachstellen R ck schl sse auf zuk nftig m gliche Fehler zulassen Vor die Beantwortung dieser Frage stellen sich mehrere H rden die hier auszugsweise beleuchtet werden Quellen Zun chst gibt es unterschiedliche Quellen die Schwachstellen auflisten Wie sich unten zeigt geben die Quellen unterschiedliche Zahlen wieder F r die Open Source Projekte bestehen Meldungen zu den Schwachstellen die intern behoben wurden bevor sie als offizielle Schwach
187. rtraute Entwickler leicht verst ndlich Organisatorische Ma nahmen wie Review Prozesse sind f r die Open Source CMS mit Ausnahme von Joomla ffentlich dokumentiert Alle Projekte betreiben ein nicht immer vollst ndig ffentliches s Joomla Bug Tracking System mit dem die Behebung von Fehlern und die Implementierung neuer Funktionen verfolgt und koordiniert werden kann 4 2 1 5 Dokumentation der Sicherheitsanforderungen Die Dokumentation der Sicherheitsanforderungen und ziele Einsatzszenarien Annahmen und Ein schr nkungen erm glicht dem Dienstanbieter seine Anforderungen mit den Spezifikationen des CMS ein fach zu vergleichen Diese Dokumentation ist f r alle Systeme mit Ausnahme von Joomla verf gbar 85 http www opensourcecms com Bundesamt f r Sicherheit in der Informationstechnik 71 4 Sicherheitsuntersuchung 4 2 1 6 Beschreibung aller Sicherheitsmechanismen Wenn ein externes Sicherheitsreview durchgef hrt werden soll ist die Beschreibung aller Sicherheits mechanismen auf Architektur Design und Implementierungsebene sehr hilfreich Leider sind diese Dokumente nur f r Plone verf gbar Das Dokument Security overview of Plone nennt die g ngigen Sicherheitsprobleme und beschreibt wie diese in Plone behandelt werden Das Plone Entwicklerhandbuch eines Drittanbieters erl utert im Abschnitt Sicherheit und Arbeitsabl ufe detailliert Sicherheitsmechanismen und ihre Anwendung anhand eines konkrete
188. rung Ver teilung Ablage von Inhalten Ein ECM System unterst tzt die Gesamtheit der Gesch ftsprozesse des Unternehmens oder der Organisation allgemein Exploit Fertiger Code der eine Schwachstelle eines Systems aus nutzt um unberechtigt auf die zugrunde liegende Infra struktur zuzugreifen Metadaten Zus tzliche Daten die den Inhalten zugeordnet sind und ihn n her beschreiben Modul Software Quellcode der als zusammenh ngende logische Erweiterung Ex Einheit betrachtet wird tension Add On PlugIn Component Nicename Bezeichnungen URLs von Webseiten die f r Menschen verst ndlich sind Portal Website die den Benutzern erm glicht Inhalte Bundesamt f r Sicherheit in der Informationstechnik 163 Stichwortverzeichnis personalisiert und situationsgerecht darzustellen Protokoll Die Kommunikation zwischen zwei IT Komponenten ver l uft i d R nach einem vordefinierten Protokoll welches die Beschreibung der ausgetauschten Informationen und deren Abfolge ist Records Management System Soft und Hardware zur Verwaltung von Akten welche ins besondere den Aspekt der Revisionssicherheit technisch ab sichern Redakteur Mensch der professionell mit Hilfe des CMS Inhalte der Online Redakteur Website pflegt Repository Website die Erweiterungsmodule zum Download vorh lt Verzeichnis und Mehrwertdienste dazu anbietet Retention period Zeit die
189. rver und Oracle werden unterst tzt wobei viele Module f r MySQL geschrieben und nicht unter kommerziellen Datenbanken getestet wurden Redaktions Client Alle g ngigen Browser die CSS unterst tzen Lizensierung Open Source unter GPLv2 oder sp ter Tabelle 2 1 Drupal Spezifikations bersicht 2 2 1 1 Systemarchitektur Das System basiert auf der LAMP Architektur Wie in Abbildung 2 2 dargestellt bilden das Auslieferungs system und der Content Server ein System Die typische PHP Instanz ist nicht ber mehrere Server verteilbar Somit sind externe Lastverteilungs mechanismen notwendig Es existiert eine Reihe von Caching Modulen die f r verschiedene An wendungsszenarien genutzt werden FAKT Lastverteilung wird bei allen PHP basierten CMS ber externe Mittel realisiert Das Zusammenstellen einer PHP basierten hochperformanten Site f r viele Benutzer ist mindestens so anspruchsvoll wie mit Java EE Technologie Deshalb gibt es relativ wenige Firmen welche die dazu not wendige Expertise besitzen Die Integration in serviceorientierte Umgebungen ist m glich sowohl als Web Service Client als auch als Server allerdings sind die f r net oder Java vorhandenen Implementierungen von Standards zur Sicher stellung von Integrit t und Vertraulichkeit auf Nachrichtenebene WS Security etc nicht vorhanden FAKT WS Security wird von keinem der CMS unterst tzt 13 LAMP Linux Apache HTTP MySQL und PHP
