TYPO3 Sicherheit: Auf die Implementierung kommt es an.

Die Sicherheit von eingesetzter Software nimmt in Unternehmen und Institutionen einen immer größeren Stellenwert ein. Nahezu täglich werden über das Internet verfügbare Systeme angegriffen. Diese Angriffe laufen automatisiert ab. Das bedeutet, dass im ersten Schritt automatisierte Spähprogramme das Internet nach Websites oder Webanwendungen mit Schwachstellen durchforsten. Wird eine Schwachstelle erkannt, erfolgt der eigentliche Angriff (etwa die Infektion mit Schadsoftware) ebenfalls automatisiert. 

TYPO3 bringt eine gute Grundsicherheit mit. Für den sicheren Betrieb einer Website ist jedoch immer auch die individuelle Implementierung entscheidend. Bei der Implementierung orientieren wir uns an den Empfehlungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Absicherung von CMS im Allgemeinen und TYPO3 im Besonderen herausgegeben hat.

1. Sicherheitsleistungen im Überblick:

  • sicherheitsorientierte Implementierung und Konfiguration des TYPO3-Core
  • sicherheitsorientierte Auswahl, Implementierung und Konfiguration von Extensions
  • sicherheitsorientiertes Rechte- und Passwort-Management
  • Deaktivierung von sicherheitskritischen und nicht benötigten PHP-Funktionen
  • TYPO3-spezifische Implementierung und Aktivierung der SSL-Verschlüsselung
  • nachhaltige Backup-Strategie
  • Einrichtung von Monitor-Funktionen zur Angriffsentdeckung
  • Berücksichtigung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Maßnahmen zur Erhöhung der Server-Sicherheit

2. Das sollte man in Hinblick auf die Sicherheit eines TYPO3-Projekts beachten:

Warum ist Typo3 eine gute Wahl in Sachen Sicherheit?

TYPO3 gilt als CMS mit sehr guten Sicherheitseigenschaften. Begründen lässt sich diese Einschätzung mit mehreren Aspekten: 

TYPO3 besitzt eine Entwickler- und Support-Community, die sich intensiv mit Sicherheitsfragen auseinandersetzt. Ein eigens eingesetztes TYPO3 Security Team wacht über die aktuelle Sicherheitslage und die Weiterentwicklung des Systems. Es informiert zeitnah über aktuelle Sicherheitsprobleme und unterstützet zügig mit Updates. 

TYPO3 besitzt in Deutschland einen Marktanteil von ca. 15 bis 20 Prozent. Unter Sicherheitsaspekten ist aber eher die weltweite Verbreitung relevant. Und die ist mit ca. 1,4% gegenüber anderen Systemen wie z.B. Wordpress mit über 60% relativ klein. Für die in der Regel automatisiert ablaufenden Angriffe bzw. das automatisiere Auskundschaften der Angriffsmöglichkeiten ist TYPO3 daher ein eher unattraktives Ziel. Denn je höher der Verbreitungsgrad einer Webanwendung ist, desto besser stehen die Chancen der Angreifer, gefährdete Installationen zu entdecken. Die weltweit geringe Verbreitung bedeutet also ein geringeres Angriffsrisiko für TYPO3. Das bestätigt auch eine Suche auf exploit-db.com – einer Datenbank, die bekannte Schwachstellen listet. Eine Suche nach TYPO3 kommt auf unter 20 Treffer. Bei der Suche nach z.B. Wordpress werden über 1000 bekannte Schwachstellen angezeigt. 

Das TYPO3-Core-System bietet bereits eine Reihe von Grundfunktionalitäten, die die Sicherheitschecks des TYPO3 Security Teams durchlaufen haben. So müssen weniger Extensions als bei anderen System genutzt werden, die von Haus aus weniger Funktionalität mitbringen. Jede Extension bringt eigene Sicherheitsrisiken mit sich. Je weniger genutzt werden, umso einfacher ist die Absicherung. 

Warum ist eine spezifische Absicherung von TYPO3-Systemen dennoch sinnvoll?

