Sicherheitsstandards bei Open-Source-CMS
Viele Unternehmen entscheiden sich gegen proprietäre Lizenzmodelle und setzen stattdessen vermehrt auf Open-Source-Lösungen. Sie verlassen sich dabei auf die international etablierten Qualitäts-Standards der Open-Source-Welt und deren bewährtes Zusammenspiel. Der Digital-Experience-Spezialist Acquia schildert am Beispiel des CMS Drupal, wie im Open-Source-Umfeld eine hohe Sicherheit erreicht wird.
An ein über das Web verfügbares Content-Management-System werden sehr hohe Sicherheitsanforderungen gestellt. Dazu ist ein ganzheitliches Sicherheitskonzept erforderlich, dass nicht nur die Anwendung, sondern auch die zugehörige Infrastruktur umfasst. Eine Open-Source-Lösung hat dabei den Vorteil, dass die Betreiber in den Unternehmen sehr schnell auf Änderungen am Markt reagieren und auf Sicherheitsanforderungen und Schwachstellen gezielt eingehen können. Beim Open-Source-Projekt Drupal werden zum Beispiel an jedem Mittwoch sicherheitsrelevante Informationen und Updates bereitgestellt. Anwender proprietärer Lösungen dagegen müssen oft auf einen monatlichen Patchday warten – oder sie werden gar nicht erst proaktiv über vorhandene Schwachstellen informiert. Bis dahin sind diese Systeme einem hohen Sicherheitsrisiko ausgesetzt, sollten Informationen zu Schwachstellen bereits vorzeitig über inoffizielle Kanäle in den Umlauf geraten.
Ein weiterer zentraler Punkt ist die Umsetzung und Einhaltung aktuellster Sicherheitsstandards. Dazu zählt etwa das Information-Security-Management-Zertifikat ISO 27001, eingebettet in ein Information-Security-Management-System (ISMS). Dieses umfasst administrative, physische und technische Sicherheitsmaßnahmen, um einen Betrieb mit minimalem Risiko zu gewährleisten. Dies ist besonders dann relevant, wenn der betriebliche Erfolg von der Sicherheit und Verfügbarkeit der zu betreibenden Webseite und darin verarbeiteten Informationen abhängt.
In öffentlichen Community-Diskussionsportalen werden aktuelle Entwicklungen aufgegriffen und von Experten aus allen Branchen thematisiert. In dieser Gemeinschaft kann jeder Verbesserungen beitragen, die dann zum Beispiel in Form von Modulen später in den Status einer stabilen veröffentlichten Version überwechseln und somit auch dem strikten Audit durch das Drupal-Security-Team unterliegen.
Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess der sich wie folgt darstellt:
1. Risiko identifizieren und an das Security-Team melden
Jeder Anwender, der ein Sicherheitsrisiko entdeckt, sollte es mit einer möglichst detaillierten Beschreibung an das Security-Team melden. Sehr hilfreich ist es dabei, eine Herleitung zu der Reproduktion des Problems beizufügen.
2. Schwachstelle genauer analysieren und mögliche Auswirkungen abschätzen
Das Security-Team überprüft die gemeldete Schwachstelle und stuft die potenzielle Sicherheitslücke nach der Schwere der Auswirkungen ein. Dazu gehört beispielsweise auch die Feststellung, welche Drupal-Versionen, Module oder Themes (Designvorlagen) von der Schwachstelle betroffen sind.
3. Verantwortliche beheben das Problem
Unterstützt durch das Security-Team arbeiten Experten, Tester und andere Fachleute an einer professionellen Lösung. Die Lösungsvorschläge werden genauestens begutachtet und diskutiert, um ein optimales Ergebnis unter Berücksichtigung aller Abhängigkeiten zu erzielen.
4. Patches entwickeln, testen und veröffentlichen
Der neue Code wird ausführlich getestet und in automatisierte Tests überführt, um sicherzustellen, dass das gewünschte Ergebnis erreicht wird und vor allem keine unerwünschten Nebenwirkungen damit verbunden sind. Durch die Zusammenarbeit und die gegenseitige Beurteilung von Experten rund um die Welt lässt sich somit eine sehr hohe Qualität erzielen. Sind all diese einzelnen Schritte erfolgreich abgeschlossen, wird der neue Code über Drupal.org veröffentlicht.