190. s die Code Qualit t zwischen CMS Kern und Er weiterungen Plugins Modulen anbelangt Deshalb werden die Ergebnisse unten in Kern und Er weiterungen unterschieden Bekanntwerden Insbesondere die Zeiten vom Bekanntwerden einer Schwachstelle bis zur Verf gbarkeit eines Patches sind interessant Hier handelt es sich um brisantes Material was deshalb nicht in statistisch auswertbarer Menge vorliegt Basistechnologien Seitens der eingesetzten Basistechnologien PHP JAVA CORBA etc k nnen ebenso Schwachstellen auftreten Hier trifft jedoch die Verallgemeinerung zu dass Fehler in h ufig genutztem Quellcode fr her gefunden werden als in wenig genutztem Quellcode Die Fehler die erst gefunden werden wenn der Quellcode bereits weithin in Benutzung ist tauchen dann in den Common Vulnerabilities and Exposures CVE auf Fehler in den Kernmodulen oder in den Basistechnologien fallen meist fr her auf Ungepatchte veraltete Systeme stellen jedoch ein immer wieder anzutreffendes Risiko dar Es werden jedoch auch fehlerhafte Updates ver ffentlicht Durch diese L cken entstehen neue Szenarien die zu neuen Sicherheitsrisiken f hren Um die hier genannten H rden zusammenzufassen Wesentlich f r die Beurteilung des Risikos ist das Wissen ber die Eintrittswahrscheinlichkeit Der Dienstanbieter muss sich darauf verlassen k nnen dass jeder Vorfall gemeldet wird In den folgenden Ausf hrungen wird die vorhandene Zahlenbasis aus gewertet um ei
191. s sind teilweise sehr umfangreiche Komponenten die auf ein bestimmtes Ereignis warten und dann in Aktion treten 44 Sammlungen aus Vorlagen und Formatierungsanweisungen in Form von HTML und Cascading Style Sheets 45 OpenId Gmail LDAP Bundesamt f r Sicherheit in der Informationstechnik 23 2 Einf hrung in Content Management Systeme CMS Es ist innerhalb des Core Feature Sets nicht m glich eine einzelne Joomlal Installation f r mehrere Sites parallel zu nutzen Multi Domain Dazu m ssen vorhandene Erweiterungen verwendet werden Inhalte darstellen Extensions joomla Core Inhalte exportieren Browser S lahalte pflegen Tuner Inhalte importierte Pe O Verrwaltungsdaten pflegen Daten speichern Daten bereitstellen MySQL PostgreSQL Dateisystem MSSOL Abbildung 2 5 Joomla Systemarchitektur 2 2 4 3 Protokolle Kommunikation und Datenfl sse Die Administration auch die Installation zus tzlicher Module erfolgt per Web Browser ber http bzw https Die Kommunikation zwischen Joomla und MySQL erfolgt ber einen lokalen Socket oder ber TCP standardm ig auf Port 3306 wie oben bei Drupal beschrieben 2 2 4 4 Funktionalit ten Neben den o g CMS Kernfunktionalit ten sind Web2 0 Bestandteile moderner Websites wie Umfragen Newsfeeds Nutzerbewertungen bereits im Core Feature Set enthalten Diese Komponenten decken in der Regel den Grundbedarf einer kleinen Community Website ab Viele d
192. sionen nicht n her bezeichnet Redaktions Client Mozilla Firefox keine Versionsangabe IE 7 Lizensierung Open Source unter GPLv2 oder sp ter erg nzt um Apache Contributor License Agreement CLA f r Module Tabelle 2 5 TYPO3 Spezifikations bersicht 2 2 5 1 Systemarchitektur Architektonisch vertraut TYPO3 auf die Eigenschaften des LAMP Stacks Die Performance Optimierung des Systems besteht aus Caching Proxies MySQL Tuning PHP Tuning und Betriebssystem Optimierung TYPO3 Instanzen k nnen wie bereits f r Drupal beschrieben mit Betriebssystemmitteln geclustert werden Content Server und Auslieferungsserver fallen auch hier zusammen 2252 Komponenten TYPO3 ist vom Konzept her eher ein Framework Die modulare Architektur vgl Abbildung 2 6 erleichtert die Anpassung und das Ersetzen einzelner Dienste wodurch es viele optionale Plugins gibt die wesentliche Funktionalit ten erbringen wie z B die Vorschau Funktionalit t Die zentralen funktionalen Aspekte wie Inhalts und Nutzerverwaltung Zugriffssteuerung Template Engine mehrere komfortable Rich Text Editoren und die Suchmaschine sind Teil des Kerns Auch an einige sehr praktische administrative Hilfen wie den Vergleich der Rechte zweier Benutzer oder die Beschr nkung des Logins auf bestimmte IP Adressen wurde gedacht Man kann auch bei TYPO3 von einer bereits in Kern funktionalit t voll nutzbaren per CMS verwalteten Website sprechen Weitere Aspekte wi
193. sionsf higkeit erforderliche Vollst ndigkeit der Logeintr ge Urheber und Zeitpunkt der vermerkten Aktionen wird von Joomla und Drupal angeboten von Plone bei Verwendung des Publication Control Systems Bei TYPO3 kann ein Logeintrag zwar einem Nutzeraccount aber keiner Session Zeitangabe zugeordnet werden F r WordPress sind nur technische Logs verf gbar und f r Joomla und Drupal war nicht feststellbar ob und wie fachliche Logs konfiguriert werden k nnen 4 4 3 2 Logging LogLevel konfigurierbar Unterschiedliche Loglevel sind bei TYPO3 WordPress Drupal und Plone einstellbar bei Joomla kann nur das Logging f r Fehler beeinflusst werden Komplett revisionssicheres Logging ist bei keinem der Systeme mit Bordmitteln m glich aber meist durch den Einsatz eines Logservers erreichbar Sieht man vom Schutz der Integrit t ab so bieten Joomla Drupal und Plone zumindest vollst ndige Logeintr ge mit einstellbarem Detaillierungsgrad Bundesamt f r Sicherheit in der Informationstechnik 83 4 Sicherheitsuntersuchung 4 4 3 3 Logging Vertraulichkeit In TYPO3 k nnen die Logeintr ge zwar ber einen Filter in der Anzeige getrennt werden durch De aktivieren des Filters k nnen technische Administratoren aber auch die fachlichen Logeintr ge einsehen Von wem die in Plone erzeugbaren fachlichen Logs eingesehen werden k nnen konnte nicht gepr ft werden In WordPress werden nur technische PHP Error Logs erzeugt f r Joomla und
