Veit Schiele Communications

Veit Schiele Communications
StartseiteBlogBSI-Studie bestätigt hohes Sicherheitsniveau von Plone

BSI-Studie bestätigt hohes Sicherheitsniveau von Plone

erstellt von Veit Schielezuletzt verändert: 23.06.2013 12:59 © Veit Schiele, 2013
BSI-Studie bestätigt hohes Sicherheitsniveau von Plone

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mehrere Content Management Systeme (CMS) analysiert um die Auswahl von Systemen für Intranet- oder Internetsites zu erleichtern. Nach Einschätzung der Autoren sind diese Systeme aus sicherheitstechnischer Sicht besonders kritisch, da sie einem Angreifer ein Ziel bieten können, um in komplexere Unternehmensstruktur einzudringen, wobei Content Management Systeme meist Systeme »von der Stange« sind, so dass aufgrund ihres weit verbreiteten Einsatzes viele Unternehmen gleichzeitig gefährden können. Dabei wurde jedoch in der heute (19.06.2013) veröffentlichten Studie Sicherheitsstudie Content Management Systeme (CMS) (PDF, 5,07 MB) die hohe Qualität und Sicherheit von Plone bestätigt:

Die geringen absoluten Zahlen gefundener Schwachstellen bei Plone sprechen … für die Qualität dieses CMS.

Schwachstellen absolut pro CMS

Als weitere Vorteile gegenüber den anderen Systemen wurde herasugestellt, dass »im Unterschied zu den PHP Systemen Plone in einem Applikationsserver (Zope) läuft und deshalb die Vorzüge der Lastverteilung auf Anwendungsebene aufweist.

Besonders stolz sind wir, dass unser Plone-Entwicklerhandbuch nach Ansicht der Autoren mit zur Sicherheit von Plone-Anwendungen beigetragen hat: »Das Plone-Entwicklerhandbuch eines Drittanbieters erläutert im Abschnitt Sicherheit und Arbeitsabläufe detailliert Sicherheitsmechanismen und ihre Anwendung anhand eines konkreten Beispiels.«

Die Studie warnt jedoch auch eindrücklich: »Die Anzahl der gefundenen Schwachstellen befreit keinen Dienstanbieter davon, … permanent die Meldungen der Security-Teams zu verfolgen und darauf vorbereitet zu sein, ein Security Update schnellstmöglich einspielen zu müssen.« Aus diesem Grund weisen wir auch im Abschnitt Security des Plone-Entwicklerhandbuch eindrücklich darauf hin, die Plone Announce-Mailingliste zu abonnieren. Einen Überblick, welche Hotfixes für welche Version erforderlich sind, erhalten Sie in Plone Hotfixes.

Schließlich wird auch das permanente Monitoring der Websites von den Autoren empfohlen. Einige Monitoring-Werkzeuge für Plone haben wir zusammengestellt im Kapitel Monitoring.

Einen vollständigen Überblick über die erforderlichen Maßnahmen für ein sicheres Web-Hosting erhalten Sie in einer anderen Publikation des BSI, den IT- Grundschutz-Katalogen.