Mal schnell die eigene Unternehmenswebsite in WordPress mit einem Template und ein paar Erweiterungen angefertigt und veröffentlicht und schon ist die Firma online – und das für nur ein paar Euro im Monat! Wo zuerst Freude herrscht, macht sich zwei Wochen später jeder Sorgen um die Integrität der Unternehmensdaten. Das Backend der Website wurde gehackt, sensible Daten gestohlen und der Schaden ist noch nicht schätzbar. Doch wie kommt es zu solchen Fällen? Und wie hätte das Beispielunternehmen vorsorgen können?
Die Wahrscheinlichkeit, im Bürojob mit einem CMS in Berührung zu kommen, ist hoch. Wenn nicht in der CMS-Pflege, dann zumindest in der indirekten Nutzung eines CMS über das Frontend. Viele Unternehmen nutzen ein Content-Management-System auch für den internen Zugriff auf Dokumente, wie Verträge oder andere Assets. Sicherheitsvorkehrungen sind spätestens in diesem Fall unerlässlich, um vor unbefugten Zugriffen zu schützen. Vor allem dann, wenn die Inhalte im System noch zusätzlichen Datenschutz und eine Zugriffskontrolle über Paywalls oder Logins erfordern.
Ist Sicherheit für ein CMS ohne sensible Daten auch nötig?
Auch wenn das Unternehmen keine sensiblen Daten veröffentlicht, sondern alle Informationen generell öffentlich zugänglich macht: Hackerangriffe umfassen auch Attacken, wie massenhafte, gleichzeitige Downloads, die zum Absturz einer Website führen können oder sie klauen sich Texte und Bilder, deren Nutzungsrechte nicht bei ihnen liegen. In extremeren Fällen gelingt es den Hackern auch, schädlichen Code in die Website zu injizieren und somit potenziell alle Aufrufer:innen der Website angreifbar zu machen. Das Schlimmste an solchen Fällen ist dann, dass am Ende jedoch nur der Name des Unternehmens in Erinnerung bleibt, dessen Website den schädlichen Code verbreitete.
Wissensgrundlage: Welche Formen von CMS gibt es überhaupt?
Um zu verstehen, welche Sicherheitsmaßnahmen bestens vor Angriffen und potenziellen Sicherheitslücken schützen, muss man erst einmal wissen, welche Arten von Content-Management-Systemen es generell gibt.
Zum einen gibt es die „traditionellen“ CMS-Plattformen, die monolithisch aufgebaut sind. Diese umfassen im Allgemeinen einen Speicher, auf dem das CMS hinterlegt werden muss, die eigentliche Management-Plattform (in der Inhalte hinzugefügt und kategorisiert werden) und das Frontend-System zur Anzeige der Webseiten.
Zum anderen gibt es „Headless“-CMS-Systeme, die in der Cloud laufen und ebenfalls alles Vorherige mit Ausnahme vom Frontend-System enthalten. Statt des Frontend-Systems stellt ein Headless CMS eine Reihe von Schnittstellen (APIs) für die Verwendung von Websites, mobilen Anwendungen und anderen Endgeräten bereit.
Fast alle CMS-Plattformen, ob herkömmlich oder Headless, bieten von Werk aus ein gewisses Maß an integrierter Sicherheit. Darunter beispielsweise die Authentifizierung von Nutzern, um Inhalte anzuzeigen, hinzuzufügen, zu entfernen oder ändern zu dürfen.
Welche Maßnahmen gibt es zum Schutz eines CMS?
Die mitgelieferten und grundlegenden Maßnahmen reichen oft nicht aus, um zu verhindern, dass Cyber-Kriminelle Inhalte stehlen, zerstören oder manipulieren. Was jeder IT-Sicherheitsexperte zuerst lernt, ist, dass jeder Inhalt im Internet, ab dem Zeitpunkt seiner Veröffentlichung, immer raffinierteren Angriffen ausgesetzt ist. Laut dem IBM Data Breach Report 2021 (USA) wurden allein im vergangenen Jahr Datenschutzverletzungen im Wert von 4,24 Millionen Dollar begangen. Eine Studie von Storyblok ergab, dass 64,3 Prozent der CMS-Benutzer:innen sich Sorgen um die Sicherheit ihres CMS machen, während 46,4 Prozent bereits ein CMS-Sicherheitsproblem mit Auswirkungen auf ihre Inhalte hatten.