5. Sicherheitshinweise abonnieren
Für Unternehmen und andere Organisationen, die Drupal einsetzen, gehört es zum Standard, dass sie die auf Drupal.org veröffentlichten Sicherheitshinweise abonnieren (https://www.drupal.org/security/rss.xml). Es werden diverse weitere Kanäle angeboten, um über sicherheitsrelevante Informationen auf dem Laufenden zu bleiben, zum Beispiel der Twitter-Account des Drupal Security-Teams: @drupalsecurity (https://twitter.com/search?q=%40drupalsecurity&src=typd&lang=de).
6. Sicherheit-Updates auf den Webseiten implementieren
Drupal prüft selbstständig auf regelmäßiger Basis, ob es Updates gibt und informiert den Drupal-Administrator. Auf Drupal.org finden sich dann die entsprechenden Download-Links und Installationsanweisungen für alle neuen Versionen. Wer Open-Source-Software einsetzt, muss sich in der Regel selbst darum kümmern, dass Updates zeitnah eingespielt werden. Dafür bietet Acquia eine besondere Dienstleistung namens Remote Administration Services für seine Kunden an; sie spielen kurz nach der Veröffentlichung relevanter Updates diese in die auf der Acquia Cloud gehosteten Drupal-Projekte ein.
"Sich hinter proprietären Lizenzmodellen oder kompiliertem Code zu verstecken und darauf zu bauen, dass niemand potenzielle Sicherheitslücken entdeckt, kann sich sehr schnell zum Bumerang entwickeln. Die Folgen können verheerend sein", sagt Michael Heuer, Country Manager bei Acquia in München. "Mit einem offenen Programmcode und einem ganzheitlichen Sicherheitskonzept kann die IT-Sicherheit deutlich gesteigert werden. Jeder aus der weltweiten Community kann Sicherheitsrisiken melden, die dann in einem effizienten Prozess schnellstmöglich behoben werden. Transparenz, Erfahrungsaustausch und ein sehr hoher Sicherheitsanspruch gehören zu den Grundlagen erfolgreicher Open-Source-Projekte."
An ein über das Web verfügbares Content-Management-System werden sehr hohe Sicherheitsanforderungen gestellt. Dazu ist ein ganzheitliches Sicherheitskonzept erforderlich, dass nicht nur die Anwendung, sondern auch die zugehörige Infrastruktur umfasst. Eine Open-Source-Lösung hat dabei den Vorteil, dass die Betreiber in den Unternehmen sehr schnell auf Änderungen am Markt reagieren und auf Sicherheitsanforderungen und Schwachstellen gezielt eingehen können. Beim Open-Source-Projekt Drupal werden zum Beispiel an jedem Mittwoch sicherheitsrelevante Informationen und Updates bereitgestellt. Anwender proprietärer Lösungen dagegen müssen oft auf einen monatlichen Patchday warten – oder sie werden gar nicht erst proaktiv über vorhandene Schwachstellen informiert. Bis dahin sind diese Systeme einem hohen Sicherheitsrisiko ausgesetzt, sollten Informationen zu Schwachstellen bereits vorzeitig über inoffizielle Kanäle in den Umlauf geraten.
Ein weiterer zentraler Punkt ist die Umsetzung und Einhaltung aktuellster Sicherheitsstandards. Dazu zählt etwa das Information-Security-Management-Zertifikat ISO 27001, eingebettet in ein Information-Security-Management-System (ISMS). Dieses umfasst administrative, physische und technische Sicherheitsmaßnahmen, um einen Betrieb mit minimalem Risiko zu gewährleisten. Dies ist besonders dann relevant, wenn der betriebliche Erfolg von der Sicherheit und Verfügbarkeit der zu betreibenden Webseite und darin verarbeiteten Informationen abhängt.