194. so erlaubt Plone mit Programmieraufwand zum Beispiel eine Anbindung ber Python und Drupal stellt mehrere Erweiterungen f r Services und Clients bereit Im Rahmen dieser Studie konnte jedoch die Sicherheit und Funktionsf higkeit dieser Schnittstellen Erweiterungen nicht n her ge pr ft werden Grunds tzlich gilt f r alle Systeme dass Web Services Schnittstellen falls implementiert nicht gegen WS I Profile bzgl Interoperabilit t und Sicherheit getestet sind Deshalb sollte ein Dienst anbieter davon ausgehen dass sie nur durch versierte programmiererfahrene Administratoren angebunden werden k nnen Insbesondere sollten die Administratoren auch ber entsprechende Sicherheitskenntnisse verf gen bspw WS Security Alle Systeme bieten Paymentfunktionen an Joomla Drupal und Plone verwenden dazu eigene Extensions Zur leichteren und sicheren Integration in Systemumgebungen ist die Verwendung von Standards zur Authentisierung hilfreich Besonders die Verfahren OpenID und OAuth erlauben eine Site bergreifende Authentisierung wobei die Verwendung dieser Verfahren auch eine sorgf ltige Konfiguration zur Ver meidung von gr eren Sicherheitsl cken erfordert Grunds tzlich werden diese Verfahren von allen 88 http www oasis ws 1 0rg Bundesamt f r Sicherheit in der Informationstechnik 73 4 Sicherheitsuntersuchung Systemen angeboten Besonders flexibel sind dabei TYPO3 WordPress und Plone die drei oder mehr Ver fahre
195. solcher Test verzichtet Zudem k nnte ein Test einer speziell konfigurierten Um gebung dazu verleiten das verwendete CMS generell als sicher zu betrachten ohne einen individuellen Test durchzuf hren Die Einsch tzung der Systeme erfolgt berwiegend auf Basis der Dokumentenlage die auszugsweise durch eigene Installationen und funktionale Tests verifiziert wird Um zu verdeutlichen welche Kriterien im Rahmen eines sicheren CMS Betriebs abgepr ft werden m ssen werden die Kriterien benannt und als nicht getestet markiert H ufig werden in Untersuchungen die mitgelieferten Standard Installationen bewertet Dagegen spricht dass die System H rtung traditionell nach der Erstinstallation stattfindet Viele Systeme werden mit Sicherheitsl cken ausgeliefert die der professionelle Administrator kennt und nach der Installation 9 Quelle Crawler Statistics metagenerator info http www metagenerator info statistic htm Zugriff am 06 09 12 10 Davon ist dringend abzuraten da die Anzahl der zu beachtenden Parameter sehr hoch ist Bundesamt f r Sicherheit in der Informationstechnik 9 1 Einleitung schlie t Um Vergleichbarkeit zwischen den Systemen zu erreichen werden die Installationen durch professionelle Administratoren begleitet und es wird der Umfang der jeweils notwendigen Arbeiten be wertet Man muss bedenken dass ein System das heute als sicher eingestuft wird in naher Zukunft ggf gravierende Sicherh
196. sondere im Falle von auftretenden Sicherheitsl cken Eine Standardsuchmaschine steht f r fast alle Systeme zur Verf gung TYPO3 verwendet Apache Solr ber eine Extension WordPress verwendet Solr mittels Plugin standard m ig wird eine eigene L sung verwendet Drupal Joomla und Plone bieten auch Solr als Suchmaschine an 4 2 3 11 Umsetzung von Sicherheitsanforderungen Inhaltsverwaltung Bei der Erstellung und Verwaltung von Inhalten durch Redakteure bewegen sich alle Systeme auf hohem Niveau Unterst tzt werden redaktionelle Workflows wie mehrstufige Freigabeprozesse die Versionierung und Wiederverwendung von Inhalten sowie die Erstellung von Voransichten Previews Die Systeme lassen sich somit gut an Arbeitsabl ufe anpassen wodurch unsichere Praktiken und Notbehelfe wie die Weiter gabe von Passw rtern oder Arbeiten mit Administratorrechten vermieden werden k nnen 76 Bundesamt f r Sicherheit in der Informationstechnik Sicherheitsuntersuchung 4 4 2 3 12 Umsetzung von Sicherheitsanforderungen Authentifizierung Sichere Verfahren zur Authentifizierung sind essentiell f r ein Content Management System Fast alle Systeme bieten eine Registrierung durch den Benutzer selbst an lediglich bei TYPO3 ist die Registrierung nicht Bestandteil der Standardinstallation Nur Joomla nutzt eine 2 pass registration bei der der Benutzeraccount erst nach Aktivierung eines per Mail zugesandten Links endg ltig angelegt wird Die andere
