Drupal nimmt einen Spitzenplatz in der Sicherheitsstudie des BSI ein.

Di, 06/25/2013 - 19:35

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content-Management-Systemen erstellen lassen. Die Studie wurde von der ]init[ AG in Zusammenarbeit mit dem Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) erstellt und vor wenigen Tagen kostenfrei zum Download bereitgestellt.

Auf 165 Seiten beschreibt die Studie die Hintergründe und Maßnahmen, deren Anwendung im Ergebnis eine Vergleichbarkeit der untersuchten Open-Source-CMS ermöglicht.
Die Kernaussage der Studie kann wie folgt zusammengefasst werden:

  • Open-Soruce-CMS brauchen sich hinter proprietärer Software nicht zu verstecken. Die Entwicklung geschieht professionell. Eine starke Community, die Zugriff auf die Quelltexte hat und sich auf einen transparenten, nachvollziehbaren Workflow geeinigt hat, sorgt für ein schnelles Schließen entdeckter Sicherheitslücken.
  • Drupal nimmt in der Studie zusammen mit Plone den Spitzenplatz ein. Betrachtet wurde dabei die gemeldeten Schwachstellen im Zeitraum 2010 - 2012.
  • Die Sicherheit des Gesamtsystems ergibt sich aus sachgemäßer Konfiguration, permanenter Beobachtung und Pflege. Gerade im sicherheitsrelevanten Umfeld sollte spezialisierte Dienstleister die Umsetzung begleiten.

Weiterhin zeigt die Studie vier typische Anwendungsszenarien und nennt bei drei der vier Szenarien Drupal als geeignetes CMS. Im Szenario 1: „Private Event Site“ empfiehlt die Studie explizit, generell kein (!) eigenes CMS einzusetzen.

Anja Schirwinski hat auf dem undpaul-Blog auf einige Unstimmigkeiten der Studie in Bezug auf Informationen zu Drupal hingewiesen.

Wir haben im Kontext des CMS-Garden bereits Gespräche mit dem BSI aufgenommen und unsere Hilfe bei der Zusammenstellung und Recherche für die nächste Auflage der Studie angeboten.

Die Sicherheitsstudie Content Management Systeme (CMS) (pdf, 5.07 MB) steht auf der Website des BSI kostenfrei zum Download zur Verfügung.