Zwar gilt TYPO3 wie gesagt als CMS mit sehr guten Sicherheitseigenschaften. Dennoch weist auch TYPO3 wie im Übrigen jede andere Software Sicherheitsrisiken auf. Ausnahmslos jede Webanwendung bietet spezifische Schwachstellen, die von potentiellen Angreifern ausgenutzt werden können. Daher reicht die Basisabsicherung eines Webservers niemals aus, um die Sicherheit der auf ihm laufenden Anwendungen zu gewährleisten. Nur mit der spezifischen Absicherung des TYPO3-Systems, lässt sich eine optimale Sicherheitsstufe für Ihre Website erreichen.

Die Schwachstellen von TYPO3 können beispielsweise aus einer nachlässigen Konfiguration des TYPO3-Core-Systems resultieren. Sie können sich aber auch über unsichere Extensions in das System einschleichen. Darüber hinaus basiert TYPO3 auf der Skriptsprache PHP. PHP wiederum weist einige sicherheitskritische Funktionen auf, die für Angriffe genutzt werden können. All diese Schwachstellen müssen deaktiviert oder minimiert werden, um so wenig Angriffsfläche wie möglich zu bieten. 


Müssen wir unseren Webserver zusätzlich absichern? 

Klares ja. Die grundsätzliche Absicherung eines Webservers ist die Basis für die Absicherung der auf ihm laufenden Anwendungen. TYPO3 basiert auf der Programmiersprache PHP. Es erbt damit einige der typischen Sicherheitsrisiken von PHP. Sie sollten auf der der Ebene der Serveradministration minimiert werden. 

Falls Ihr Webadministrator hier Unterstützung benötigt, stehen wir gern zur Verfügung.

3. Sicherheitsleistungen im Detail:

  • Wir implementieren und konfigurieren das TYPO3-Core-Systems konsequent sicherheitsorientiert. Sicherheitskritische Features werden grundsätzlich deaktiviert. Aktiviert werden sie nur, wenn sie unbedingt benötigt werden – und nach Möglichkeit nur temporär.
  • Die Auswahl und Einrichtung der Extensions erfolgt durch unsere Experten unter sicherheitsorientierten Aspekten. Nicht benötigte Extensions werden deinstalliert.
  • Das Rechte- und Passwort-Management richten wir sicherheitsorientiert ein. Die verschiedenen User-Stufen erhalten nur unbedingt notwendige Rechte. Die Passwortsicherheit ist initial gewährleistet und kann über Extensions dauerhaft gewährleistet werden. Natürlich weisen wir Teams entsprechend ein, um die Passwortsicherheit langfristig aufrecht zu erhalten.
  • Wir deaktivieren eine Reihe von sicherheitskritischen PHP-Funktionen. Oder, wenn bestimmte dieser PHP-Funktionen für den Betrieb der Webanwendung notwendig sind, schränken wir sie so weit wie möglich ein. Hier arbeiten wir eng mit dem verantwortlichen Webadministrator zusammen, da diese Einstellungen zum Teil Serverseitig vorgenommen werden müssen.
  • Die SSL-Verschlüsselung wird für alle Zugriffe auf das System als obligatorisch aktiviert. Sowohl Frontent- als auch Backend-Zugriffe erfolgen somit abgesichert.
  • Gemeinsam mit dem Kundenteam erarbeiten wir eine nachhaltige auf die jeweiligen Bedürfnisse abgestimmte Backup-Strategie und setzten diese um. So sind alle Daten jederzeit sicher und bereit für ein schnelles Recovery, sollte es wider Erwarten doch einmal zu einem Ausfall kommen.
  • Zusätzlich ist es empfehlenswert, geeignete Monitorfunktionen einzurichten, die ein schnelles Erkennen von Angriffsversuchen ermöglichen.
  • Bei allen Sicherheitsmaßnamen berücksichtigen wir die Empfehlungen des Bundesamtes in der Informationssicherheit (BSI).
  • Bei der Absicherung des Webservers unterstützen wir mit geeigneten Maßnahmen.