TYPO3 – das Enterprise CMS mit maximaler Sicherheit

Verpflichtung als Enterprise CMS

Bei der Suche nach einem Content-Management-System, das nicht nur den Bedürfnissen von KMUs genügt, sondern auch die deutlich umfangreicheren und oft sehr spezifischen Anforderungen von Großunternehmen erfüllt, hat sich TYPO3 als äußerst leistungsstarkes CMS seit vielen Jahren erfolgreich auf dem Markt etabliert.

Hinter den mit TYPO3 erstellten Webseiten stehen also oftmals Unternehmen mit Jahresumsätzen in Millionen- oder gar Milliardenhöhe. Sicherheitslücken oder gar Sicherheitsvorfälle wären in vielfacher Hinsicht problematisch. Das will und kann sich kein Unternehmen leisten.

Image und Ruf stehen auf dem Spiel

Ob für ein Unternehmen oder eine Marke, die Website ist das digitale Aushängeschild. Sie transportiert Image und Ruf des Unternehmens. Sicherheitsvorfälle oder gar eine gehackte Website sorgen gerade bei größeren Unternehmen für unerwünschte Medienaufmerksamkeit und einen entsprechenden Image- und Vertrauensverlust bei den Kunden. Das kann in der Folge auch zu Umsatzeinbußen und einem massiven finanziellen Schaden führen.

Datenschutz muss gewährleistet werden

Das Thema Datenschutz hat mit der Datenschutzgrundverordnung (DSGVO) erheblich an Brisanz gewonnen. Verstöße werden mit empfindlichen Strafen belegt. Das gilt nicht nur für die Erfassung und Speicherung von Daten, sondern auch für die Sicherheit der gespeicherten Daten. Unternehmen, die auf ihren Websites Daten von Besuchern erheben, müssen zahlreiche rechtliche Vorgaben einhalten. Dazu zählt neben der Datenintegrität und der Datenverfügbarkeit eben auch die Datensicherheit. Die Sicherheit der eingesetzten Software ist daher ein zentraler Baustein, um diese Vorgaben erfüllen zu können, und wird von der DSVGO auch ausdrücklich gefordert.

Information Disclosure – Schutz von vertraulichen Informationen

Neben dem Vertrauensverlust und möglichen datenschutzrechtlichen Strafen können Sicherheitslücken bzw. gehackte Systeme auch zu ganz direkten unternehmerischen und finanziellen Schäden führen: Wenn vertrauliche Informationen, die nur für interne Zwecke bestimmt sind, an die Öffentlichkeit gelangen oder der Konkurrenz in die Hände gespielt werden. Wenn Zugangsdaten gehackt werden, die den Zugriff auf weitere interne und externe Systeme ermöglichen. Wenn Informationen abgegriffen werden, die einen nur begrenzten Personenkreis legitimieren (Thema Social Engineering).

Missbrauch der Website als Angriffsplattform

Große und komplexe Webseiten sind besonders attraktiv für Hacker. Denn sie verfügen in der Regel über eine sehr gute Serveranbindung und weitreichende Systemvernetzungen. Das ist die ideale Voraussetzung, um sie als Basis für weitere Hackerangriffe auf andere interne oder auch fremde Systeme zu missbrauchen. Zum Beispiel um DDoS-Attacken zu starten oder illegale Inhalte zum Download anzubieten.

Sicherheit hat bei TYPO3 höchste Priorität

Neben den hohen Anforderungen an die Leistungsfähigkeit besteht also ein ebenso hoher Anspruch an die Sicherheit des Systems.

Entsprechend groß ist der Stellenwert, den das Thema Security bei TYPO3 hat. Das kann man an vielen Stellen erkennen. Es gibt sogar ein eigenes TYPO3 Security Team.

Zertifizierungen

TYPO3 ist ein leistungsstarkes Content Management System und zugleich Open Source. Also beste Voraussetzungen dafür, dass sich über die Jahre eine große und aktive Community von engagierten TYPO3-Entwicklern gebildet hat. Mit Zertifizierungen sorgt TYPO3 dafür, dass fundiertes Wissen und Können systematisch und korrekt in die Entwicklergemeinde weitergegeben werden. Sie bilden eine solide Grundlage für sauber geschriebene, einfach wartbare, aber eben auch sichere Software. Auf diesem Weg werden Sicherheitsverbesserungen und Best Practices zum Thema Security in die TYPO3 Community hineinkommuniziert und können von den Entwicklern direkt in den selbst entwickelten Extensions umgesetzt werden.

Das einstige Sicherheitskochbuch (Security cook book) ist mittlerweile in die offizielle TYPO3 Dokumentation aufgenommen worden. Die darin enthaltenen Sicherheits-Guidelines sind umfangreich und geben den Entwicklern einen guten Überblick über Dos and Don’ts bei der Umsetzung von TYPO3 Webseiten.

Sicherheits-Guidelines

Sicherheits-Mailingliste

Für alle, die möglichst schnell über neueste Sicherheits-Updates informiert werden möchten, hat TYPO3 eine eigene Security Advisories Mailing List eingerichtet. Sie unterrichtet zeitnah über aktuelle Security Releases und ist ein Muss für jeden ambitionierten TYPO3 Entwickler.

