Das Märchen vom sicheren CMS

Es gibt einige Themen, die immer und immer wieder leidenschaftlich im Internet diskutiert werden, und trotzdem nie eine Antwort liefern. Eines der Reizthemen ist das Thema ‚Sicherheit‘ bei Content Management Systemen (CMS). Besonders die beliebten Open Source-Systeme wie Drupal, WordPress oder Joomla stehen regelmässig im Kreuzfeuer der Kritik.

Für Website-Betreiber sind Sicherheitslücken, auch wenn man nicht direkt von einem Hack betroffen ist, natürlich eine ärgerliche Sache. Man fragt sich, ob die eigenen Daten sicher sind, ob in Zukunft weitere oder gar schlimmere Lücken und Probleme auftauchen könnten. Und vor allem: War das CMS die richtige Wahl? Sollten wir in Zukunft umsteigen? Welches ist wohl das sicherste CMS?

Kein CMS ist sicher

Voilà, das ist die Realität. Die letzten Monate und Jahre haben gezeigt, dass alle verbreiteten CMS regelmässig Sicherheitslücken aufweisen – und das ist nicht verwunderlich. Content Management Systeme bestehen aus hunderttausenden von Codezeilen. Ein 100% sicheres CMS wäre das Equivalent zu einer riesigen Baustelle mit hunderten von Mitarbeitern auf der kein einziger Fehler passiert. Das gibt es schlichtweg nicht. Wo gearbeitet, getüftelt und verbessert wird, entstehen zwangsläufig Fehler. Und gerade Open Source-Projekten, die von der Mitarbeit zahlreicher freiwilliger Software-Entwickler leben, muss man Fehler verzeihen. Nicht etwa, weil diese Entwickler hobbymässig schlechter arbeiten, sondern weil man als nicht zahlender Nutzniesser nur bedingt Ansprüche geltend machen kann.

Mit Sicherheitslücken leben

Wenn man davon ausgeht, dass Sicherheitslücken bei jedem CMS vorkommen, dann stellt sich eine ganz andere Frage: Wie geht man damit um? Es gibt das Sprichwort „aus Fehlern lernt man“ und genau so verhält es sich auch mit Bugs und Sicherheitslücken. Entscheidend ist nicht, ob es sie gibt, sondern wie damit umgegangen wird. Dabei sind sowohl die Entwickler als auch Website-Betreiber in der Pflicht.

  • Entdeckte Sicherheitslücken sollten von den Entwicklern so schnell wie möglich geschlossen werden. WordPress zum Beispiel veröffentlicht seit einiger Zeit Sicherheits-Updates, die automatisch an die Millionen von WordPress-Websites verteilt werden (sofern die Funktion aktiviert ist).
  • Website-Betreiber sind in der Pflicht, selbstständig Ihre Installation inklusive Erweiterungen aktuell zu halten.
  • Die Wahl schwacher Passwörter (oder das mehrfache Verwenden desselben Passwortes) sind Unsitten, die sich nach wie vor hartnäckig halten. Bei besonders heiklen Daten sollten Website-Betreiber auch über Zwei-Faktor-Authentifizierung nachdenken (das kennen Sie von Ihrer Bank: Beim Login erhalten Sie einen TAN-Code per SMS).
  • In vielen Fällen lohnt sich der Einsatz von Plugins oder Erweiterungen mit einer Firewall. Betreibt man zum Beispiel eine Website mit reiner Schweizer Kundschaft, so lohnt es sich unter Umständen, Traffic aus Regionen wie Russland oder China komplett zu blockieren (solche Funktionalität ist allerdings häufig kostenpflichtig).
  • Natürlich sind regelmässig Backups absolute Pflicht und stellen sicher, dass im Falle eines Problems der Ausfall möglichst kurz bleibt und keine Daten verloren gehen.