TYPO3 und das Thema Sicherheit

Gerade in Deutschland ist TYPO3 ein sehr beliebtes Content Management System und das hat einen Grund, denn der Fokus auf das Thema Sicherheit ist besonders hoch.

Gerade Miitelständische Unternehmen schätzen diese Eigenschaft besonders.

Wir stellen uns drei Fragen in diesem Bereich

  1. Wie sicher ist TYPO3 und zwar das System?
  2. Wie reagiert man auf Änderungen - was wird getan um die Sicherheit langfristig zu gewährleisten?
  3. Wer ist für die Absicherung des Systems verantwortlich?
  4. Was Sind die Gründe die fürTYPO3 als CMS sprechen?

 

Warum ist Sicherheit ein Thema?

Systeme im Internet sind zu jeder Zeit erreichbar, deshalb sollten sie auch rund um die Uhr sicher sein.

Statistik zu Angriffen im Internet

  • Alle 39 Sekunden erfolgt ein Hacker Angriff
  • 43% aller Ziele von Attacken sind KMUs
  • 2019 werden 2 Billionen $ Kosten für Cyberkriminalität erwartet
  • 95% der Schäden werden durch menschliches Fehlverhalten verursacht
  • täglich gibt es 230000 neue Malware-Varianten
  • das größte Einfalltor in Firmen sind Phishing-Mails mit Malware

Allgemeine Sicherheitstipps

Für eine ausreichende Sicherheit sollten (wie in allen anderen Bereichen) einige Punkte beachtet werden:

- Sichere Passwörter vergeben

- die Rollen der Redakteure klar definieren und deren Zugriffsrechte einschränken

- Software aktuell halten

- Datenübertragung absichern (SSL)

1. Wie sicher ist TYPO3 und zwar der Core (Basissystem)

Der TYPO3 Core

Die Sicherheit wird vom TYPO3-Security-Team überwacht. Es ist zuständig für die Entgegennahme von Meldungen, deren Kategorisierung und der Verteilung an die entsprechende Stelle (Core-Entwickler oder Erweiterungsentwickler).

Die Temas entwickeln eine Lösung, die sorgfältig getestet und einem Qualitätsprozess unterzogen wird. Nach Abschluss des Prozesses wird über das SecurityBullytin ein Hinweis auf die Sicherheitslücke plus ein TYPO3 Update zum beheben der Lücke veröffentlicht.

Auf der Webseite des TYPO3 Projektes werden diese Sicherheitshinweise veröffentlicht es empfiehlt sich diesen TYPO3-announce-Newsletter zu abonnieren.

Sicherheitskonzept der TYPO3-Erweiterungen

Reagiert der Entwickler einer Erweiterung nicht auf die Meldung einer Sicherheitslücke, so wird diese Erweiterung im Repository deaktiviert und eine Meldung auf der Seite der Sicherheitswarnungen veröffentlicht.
Extension-Entwickler können ihren Programm-Code zur Überprüfung durch das Security-Team anmelden, und erhalten nach der Prüfung die Auszeichnung "reviewed".

Sollte die Erweiterung nicht mehr weiter entwickelt werden, wird in dem TYPO3 Repository ein Hinweis gegeben, die Erweiterung in Zukunft nicht mehr zu verwenden.

Allgemein aber dennoch sehr wichtig

ist dass der TYPO3 Kern ein einem Paradigma folgt "Convention over Configuration" d.h. es sind klare Vorgaben für Sicherheitsaspekte festgelegt der für eine klare Struktur im Quelltext und der Konfiguration sorgt.

Bei TYPO3 ist es also auch wie bei jedem System, dass alles am schwächsten Glied der Kette hängt. 

Aufgrund der Vielzahl der Entwickler, Anwender und Redakteure in der TYPO3-Community sind solche Lücken extrem schnell nach Entdeckung geschlossen.

Schichten des TYPO3-Systems

Ein TYPO3-System baut auf anderen Software / Hardware-Schichten auf.

  • TYPO3
    • PHP
    • Apache/Nginx
    • MySQL
      • Betriebssystem
        • Server
           

Die Schichten unterhalb von TYPO3 können auch Sicherheitsprobleme aufweisen, sind hier aber nicht Thema.

Aber auch innerhalb von TYPO3 können Erweiterungen Löcher aufweisen.

 

2. Versionen von TYPO3

Um mit der Entwicklung der Programmiersprache von TYPO3 (PHP) und anderen Neuerungen im Internet Schritt halten zu können, wurde bei TYPO3 der Long Term Support (LTS) eingeführt.

LTS ist ein vordefinierter Lebenszyklus. In diesem ist festgelegt welche Sicherheits- oder Feature Updates zur Verfügung gestellt werden.

Das heißt, dass auch ältere TYPO3-Versionen weiterhin überprüft und gesichert werden. Allerdings erreichen diese Versionen zu einem festgelegten Zeitpunkt das Ende ihres Lebenszyklus und erfahren daraufhin keine weiteren Sicherheitsupdates oder Bugfixes mehr.

Spätestens nach Ablauf des LTS sollte ein TYPO3-System auf die nächste Version upgedatet werden, schon allein um die Sicherheit des Systems zu gewährleisten.

Grundsätzlich kann man davon ausgehen dass ein Major Release das ist immer die erste Zahl einen Lebenszyklus von drei Jahren hat das gibt Sicherheit im Einsatz des Systems.

3. Leistungen von pixelegg

Bei uns gehostete TYPO3 Systeme werden permanent überwacht und bei Befall (Hacker) sofort deaktiviert - damit Ihr Web-System keinen Schadcode verbreiten kann.

Durch unser Monitoring des TYPO3-Core und der Erweiterungen haben wir die Versionierung im Blick und aktualisieren bei sicherheitskritischen Meldungen des TYPO3-Security-Teams sofort die entsprechenden Bereiche.

Für schon befallene Systeme bieten wir an, diese zu säubern und die entsprechenden Updates einzuspielen.

Gerne erstellen wir für Ihr System einen Update-Check - rufen Sie an!

Fazit

  • Wie bei jedem System gibt es auch bei TYPO3 keine absolute Sicherheit. Durch Fehlkonfiguration, schwache Passwörter und Lücken im Unterbau (Web-Server, PHP oder Betriebssystem) entstehen immer wieder Schlupflöcher für Hacker oder Wirtschaftsspione.
  • Durch die große Community und das TYPO3 Security Team werden Schwachstellen im CMS sehr schnell erkannt und geschlossen.
  • Somit zählt dieses System zu den sichersten OpenSource Content Management Verwaltungen, die am Markt sind.
  • Gerne helfen wir Ihnen, ein optimales zeitsparendes Werkzeug für Ihr Unternehmen im Internet zu etablieren - nehmen Sie mit uns Kontakt auf.

Über den Autor

Dipl. Inf., Viernheim
Diplom Informatiker (FH) und TYPO3 Experte Schwerpunkte: TYPO3 Wizard, Cloud-Experte, Netzwerktechnik, Software, Virtualisierung, Server

Weitere Beiträge dieses Autors