197. ss Attributbasierte Zugriffssteuerung Vergabe von Zugriffs Control ABAC rechten abh ngig von Attributwerten des Nutzers oder der Ressource Benutzer Menschen die sich als B rger oder Kunde die CMS basierte Nutzer Website ansehen in ihr Informationen austauschen oder ber sie Transaktionen ausl sen Business Process Mana Soft und Hardware zur Verwaltung Steuerung und Unter gement System st tzung von Diensten die von den Mitarbeitern zur L sung ihrer Fachaufgaben genutzt werden Caching Zwischenspeichern von Seitenteilen die bereits einmal von zwischenspeichern einem Benutzer angefordert wurden Da das Zusammen setzen Rendering von Seiten erhebliche Zeit ben tigt geht die Auslieferung dieser Seitenteile zuk nftig schneller Collaboration System Soft und Hardware zur F rderung der Zusammenarbeit verschiedener Benutzer Klassische M glichkeiten bestehen in der gemeinsamen Terminfindung im Informationsaus tausch Content Aufbereitete Informationen in verschiedenen Formaten Inhalt Text Bilder Filme etc Content Management Soft und Hardware zur Erstellung und Pflege von Inhalten Web Content Management System Dienstanbieter Privatpersonen Beh rden Firmen oder Organisationen im allgemein die Informations oder Transaktionsdienste ber die mit dem CMS verwaltete Website anbieten Online Dienstanbieter Enterprise Content Management System ECMS Soft und Hardware zur Verwaltung Strukturie
198. stanbieter m ssen permanent in der Lage sein Patches einzuspielen 2 Dienstanbieter sollten ihre Websites konzipieren bevor sie sie aufsetzen Das Prinzip Verteidigung in der Tiefe ist dabei von herausragender Bedeutung 3 Dienstanbieter sollten ihre Websites permanent monitoren 4 Eine sichere Konfiguration muss bergreifend ber die Infrastruktur auf Basis von Haupt anwendungszwecken unterst tzt werden 98 Bundesamt f r Sicherheit in der Informationstechnik Anhang Ergebnistabelle TYPO3 CMS 6 0 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Service Design Gesch ftsf hrung Governance Lizenzierung Ausprobierbarkeit http demo typo3 org Security Themen Entwicklerdokumentation Schulungen Anleitungen zu http tvpo3 orgs documentation docum ent library core documentation doc_co re inside 4 2 0 view 2 10 http wiki typo3 org Extension Develo pment Security Guidelines Dokumentation f r Entwickler von Er weiterungen und Security Abschnitt in Dokumentation f r Hauptentwickler scheinen unvollst ndig und veraltet zu sein Transparenz der Kommunikation bei Schwach stellen Kontakt des CMS Herstellers zur 0 http typo3 org teams security contact Meldung von Sicherheitsproblemen US Bug Tracking System mit Kategorie 0 http typo3 org teams security security Die Security Bul
199. stellen bekannt wurden Um die Informationen vergleichbar zu machen werden die Daten zun chst kommentarlos aufgef hrt und sp ter im Fazit interpretiert Zeitraum Eine weitere Entscheidung betrifft den Zeitraum der betrachtet wird Typisch f r Softwareent wicklung ist es dass Teile der Systeme ber die Jahre neu geschrieben oder komplett berarbeitet werden Um die Reife eines Systems zu betrachten sind die Teile des Systems wichtig die in der aktuellen Version noch vorhanden sind Es bringt folglich nichts die Schwachstellen zu ber cksichtigen die vor zehn Jahren gefunden wurden Selbst wenn bekannt ist dass an einem Projekt die gleichen Entwickler arbeiten erg be dies keinen Erkenntnisgewinn da sich vermutlich gerade die Kernentwickler bei dem Thema Sicherheit weiterentwickelt haben Wir beschr nken uns deshalb auf den Zeitraum von Anfang 2010 bis Ende 2012 Kern und Erweiterungen Einige der Systeme z B TYPO3 liegen in mehreren stabilen Release Branches vor Die offiziell gemeldeten Schwachstellen m ssen auf die oben betrachtete Version nicht zutreffen Andere Systeme wie Plone und Joomla verwenden eine Plattform die auch f r andere Zwecke verwendet wird So k nnten zumindest Schwachstellen aufgef hrt sein die f r das CMS nie relevant waren Viele der Systeme arbeiten mit Erweiterungen die deutlich weniger genutzt und getestet sind als der Kern des Systems Wie oben beschrieben sind einige der CMS stark heterogen wa
200. sungen werden WS Security CMIS unterst tzt angeboten oder werden eigene freie L sungen angeboten Integrations Web Services Wird WS Security unterst tzt Unterst tzung WS I Basic mittel f higkeit Werden SOAP Web Services Security Profile Anbindung ber unterst tzt Standardbibliotheken 0 Anbindung ber eigene Biblio theken Keine Anbindung m glich Payment Sind die Anbindungen an das Anbindung ber Standardbiblio mittel Payment Verfahren an be theken stehenden Standards aus 0 Anbindung ber eigene Biblio gerichtet z B SET oder muss theken schlimmstenfalls der Dienst Keine Anbindung m glich 38 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung Zu cl MACHEN kriterium ng anbieter eigenes entwickeln Authentifizierung Unterst tzung der Verfahren alle drei ja mittel Autorisierung Openld Oauth LDAP im 0 zwei Kernsystem oder durch stabile eins Erweiterungen Nutzung von architektonisch oder CMS spezi mittel Caching fisches Caching Mechanismen 0 Standard Mittel Skalierbarketdes Verteilbarkeit vertikal und oder horizontal mittel Systerns kritischer verteilbar Komponenten zur keine Verteilbarkeit Erh hung Per formance Verf g barkeit Auswahl und Reife der Erweiterungs Sind Erweiteru
