Content Management beschreibt grundsätzlich die Erstellung und Veränderung von Inhalten webgestützter Präsenzen von Firmen oder Privatpersonen. Diese basieren auf HTML – was wiederum für knapp 99 Prozent der Anwender ein unverständliches Kauderwelsch aus Befehlen, Zahlen, Klammern und Anführungszeichen ist. Deswegen haben sich Systeme, besagte CMS, entwickelt, welche der eigentlichen Programmierung eine Nutzeroberfläche entgegenstellen, die wiederum den Normalnutzer eher an MS Word erinnert und dadurch deutlich bedienfreundlicher werden lässt. Aber nochmal: Content Pflegen ist Programmieren!

 

TeamViewer Hacker

 

Punkt zwei – warum CMS sicherheitsrelevant sind – liegt in der simplen Wahrheit, dass die User, im Unwissen um Ihre Tätigkeit als „Programmierer“ selten Wert auf den sicheren Umgang legen. Logins werden simplifiziert, Nutzer-Accounts einfach nach dem Namen gebildet, Passwörter simpel zum Merken gewählt. Dabei muss Ihnen als Nutzer auch klar werden, dass je einfach Sie es selbst haben, desto einfacher wird es für einen versierten Hacker sein, Ihren Webzugang Zweck zu entfremden.

Allgemeines Verständnis: CMS ist KEINE Desktop-Software

Um jedoch wirklich zu verstehen, warum Content Management Systeme so stark für Ihre Onlinesicherheit verantwortlich sind, müssen wir von NeoDesign mit einem grundsätzlichen Verständnis aufräumen. Viele unserer potentiellen Kunden sind, wie wir während unserer Erstgespräche feststellen, der Meinung, Sie kaufen ein permanent sicheres Produkt – das dann für lange Zeit sicher bleibt. Dem ist NICHT so!

Es liegt eben gerade kein Desktop-Programm vor, das seine Arbeit tut, ohne mit der „gefährlichen“ Onlinewelt in Kontakt zu kommen! CMS sind darauf ausgelegt, dass Sie als Webseitenbetreiber bei der Erstellung von Webinhalten unterstützt werden. Die Systeme sind daher dauerhaft und immer auch im Fadenkreuz der Hacker. Die Webseite oder der Shop sind daher vergleichbar mit dem Schaufenster eines stationären Ladens – er soll jeden Passanten dazu animieren, in den Laden, also auf die Webseite zu schauen. Legen Sie jedoch sehr kostbare Sachen in die Auslage, müssen Sie immer und vor allem dauerhaft an der Sicherheit arbeiten – Juweliere können da ein Lied singen!

Öffentlicher Raum + Kostbare Inhalte = Hackergefahr

Naturgemäß könnten Sie für Ihre Webseite nun kurz Bestandaufnahme machen und feststellen, dass Sie nur Wollsocken verkaufen wollen. Die Kostbarkeit einer Webseite ergibt sich für einen Hacker aber nicht nur aus Ihren Inhalten sondern insbesondere aus Ihrer Vernetzung. Zum Zwecke der verbesserten Sichtbarkeit haben Sie bestimmt versucht, sich mit Partnern zu vernetzen, Kunden- oder Besucheraccounts zu akquirieren oder Newsletteranmeldungen zu bekommen! Und genau darauf haben es die Online-Kriminellen abgesehen: Vernetzungsdaten. So erhalten Sie möglicherweise direkten Zugang zu ansonsten hervorragend gesicherten Netzwerken.

Kernfrage: Ist mein CMS sicher?

Genug Angst gemacht? Dann stellen wir gleich die nächste Frage! Ist Ihr CMS sicher? Für die Kaufsysteme können wir dazu leider keine Aussage treffen. Im Bereich der offenen System, der open source CMS, hingegen ist gerade bei den Größten eine interessante Beobachtung zu machen. Egal ob WordPress, TYPO3, Drupal, JOOMLA! oder Contao – quasi fast nie wird der Core des Systems direkt und erfolgreich angegriffen. Das Herz des jeweiligen Systems ist normalerweise so sauber und sicher programmiert, dass ein direkter Hacker-Angriff zum Scheitern verurteilt ist.

Die geschützten CMS-Teile von WordPress

  1. Core des CMS
  2. Geprüfte, meist kostenpflichtige Themes
  3. Geprüfte, auch kostenpflichtige Plugins
  4. Professionell erstellte Child-Themes
  5. Professionell erstelltes DropIn

Die Rangliste der oft gefährdeten CMS-Teile

  1. DropIns (Anpassungen des Programmcodes ohne Verifizierung)
  2. Freie, ungeprüfte, meist kostenlose PlugIns sowie veraltete PlugIns (Erweiterungen oder Module)
  3. Freie, ungeprüfte Themes (Frontend-Muster)
  4. Ungeprüfte Child-Themes (Kind-Themes, die Parameter des „Mutter“-Themes übernehmen)

Ganz anders sieht das mit den Erweiterungen zum eigentlichen Core aus. Hier wird zwischen drei verschiedenen Bereichen unterschieden: den Anpassungen (DropIn), den Erweiterungen (PlugIn) und der Frontend-Darstellung (Theme). Dabei sind alle Bereiche gleichermaßen angreifbar. Es hängt vom Grad der Kenntnis über die Zusammenhänge im CMS ab, ob diese dann sicher oder hochgradig gefährdet durchgeführt werden.

WordPress versucht, obwohl es eigentlich ein offen statuiertes und damit für jeden Programmierer zugängliches System ist, gewisse Standards zu setzen. Agenturen müssen, um WordPress Developer zu sein, entsprechende Nachweise, Schulungen und Projekte durchführen, die ein erhöhtes Sicherheitsverständnis darlegen. Für Sie als Webseitenbetreiber wird es ansonsten beinahe unmöglich, den richtigen Partner zu finden.

 

Service Partner Logo

 

Eine Wahrheit meiner Oma stimmt jedoch fast immer: „Was nichts kostet, ist auch nichts!“ In der Sicherheitsdebatte zählt das zumeist sogar doppelt – denn jeder Hack Ihrer Seite kostet Sie noch etwas zusätzlich, nämlich das Vertrauen Ihrer Kunden und Partner!