Wurden im System Sicherheitslücken entdeckt, werden sie im TYPO3 Security Bulletin ausführlich beschrieben und natürlich auch Problemlösungen angeboten. Damit die Entwickler besser einschätzen können, wie groß der Handlungsbedarf ist, werden die Sicherheitslücken zudem kategorisiert.

Von leichten Sicherheitslücken wird beispielsweise dann gesprochen, wenn starke Vorbedingungen erfüllt sein müssen, um die Sicherheitslücke ausnutzen zu können. Beispielsweise der Zugang zum TYPO3 Backend. Die Verwendung sicherer Passwörter bietet hier ausreichend Schutz, um mögliche Angriffe abzuwehren.

Schwerwiegende Sicherheitslücken können ohne Einschränkung ausgenutzt werden. Sie stellen eine grundlegende Bedrohung für das System bzw. die Website dar. Hier besteht akuter Handlungsbedarf.

Security Bulletin liefern detaillierte Infos zu Sicherheits-lücken

Sicherheit auch für TYPO3 Extensions

Das TYPO3 Security Team kümmert sich aber nicht nur um Sicherheitslücken im TYPO3 Core, dem Basis-CMS, sondern auch um Sicherheitsprobleme bei den TYPO3 Extensions, also den Systemergänzungen und -erweiterungen, die nicht von TYPO3 selbst, sondern von externen TYPO3-Entwicklern entwickelt wurden, aber frei genutzt werden können. Diese Extensions werden ebenfalls einem Security Check unterzogen, falls Sicherheitslücken auftreten. Zusammen mit den Entwicklern der betroffenen Extension erarbeitet das Security Team eine Lösung, um die Lücke wieder zu schließen, und veröffentlich dies ebenfalls im TYPO3 Security Bulletin..

Sehr nützlich und allen TYPO3 Entwicklern wärmstens zu empfehlen ist das zentrale Repository für TYPO3 Extensions, da hier nur Extensions angeboten werden, die vorher vom TYPO3 Security Team geprüft wurden.

Der Administrator einer TYPO3 Website kann und darf alles, das ist klar. Was aber alle anderen Backend-Nutzer und Editoren können und dürfen, das kann ganz individuell definiert und konfiguriert werden. Damit lassen sich Admin-Rechte auf einige wenige Systemverwalter begrenzen, während andere User nur auf jene Bereiche und Inhalte zugreifen können, die sie für ihre tägliche Arbeit benötigen. Das reduziert die Gefahr von versehentlichen Fehleingaben und erhöht zugleich die Sicherheit, wenn das Passwort eines Users in die falschen Hände gerät.

Falls der Server es zulässt, kann man in TYPO3 jeden Backend-Account auf vorher festgelegte IP-Adressen beschränken und so die Passwortsicherheit durch eine weitere starke Einschränkung ergänzen.

Und last but not least verfügt TYPO3 über eine Mitteilungsfunktion, wie wir sie von Google, Facebook und Co kennen. Wird der Login von einem bislang nicht autorisierten Gerät aus versucht, geht eine E-Mail an den entsprechenden User, um das neue Gerät zu autorisieren.

Eingebaute Sicherheit durch individuelles Rechtemanagement

Sicherheit für mehrere Jahre: TYPO3 als LTS-Version

Jede TYPO3 Version gibt es auch als LTS-Variante, also mit Long Term Support. Für diese LTS-Versionen stellt TYPO3 ab dem Zeitpunkt ihrer Veröffentlichung mindestens 3 Jahre lang Feature- und Security-Fixes bereit. Das ermöglicht Planungssicherheit und garantiert maximalen Schutz für mehrere Jahre – ohne kostenintensive Updates.

Lesen Sie hierzu auch TYPO3 Support für Version 10 endet.

Wird eine Sicherheitslücke entdeckt, die als sehr kritisch eingestuft wird, beispielsweise weil Angriffe leicht und ohne weitere Vorbedingungen erfolgen können, oder erste Angriffe auf TYPO3 Webseiten bereits stattgefunden haben, reagiert das TYPO3 Security Team umgehend, um das Sicherheitsproblem zeitnah zu beheben. In solchen Fällen wird ein sogenannter Backport eingerichtet. Dieser stellt Sicherheitsupdates für die betroffenen TYPO3 Systeme bereit, ggf. auch für ältere TYPO3 Versionen, die nicht mehr regulär gewartet und mit Updates versorgt werden.

Umfassender Service bei kritischen Sicherheitslücken

Fazit

TYPO3 wird auch in Sachen Sicherheit seinem Anspruch als Enterprise CMS absolut gerecht. Es verfügt über ein umfassendes und ausgereiftes Security-Management und bietet maximalen Schutz gegen Angriffe und Ausfälle.

Ansprechpartner Martin Kirmaier coma AG

Ist TYPO3 das richtige CMS für Ihre neue Webseite?

Sie planen einen Relaunch Ihrer Website und sind sich unsicher, ob TYPO3 das passende Content-Management-System für Ihre Anforderungen ist?

Wir beraten Sie gern – kostenlos und unverbindlich.

Martin Kirmaier Vorstand coma AG martin.kirmaier@coma.de