201. tadium auch komplexe Systeme f r Nicht Experten handhabbar sind Meist gibt es vereinfachte limitierte Sichten auf das System die Be dienfehler auf ein akzeptables Minimum senken Dies geht zu Lasten der bestimmbaren Systemeigen schaften weshalb f r spezielle Einsatzbereiche wieder professionelle Unterst tzung eingebunden wird Deshalb ist in Summe davon auszugehen dass die Anzahl an fehlkonfigurierten CMS Sites mittelfristig sinken wird so dass die Position von A 5 Security Misconfiguration zumindest f r CMS Sites stark fallen wird e A9 Using Components with Known Vulnerabilities Dieser Punkt behandelt die Frage des Patch Management s Hier ist bei allen betrachteten CMS die Erkenntnis umgesetzt worden dass der Benutzer hier zu unterst tzen f hren oder n tigen ist Administratoren werden oft deutlich darauf hingewiesen dass Patches verf gbar sind hnlich den Beobachtungen zum Punkt Fehlkonfiguration ist das erzwungene Patchen selbst bei Client Systemen ein gel stes Problem Allerdings ist es noch nicht verbreitet Websites selbstt tig automatisch herunterzufahren sobald Patches vorliegen Vielleicht sollte dies als Optimierungsm glichkeit bernommen werden 94 Bundesamt f r Sicherheit in der Informationstechnik Zusammenfassung der Studie 5 Ein wesentlicher Punkt der in den untersuchten CMS bem ngelt und hier explizit als eigene Kategorie auf gef hrt wurde e A7 Missing Function Level Access Control Im einf
202. tallation der Systeme ist stark unterschiedlich die Skala reicht von einer komfortablen strengen Skript F hrung mit fast keinen Nacharbeiten Plone bis zu umfangreichen Konfigurationsm glichkeiten die den Administrator in ihrer Menge zu erschlagen drohen TYPO3 Regelm ige Updates k nnen bei Drupal WordPress Joomla automatisiert werden bei TYPO3 steht das auf dem Releaseplan Die Aufteilung der Anwenderdokumentation ist bei allen Systemen zielgruppengerecht Die Aktualit t der Dokumentation ist bei TYPO3 oft zu verbessern Bei einigen CMS sind sicherheitsrelevante Aspekte in der Dokumentation allerdings nicht ausreichend behandelt vgl Kapitel 4 2 1 5 Eine Beschreibung der Sicherheitsmechanismen und einstellungen sowie der Realisierung von Szenarien findet sich zusammenh ngend nur bei Plone alle brigen CMS bieten nur Einzeldokumente zu den ver schiedenen Mechanismen vgl Kapitel 4 2 1 6 Ein revisionssicheres Logging l sst sich bei keinem der Systeme mit Bordmitteln realisieren Ebenso l ft sich die Vertraulichkeit von fachlichen Logs nur ber Betriebssystemmittel hinzuf gen Die Voraussetzungen f r ein effizientes Einbinden des CMS in eine Systemmanagement Umgebung ist bei keinem CMS vollst ndig gegeben Logging und Tracing l sst sich bei allen Systemen gut konfigurieren die Skriptf higkeit von Drupal und Plone ist positiv hervorzuheben 4 6 Abgleich mit der aktuellen Bedrohungslage In diesem Abschnitt soll ein V
203. te Inhalts und Nutzerverwaltung Zugriffssteuerung und Template Engine sind Teil des Kerns Die Anbindung von Suchmaschinen ebenso wie die Administration per Kommandozeile insbesondere von remote Drupal Instanzen wird ber Erweiterungen vgl drush ab gebildet Als WYSIWYG Editor l sst sich der meist verwendete TinyMCE ber eine Erweiterung einbinden Teil des Kerns ist ein System zur Eingabefilterung Filter k nnen je nach Vertrauensw rdigkeit bestimmten Benutzergruppen zugeordnet werden So kann beispielsweise anonymen Benutzern verboten werden den Anchor Tag zu verwenden w hrend voll vertrauensw rdige Nutzer selbst PHP Code oder Javascript ein betten d rfen FAKT Es gibt bei Drupal prinzipiell ein Recht ausf hrbaren Code oder Javascript einzubetten 16 Es wird explizit auf das Lego Prinzip verwiesen 17 Zusammenstellungen von Modulen 18 http drupal org project drush 19 http www tinymce com Bundesamt f r Sicherheit in der Informationstechnik 15 2 Einf hrung in Content Management Systeme CMS Die Aktualisierung bzw Erweiterung des Drupal Systems erfolgt per Kommandozeile Das System informiert den Administrator dass Sicherheitspatches vorliegen die eingespielt werden m ssen 2 2 1 3 Protokolle Kommunikation und Datenfl sse Die Administration der Site erfolgt vom Server lokal ber die Drupal Shell drush oder ber einen Web Browser Sobald ber drush remote drupal Instanzen verwalt
