Navigation und Service


Content Management System (CMS)

Unter einem Content Management System (CMS) wird im Allgemeinen ein System verstanden, das die Verwaltung, die Darstellung und die Nutzung aufbereiteter Informationen (z.B. Texte, Bilder, Grafiken) erleichtert.

Die hier vorgestellte Studie konzentriert sich auf sogenannte Web Content Management Systeme, d. h. CMS, die dafür konstruiert wurden, die Pflege, Darstellung und Nutzung aufbereiteter Informationen auf einer Intranet- oder Internetsite zu erleichtern. Diese Systeme sind aus sicherheitstechnischer Sicht besonders kritisch, da sie einem Angreifer ein erstes Ziel, eine erste Plattform bieten können, um in eine komplexere Unternehmensstruktur einzudringen. Web Content Management Systeme sind meist Systeme "von der Stange", so dass aufgrund ihres weit verbreiteten Einsatzes eine bekannt gewordene Sicherheitslücke viele Websites gleichzeitig gefährdet.

Graphische Darstellung der DurchschnittswerteGraphische Darstellung der Durchschnittswerte aller CMS bzgl. der genannten Schwachstellentypen.

Das Ziel der Studie ist, die weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, bezüglich ihrer Sicherheit zu untersuchen und zu bewerten. Dabei muss die rechtliche und organisatorische Ebene ebenso berücksichtigt werden, wie die darunter liegende Technik. Es wird auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet. Die Einschätzung der Systeme erfolgt dabei überwiegend auf Basis der Dokumentenlage, die auszugsweise durch eigene Installationen und funktionale Tests verifiziert wird.

Damit konnten Erkenntnisse für den gesamten Lebenszyklus eines CMS gewinnen – von der Produktauswahl bis zum kontinuierlichen Betrieb des Systems. Ein Ergebnis der Studie ist, dass die Sicherheit einer CMS-Website vor allem auf drei Faktoren beruht:

  1. der Sicherheit der eingesetzten Software,
  2. der abgestimmten Konfiguration des CMS und der damit in Verbindung stehenden Komponenten,
  3. dem kontinuierlichen Systemmanagement einschließlich des Einspielens von Sicherheitsupdates.

Anhand typischer Einsatzszenarien wird die sicherheitstechnische Eignung der CMS bewertet und zeigt die Studie Privatpersonen und IT-Verantwortlichen der öffentlichen Verwaltung sowie der freien Wirtschaft Handlungsfelder und Gestaltungsoptionen beim Auf- oder Ausbau ihrer Websites mit CMS auf.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

Download der Studie: Datei ist barrierefrei⁄barrierearm  Content Management System (CMS) (pdf, 5,07 MB)


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved