Saturday, May 25, 2013

Sicherheitsstudie Content Management Systeme

von Christian Breitenstrom (]init[ AG)

Friday, 24.05.2013, New York II, 15:00-15:30 Uhr

Im Auftrag des BSI wurde eine Studie zur Sicherheit von 8 ausgewählten CMS durchgeführt, darunter plone, drupal, typo3, wordpress und joomla. Ziel der Studie ist es, den IT-Verantwortlichen Handlungsfelder und Gestaltungsoptionen beim sicheren Auf- oder Ausbau ihrer Websites mit CMS aufzuzeigen. Die Studie betrachtet den gesamten Lebenszyklus von der Architekturkonzeption bis zum kontinuierlichen Betrieb des CMS. Kriterien aus den Bereichen Service Design, Service Transition und -Operation werden aufgestellt, anhand derer die Systeme miteinander verglichen werden. 4 Szenarien (Bürgerbüro einer kleinen Gemeinde, Open Government Site einer Kleinstadt, Mittelständisches Unternehmen mit mehreren Standorten, Private EventSite) grenzen die Ausbaustufen der Sites ab. Der Beitrag enthält in Kurzform die Ergebnisse der Bedrohungsanalyse, die Erkenntnisse der Sicherheitsanalyse sowie die Empfehlungen bezogen auf die festgelegten Szenarien. Er versucht, die in den Projekten gefundenen best practices zur Behandlung von Schwachstellen zu unterstreichen, ohne die Problemzonen zu verschweigen. Er richtet sich einerseits an IT-Verantwortliche in kleinen, mittelständischen Unternehmen/Verwaltungen aber auch an CMS Core Entwickler bzw. Mitglieder der Security Teams.

Über den Autor Christian Breitenstrom:

Geboren in Berlin, hat anfangs lieber mit Leuchtdioden und schwingenden Verstärkern als mit langweiligen Schieberegistern gebastelt.
Software war dann der Ausweg, ohne teure Hardware kreativ zu sein. Heute beschäftigt er sich mit Sicherheitslücken, technischer und zunehmend menschlicher Art.