204. ten im Klartext Das on 11519 verlinkte Plugin nutzt RSA um diese Daten zu verschl sseln Keine sonstigen Schwachstellen erkennbar Brute Force Schut 0 http extensions joomla org extensions ac Externes Plugin Brute Force Stop blockiert z Passwort cess a security site security login protecti nicht Nutzer sondern IP Adressen 0on 22982 Konfigurationsseite nicht selbsterkl rend Passwort vergessen 0 Testinstallation Verification code per email Captcha Beispielplugin ber Plugins http extensions joomla org extensions ac cess a security site security captcha 20938 Bundesamt f r Sicherheit in der Informationstechnik 128 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Sitzungs CSRF Schutz 0 http docs joomla org How to add CSRF_ Schutz durch Token Zufallsstring das bei verwaltung anti spoofing to forms relevanten POST und GET Anfragen mit gesendet wird Secure und 0 http docs joomla org InputCookie set 11 HttpOnly Flag bei Ki Cookies Service Transition Installation Deployment Vorbedingungen Root Access auf System http docs joomla org Installing Joomla Root Rechte nicht erforderlich f r Installation Anforderungen _3 0 der PHP Dateien und f r Datenbankzugriff Transparenz der Abh ngigkeiten http docs joomla org Installing Joomla Beim Setup wird nur das Vorhandensein gibt es ein Build System wie maven 3 0
205. tenschutzes realisiert werden Vertraulichkeit Verf gbarkeit Integrit t und ggf Authentizit t sowie Verbindlichkeit hergestellt durch elektronische Signaturverfahren haben hier einen besonders hohen Stellenwert Es muss f r die Funktionen zur B rgerbeteiligung und die Gesch ftsprozesse von hohem und ggf sehr hohem Schutzbedarf insbesondere bei der Nutzung personenbezogener Daten ausgegangen werden F r diesen Server muss von der Kleinstadt der BSI Standard 100 2 IT Grundschutzvorgehens weise beachtet werden und dar ber hinaus muss der BSI Standard 100 3 Risikoanalyse auf der Basis von IT Grundschutz sowie der BSI Standard 100 4 Notfallmanagement in Betracht gezogen werden Die Um setzung dieser Standards soll aber in diesem Kontext nicht weiter vertieft werden Beispiele f r zu er wartende Bedrohungen unterscheiden sich kaum von Szenario 2 Auch hier muss von Bedrohungen wie 94 Weiterf hrende Informationen hierzu unter https www bsi bund de DE Themen ITGrundschutz ITGrundschutzStandards ITGrundschutzStandards_n ode htm1 d0c471418bodyText2 95 Weiterf hrende Informationen hierzu unter https www bsi bund de DE Themen ITGrundschutz ITGrundschutzStandards TGrundschutzStandards_n ode htm1 d0c471418bodyText3 96 Weiterf hrende Informationen hierzu unter https www bsi bund de DE Themen ITGrundschutz ITGrundschutzStandards I TGrundschutzStandards_n ode htm1 d0c471418bodyText4 Bundesamt f r Sicherheit in der Infor
206. tik nicht gerecht wird 64 http web nvd nist gov 65 http secunia com advisories 47406 Bundesamt f r Sicherheit in der Informationstechnik 57 3 Aktuelle Bedrohungslage Schwachstellen f r Plone 4 Anzahl der Schwachstellen in im Zeitraum 2003 2012 Schwachstellen Unpatched 1 17 00 Vendor Patch 5 83 00 Vendor Workaround 0 0 00 Partial Fix 0 0 00 Tabelle 3 8 Plone Schwachstellen Eine Recherche bei ExploitDatabase zeigt nur einen Eintrag zu Plone F r einen Zeitrahmen zum Bereit stellen von Patches oder Bugfixes gibt es nur einen Anhaltspunkt Der vorhin bereits erw hnte am 6 November 2012 bereitgestellte Patch wurde am 31 Oktober 2012 offiziell gemeldet 3 2 3 WordPress ber wordpress org gibt es in der Security Kategorie der Neuigkeiten Meldungen zu Schwachstellen Die Meldungen betreffen lediglich Schwachstellen im Kernsystem von WordPress und umfassen jeweils mehrere gel ste Probleme vgl Tabelle 3 9 Das WordPress Security Team behebt Probleme die durch Externe und Kernentwickler gefunden wurden Anzahlin 2011 6 Meldungen im Security News Archiv 2012 4 2010 3 WordPress Tabelle 3 9 WordPress Meldung aus Security News Archiv Die Entwicklung von Schwachstellen im Zeitraum 2010 2012 ber die NVD und CVE Details zeigt einen Anstieg der gemeldeten Schwachstellen vgl Tabelle 3 10 Tabelle 3
207. tional Vulnerability Database ORB Object Request Broker PDO PHP Data Objects REST Representational State Transfer RSS Really Simple Syndication SAGA Standards und Architekturen f r eGovernment Anwendungen SIT Fraunhofer Institut f r Sichere Informationstechnologie SSH Secure Shell TCP Transmission Control Protocol WYSIWYG What You See Is What You Get ZEO Zope Enterprise Objects ZODB Zope Object Database Bundesamt f r Sicherheit in der Informationstechnik
208. tionalit t ist nur technischer Log technischen Logs WordPress PHP Errors 2C Warnings an von PHP Errors WP_DEBUG trennbar d Notices Verschl sselung http codex wordpress org Debugging in Debug Funktionalit t wird nur f r lokale der fachlichen Logs WordPress Installationen empfohlen mit Bordmitteln m glich R cksicherung http ithemes com backupbuddy stash Nur ber Plugin Backupbuddy ist bspw ein offenbart keinen beliebtes Plugin f r WordPress Backups und Klartext verschl sselt die Sicherung Einbindung in Laufzeitinformationen extrahierbar Systemmanagement in dieser Form nicht System m glich i i Steuerung per Skript Nicht skriptf hig Keine Hinweise hierzu ge funden Steuerung per API http codex wordpress org Settings API Bundesamt f r Sicherheit in der Informationstechnik 122 Anhang Ergebnistabelle Joomla 3 02 Anhang Ergebnistabelle Joomla 3 02 Joomloa 3 02 Kriterium Wert Quelle Anmerkung Service Design Gesch ftsf hrung Governance Lizensierung Ausprobierbarkeit http demo joomla org Security Themen Entwicklerdokumentation Schulungen Anleitungen zu http docs joomla org Secure coding guid elines Transparenz der Kommunikation bei Schwach stellen Kontakt des CMS Herstellers zur Meldung von Sicherheitsproblemen http developer joomla org security html Bug Tracking System mit Kategorie Sicher