In öffentlichen Community-Diskussionsportalen werden aktuelle Entwicklungen aufgegriffen und von Experten aus allen Branchen thematisiert. In dieser Gemeinschaft kann jeder Verbesserungen beitragen, die dann zum Beispiel in Form von Modulen später in den Status einer stabilen veröffentlichten Version überwechseln und somit auch dem strikten Audit durch das Drupal-Security-Team unterliegen.
Um neu entdeckte Sicherheitsrisiken schnellstmöglich zu adressieren, gibt es einen mehrstufigen Security-Release-Prozess der sich wie folgt darstellt:
1. Risiko identifizieren und an das Security-Team melden
Jeder Anwender, der ein Sicherheitsrisiko entdeckt, sollte es mit einer möglichst detaillierten Beschreibung an das Security-Team melden. Sehr hilfreich ist es dabei, eine Herleitung zu der Reproduktion des Problems beizufügen.
2. Schwachstelle genauer analysieren und mögliche Auswirkungen abschätzen
Das Security-Team überprüft die gemeldete Schwachstelle und stuft die potenzielle Sicherheitslücke nach der Schwere der Auswirkungen ein. Dazu gehört beispielsweise auch die Feststellung, welche Drupal-Versionen, Module oder Themes (Designvorlagen) von der Schwachstelle betroffen sind.
3. Verantwortliche beheben das Problem
Unterstützt durch das Security-Team arbeiten Experten, Tester und andere Fachleute an einer professionellen Lösung. Die Lösungsvorschläge werden genauestens begutachtet und diskutiert, um ein optimales Ergebnis unter Berücksichtigung aller Abhängigkeiten zu erzielen.
4. Patches entwickeln, testen und veröffentlichen
Der neue Code wird ausführlich getestet und in automatisierte Tests überführt, um sicherzustellen, dass das gewünschte Ergebnis erreicht wird und vor allem keine unerwünschten Nebenwirkungen damit verbunden sind. Durch die Zusammenarbeit und die gegenseitige Beurteilung von Experten rund um die Welt lässt sich somit eine sehr hohe Qualität erzielen. Sind all diese einzelnen Schritte erfolgreich abgeschlossen, wird der neue Code über Drupal.org veröffentlicht.
5. Sicherheitshinweise abonnieren
Für Unternehmen und andere Organisationen, die Drupal einsetzen, gehört es zum Standard, dass sie die auf Drupal.org veröffentlichten Sicherheitshinweise abonnieren (https://www.drupal.org/security/rss.xml). Es werden diverse weitere Kanäle angeboten, um über sicherheitsrelevante Informationen auf dem Laufenden zu bleiben, zum Beispiel der Twitter-Account des Drupal Security-Teams: @drupalsecurity (https://twitter.com/search?q=%40drupalsecurity&src=typd&lang=de).
6. Sicherheit-Updates auf den Webseiten implementieren
Drupal prüft selbstständig auf regelmäßiger Basis, ob es Updates gibt und informiert den Drupal-Administrator. Auf Drupal.org finden sich dann die entsprechenden Download-Links und Installationsanweisungen für alle neuen Versionen. Wer Open-Source-Software einsetzt, muss sich in der Regel selbst darum kümmern, dass Updates zeitnah eingespielt werden. Dafür bietet Acquia eine besondere Dienstleistung namens Remote Administration Services für seine Kunden an; sie spielen kurz nach der Veröffentlichung relevanter Updates diese in die auf der Acquia Cloud gehosteten Drupal-Projekte ein.
"Sich hinter proprietären Lizenzmodellen oder kompiliertem Code zu verstecken und darauf zu bauen, dass niemand potenzielle Sicherheitslücken entdeckt, kann sich sehr schnell zum Bumerang entwickeln. Die Folgen können verheerend sein", sagt Michael Heuer, Country Manager bei Acquia in München. "Mit einem offenen Programmcode und einem ganzheitlichen Sicherheitskonzept kann die IT-Sicherheit deutlich gesteigert werden. Jeder aus der weltweiten Community kann Sicherheitsrisiken melden, die dann in einem effizienten Prozess schnellstmöglich behoben werden. Transparenz, Erfahrungsaustausch und ein sehr hoher Sicherheitsanspruch gehören zu den Grundlagen erfolgreicher Open-Source-Projekte."