Damit das eigene Unternehmen diesen Problematiken nicht zum Opfer fällt, helfen fünf grundlegende Regeln, mit denen man Sicherheitslücken im eigenen CMS vorbeugen kann:
- Vergewissern Sie sich stets, dass die Zugriffskontrollen und die Verschlüsselungsfunktionen Ihrer CMS-Plattform aktiviert und korrekt konfiguriert sind.
- Geben Sie Mitarbeiter:innen und Autor:innen von Inhalten nur genau so viele Zugriffs- und Änderungsrechte, wie sie tatsächlich benötigen. In den meisten Unternehmen reichen maximal eine Handvoll Mitarbeiter:innen mit allen Modifikations-Rechten aus.
- Wenn Mitarbeiter:innen aus dem Unternehmen ausscheiden, schalten Sie ihren CMS-Zugang sofort ab.
- Entwerfen Sie die CMS-Systeme so, dass auf alle Server mit Inhalten ausschließlich über die CMS-Plattform zugegriffen werden kann. So verhindern Sie, dass Cyberkriminelle sich über andere Wege einschleichen können.
- Wenn Sie ein CMS verwenden, das in Ihrem eigenen Rechenzentrum gespeichert ist, müssen Sie sicherstellen, dass Sie alle von Ihrem Anbieter bereitgestellten Korrekturen und Patches umgehend installieren. Bei cloud-basierten Lösungen entfällt dieser Schritt, da dies durch den Anbieter oder automatisch geschieht.
Was, wenn es sich um besonders sensible Daten im CMS handelt?
Über die fünf Standard-Sicherheitsmaßnahmen hinaus, gibt es drei zusätzliche Empfehlungen, um CMS-Inhalte maximal zu schützen:
- Vergewissern Sie sich, dass der Anbieter Ihrer CMS-Plattform die strengsten Normen für Computersicherheit und Datenschutz einhält. Eine Möglichkeit, hier sicherzugehen, besteht darin, nach einer aktuellen Zertifizierung nach der ISO 27001 für IT-Sicherheit zu suchen bzw. den Anbieter danach zu fragen.
- Entwerfen Sie Ihre Architektur so, dass das Backend des CMS nicht unmittelbar mit dem Frontend verbunden ist. Diese Strategie trennt beide strikt und schützt dadurch das jeweils andere Ende bei Angriffen.
- Stellen Sie sicher, dass die CMS-Plattform eine robuste Web Application Firewall (WAF) verwendet, kontinuierliche, automatisierte und/oder manuelle Sicherheitstests durchführt und modernste Verschlüsselungstechnologien einsetzt. Alle APIs sollten zudem das Verschlüsselungsprotokoll TLS in der Version 1.2 (oder höher) verwenden, da Systeme, die eine ältere Version von TLS verwenden, Sicherheitslücken aufweisen können.
Fazit: Das eigene Unternehmen im Internet? Aber sicher!
Ein CMS abzusichern ist keine schwierige Angelegenheit, insbesondere wenn es sich um cloud-basierte Lösungen handelt. Wem die Grundsicherheit nicht ausreicht, der greift auf ISO-Sicherheitszertifizierungen, WAF und TLS in neuester Version zurück. Am Ende sind aber auch wiederkehrende Sicherheitsschulungen der Nutzer:innen wichtig – ein System ist schließlich nur sicher, wie die Menschen, die es bedienen.
Autor: Sebastian Gierlinger
Sebastian Gierlinger ist VP of Developer Experience von Storyblok, ausgewiesener IT-Sicherheitsspezialist und Programmier-Experte. Nachdem er in verschiedenen Unternehmen als CTO, DevOps Engineer und System Architect gearbeitet hatte, begann er 2020 als VP of Developer Experience bei Storyblok.