209. tungskriterien Dies ist der Pfad aus der jeweiligen Mindmap vom Knoten sichere CMS An wendung bis zum Kriterium selbst e Beschreibung Erl uterung eine Erl uterung was unter dem Kriterium zu verstehen ist wenn der Name nicht selbsterkl rend ist e Bewertung um das Kriterium messbar zu machen wird ein Bewertungsmaf sstab gegeben Dieser reicht in der Regel von o f r semantisch sicherheitstechnisch bedenklich ber o 0 f r sicherheitstechnisch neutral bis zu o f r sicherheitstechnisch gut oder besser Einige Kriterien sind so dargestellt dass ihre Erf llung aus Sicht der IT Sicherheit maximal den Normal zustand repr sentiert Dies k nnen auch Ausschlusskriterien sein die in dieser Spalte dann bei Erf llung nur eine 0 erhalten Den anderen Fall gibt es nat rlich auch Kriterien die eine positive Abweichung vom Allgemeinzustand darstellen erhalten bei Nichterf llung eine 0 und bei Erf llung ein 50 https www owasp org index php Projects OWASP_ Application_Security_Verification_Standard_Project Rel eases ASVS_ 2009 Edition 28 Bundesamt f r Sicherheit in der Informationstechnik Einf hrung in Content Management Systeme CMS 2 e Ausschlusskriterium Alle Kriterien die so wichtig sind dass ein System aus sicherheitstechnischer Sicht den Mindestwert erreichen muss sind als Ausschlusskriterium markiert e Wichtung Die Spalte Wichtung repr sentiert die Bedeutung des Kriteri
210. typo3 ors Configuration Einige Dokumentation ist als Outdated ge kennzeichnet http wiki typo3 org User Management Andere wichtige Dok ist unvollst ndig oder provisorisch oder gar nicht vorhanden 404 http typo3 org documentation docum Auch viele Security Docs sind ber ein Jahr alt ent library doc tut editor ger Schon die Installations Doku enth lt kaum Versionsangaben zu PHP MySQL etc Vollst ndigkeit Beschreibung aller http docs typo3 org typo3cms Security Der Security Guide beschreibt typische Risiken Sicherheits Guide und Bedrohungen und gibt Hinweise wie eine mechanismen TYPO3 Site gesch tzt werden kann mit Annahmen und Einschr nkungen Bundesamt f r Sicherheit in der Informationstechnik 108 Anhang Ergebnistabelle TYPO3 CMS 6 0 TYPO3 CMS 6 0 Kriterium Wert Quelle Anmerkung Beschreibung aller http docs typo3 org typo3cms Securit sicherheits Guide relevanten Einstellungen Beschreibung ver 0 http docs typo3 org typo3cms Security Keine Beschreibung von Szenarien gefunden schiedener Guide Szenarien z B ex terner ID Provider Service Operation Marktdurchdringung Internetpr senz Moderierte Foren mit Fokus Security Anzahl www typo3forum net www tvpo3 net forum Mehrere Foren u a zu Installation allgemein Aber http www typo3forum net keine Kategorie Security http www typo3 net forum auch nicht S
211. uft 52 https www drupal org security 53 http drupal org security team risk levels 54 NVD http web nvd nist gov 55 vgl http nvd nist gov cvss cfm 54 Bundesamt f r Sicherheit in der Informationstechnik Aktuelle Bedrohungslage 3 CVSS Anzahl der Schwach Anteile Score stellen 0 1 0 0 00 1 2 0 0 00 2 3 2 8 30 3 4 3 12 50 4 5 6 25 00 5 6 9 37 50 6 7 2 8 30 7 8 2 8 30 8 9 0 0 00 9 10 0 0 00 Total 24 Gewichtetes Mittel CVSS Score 5 5 Tabelle 3 3 Drupal CVSS Score Das bedeutet dass die Schwachstellen des Drupal Systems unter Ber cksichtigung aller Module im Durchschnitt die Bewertung medium erh lt Nach Aussagen im Drupal Security White Paper und unter drupal org sind Schwachstellen in Er weiterungen weitaus h ufiger als in Kern Modulen der Basis Installation zu finden was sich mit den folgenden Werten f r den Zeitraum 2010 2012 f r alle Drupal Versionen aus der NVD deckt vgl Abbildung 3 1 4 17 E Basis Installation E Erweiterungen 95 83 Abbildung 3 1 Drupal Schwachstellen Basis Installation und Er weiterungen Die Autoren des Drupal Security White Papers stellen dar dass XSS Schwachstellen den Hauptanteil der Schwachstellen ausmachen gefolgt von Access Bypass Schwachstellen In CVE Details sind zus tzlich noch Execute Code Schwachstellen gelistet ber ExploitDatabase lassen sich derzeit
