Warum muss eine Webseite, die mit einem Content Management System wie z.B.Wordpress oder TYPO3 erstellt worden ist, regelmäßig upgedatet werden?

Mit dieser Frage werden wir häufig konfrontiert, wenn wir auf die Notwendigkeit eines Updates hinweisen. Dabei stoßen wir nicht immer auf offene Ohren. Der Seitenbetreiber ist mit dem Design zufrieden und auch die Inhaltsaktualisierung mit dem Redaktionsbackend läuft reibungslos. Warum Zeit und Geld investieren?

Weil andernfalls ein erfolgreicher Hackerangriff nur eine Frage der Zeit sein kann!

Insbesondere für TYPO3 Versionen die mit der Version 6.2 LTS laufen, stellt sich aktuell diese Frage. Ende März 2017 endet der Support für TYPO3 Version 6.2. Was bedeutet dies?

Wie jede andere Software auch, ist ein CMS ein von Menschenhand erstelltes Werk. Daher gilt auch hier: Es gibt keine fehlerfreie Software! Es gibt nur Software mit nicht entdeckten Fehlern!

Diese Fehler müssen keine funktionale Themen sein, die sich auf die Bedienung und den Komfort des Redaktionsbackend beziehen. Es können auch Sicherheitslücken sein, die es einem Angreifer ermöglichen unauthorisierten Zugriff auf das System zu erhalten.

Für das weltweit am meisten verwendete CMS WordPress, aber auch für TYPO3 und weitere Systeme, existieren im Web sogenannte Exploit Datenbanken die frei verfügbar sind. Hier werden entdeckte Sicherheitslücken für die jeweiligen Systeme aufgeführt. Diese Sicherheitslücken werden auch für Angriffe von Hackern ausgenutzt.

Aus diesem Grund empfiehlt das BSI schon seit längerem regelmäßig Zeit für Wartung und Pflege des eingesetzen CMS zu investieren.

Quelle: https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
–> Absatz 5.1.1 im PDF

Auch laut Google ist die Zahl der Angriffe auf Webseite aktuell um mehr als 30% gestiegen. Veraltete CMS Software ist eine wesentliche Ursache.

https://webmasters.googleblog.com/2017/03/nohacked-year-in-review.html

Angriffe auf Webseiten erfolgen häufig ohne ein bestimmtes Unternehmen gezielt angreifen oder schädigen zu wollen. Es werden frei im Internet verfügbare Programme verwendet, die vollkommen automatisch nach Webseiten mit Sicherheitslücken suchen. Diese Schwachstellen werden dann ebenso automatisiert genutzt um Kontrolle über den Webserver bzw. die Webseite zu erlangen.

Die Folgen können sowohl offensichtlich als auch zeitweise unerkannt bleiben. Dies sind zum Beispiel:

• Die Webseite wird lahmgelegt
• Der Inhalt der Startseite wird manipuliert
• Das Kontaktformular oder der Maildienst versendet tausende von Spam-Nachrichten
• URL´s und Google Suchergebnisse werden auf andere Quellen umgeleitet
• Es wird Schadcode abgelegt der normale Webseiten-Besucher “infiziert”
• Es wird Schadcode abgelegt der erst einmal einige Zeit schlummert und für einen großangelegten und gezielten Angriff eines Botnetzwerkes genutzt wird.

Fazit: Auch wenn ein Angriff vermeintlich die Kernfunktionen oder die Wertschöpfung eines Unternehmens nicht bedroht, ist ein entsprechender Imageschaden nicht auszuschließen. Etwaige Haftungsfragen des Seitenbetreibers wegen Fahrlässigkeit sollen an dieser Stelle nicht thematisiert werden.

Die positive Nachricht ist jedoch, dass die in den Exploit Datenbanken publizierten Schwachstellen den Sicherheits-Teams von TYPO3 und WordPress und weiteren Systemen bekannt sind. Es werden daher regelmäßig Sicherheitsupdates kostenfrei zur Verfügung gestellt, die der Seitenbetreiber oder die beauftragte Agentur einspielen kann.

Diese Sicherheitupdates werden allerdings nur für die aktuell supporteten Versionen zur Verfügung gestellt.

Im Fall von TYPO3 endet im März 2017 der Support für die Version 6.2 LTS und es wird dringend der Umstieg auf die Version 7 LTS empfohlen, die wiederum bis Dezember 2018 mit Updates versorgt wird.

Wir unterstützen Sie bei regelmäßigen Updates Ihrer Web-Software.

Ein Monitoring-System überwacht Ihre Webseite in regelmäßigen Zeitabständen, ob sie verfügbar ist und ob sicherheitskritische Updates anstehen.