212. ums f r die Produktauswahl Die Einsch tzung der Wichtung muss individuell berdacht werden Beispiel f r eine kleine Kommune mit ausschlie lich deutsch sprechendem Administrator ist das Kriterium Mehr sprachigkeit der Dokumentation sehr wichtig w hrend es hier mit gering bewertet wurde Die Wichtung ist folglich als Ma daf r zu verstehen wie viel Einfluss das Kriterium auf die sichere CMS Anwendung hat Selbstverst ndlich kann es Kriterien geben deren Wichtung mit hoch an gegeben ist deren Nichterf llung jedoch nicht zum Ausschluss des CMS f hren m ssen Bundesamt f r Sicherheit in der Informationstechnik 29 2 3 2 Service Design MIL Service Operation Design m gt ITIL Service mi TT Abbildung 2 8 Kriterien berblick Service Design Gesch ftsf hrung Gesch ftsf hrung Gcwernance TIL Service Pr fung Test AVerification Softwareentwicklung Construction _ open source Lizensierung I Transparenz der _ Kommunikation bei Sehwachstellen kommerziell nachwollzteh bareversior Einf hrung in Content Management Systeme CMS 2 Bundesamt f r Sicherheit in der Informationstechnik 30 2 Einf hrung in Content Management Systeme CMS tungskriterlum ITIL Service Operation Gesch ftsf hrung Governance Pr fung Test ITIL Service Verification Design 7 Softwareentwicklung Construction
213. ung hilft anderen ja mittel durchg ngige Entwicklern die den Code nein Kommentierung im weiterentwickeln oder nutzen Quelltext wollen Damit kann sich das Review auf die wirklich wichtigen Aspekte Bundesamt f r Sicherheit in der Informationstechnik 35 2 Einf hrung in Content Management Systeme CMS Service Design Bewertungskriterien Beschreibung Erl uterung Bewertung Ausschluss kriterium Wichtu ng konzentrieren Bei hin reichender Kommentierung werden Fehler vermieden die dadurch entstehen dass der Kontext nicht richtig ver standen wurde strukturelle Mittel um die Qualit ts kriterien durchzu setzen Das Vorhandensein ge meinsamer Regeln reicht oft nicht Bestehen tats chliche Mittel organisatorischer oder technischer Art die Einhaltung der Regeln umzusetzen und wird dies auch getan hoch Transparenz des Entwicklungs prozesses Wenn f r Experten ersichtlich ist wie aufgetretene Schwach stellen bearbeitet wurden kann dies ffentlich gepr ft werden Davon profitieren auch die Dienstanbieter die allein nie in der Lage w ren eine solche Pr fung durchzuf hren Transparenz erm glicht dem Dienstanbieter unabh ngig zu bewerten welche Sorgfalt dem Thema Sicherheit beigemessen wird welche Entwickler be teiligt sind wie lange das Review gedauert hat etc Es ist nicht ersichtlich wie ent wickelt wird und wie ein Bug
214. ung von Schadsoftware e das Hochladen von unangemessenen Inhalten durch unberechtigte Dritte e der Missbrauch des Servers f r die Nutzung in Botnetzen e verschiedene Formen des Identit tsdiebstahls weitgehend vermieden werden Es wird angenommen dass die Redakteure der Website so umsichtig sind keine privaten Daten abzulegen Deshalb d rfen wir von einem normalen Schutzbedarf ausgehen Dies erfordert dennoch dass die Sicherheitsfunktionalit ten des CMS mit minimalem Zutun des Anwenders aktiviert sein m ssen Da die Website f r den Eigent mer keine wirklich gro e Bedeutung besitzt muss auch davon ausgegangen werden dass sie nach dem Event eine gewisse Zeit unbeaufsichtigt weiter existiert Sicherheitsmafsnahmen bzw CMS Funktionalit ten f r dieses Szenario sind beispielsweise e die einfache und sichere Handhabung von Passw rtern der Redakteure z B durch Hinweise auf die Passwortsicherheit inklusive der sicheren Wiederherstellung von vergessenen Passw rtern e Ma nahmen zur Vermeidung von automatisierten Aktivit ten auf der Website CAPTCHA e eine einfache und sichere Administration die keine allgemein bekannten Standard Accounts und Passw rter zul sst und e ein weitgehend automatisiertes Update Management so dass insbesondere Sicherheitspatches ohne Zutun des Dienstanbieters eingespielt werden F r dieses Szenario lautet die Empfehlung keine eigene Website aufzubauen sondern einen Dienst aus dem
215. urchschnittlich risikoreichsten Schwachstellen Da Websites mit Content Management Systemen einen Gro teil der Websites allgemein ausmachen gehen die hier auff llig gewordenen Probleme nat rlich in die Liste mit ein e A5 Security Misconfiguration Dies ist besonders bei CMS ein gravierendes Problem Wenn man die Annahme trifft dass besonders Nicht Informatiker daf r verantwortlich sind ergibt sich die Frage 1 wie sich der Anteil der Nicht Informatiker unter den Administratoren von CMS Sites entwickelt Dazu kommen weitere zum Teil gegenl ufige Faktoren 2 Die IT Produkte versuchen immer alltags tauglicher zu werden Es besteht ein lebendiger Wettstreit um Kunden F r die Akzeptanz der potenziellen Anwender ist leichte Administrierbarkeit ein wichtiges Argument Dadurch entsteht bei einem Prozentsatz der potenziellen Administratoren der Irrglaube auch den Sicherheitsanforderungen der Website gewachsen zu sein 3 Es besteht ein starker Trend weg vom Informatiker Administrator um die Ecke den man kennt und als Person sch tzt zum Hosting oder Cloud Service zu den Administratoren im Datacenter des Providers der tausende Sites gleichzeitig professionell verwaltet 4 die Entwicklung des Sachverstandes und der Security Awareness bei Nicht Informatikern ist ein weiterer Faktor der sehr schwer zu beurteilen ist Die Parallele zu anderen komplexen Systemen zeigt jedoch dass in einem fortgeschrittenen Entwicklungss
Download Pdf Manuals
Related Search