[datensicherheit.de, 08.11.2018] SIWECOS, das erfolgreiche Projekt für Sichere Webseiten und Content Management Systeme (CMS), geht in die nächste Runde: Das Bundesministerium für Wirtschaft und Energie (BMWi) hat für das im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderte Projekt eine Förderungsaufstockung für die nächsten zwölf Monate zugesagt. Die Projektpartner, der eco – Verband der Internetwirtschaft e. V. und die Ruhr-Universität Bochum, unterstützt vom IT-Security Start-up Hackmanit und dem CMS Garden e. V., haben damit die Chance, SIWECOS weiter zu entwickeln. Gemeinsam wollen sie viele neue Funktionen für sichere Unternehmens-Webseiten ergänzen.

Internetauftritte nachhaltig schützen

„Die zugesagte Verlängerung gibt uns die Chance, die kostenlosen Website-Checks mit SIWECOS noch besser zu machen“, sagt Projektleiter Peter Meyer vom eco Verband. „SIWECOS hat bereits mit über 100.000 Scans mittelständischen Unternehmen dabei geholfen, ihren Internetauftritt sicherer zu machen und vor dem Zugriff von Cyberkriminellen zu schützen.“ In den nächsten Monaten soll das Gemeinschaftsprojekt stärker mit anderen Sicherheitsprojekten und Initiativen in Deutschland vernetzt werden.

„Wir freuen uns sehr über die Projektverlängerung und die damit verbundene Anerkennung unserer Arbeit der letzten zwei Jahre“, sagt Marcus Niemietz von der Ruhr-Universität Bochum. „Jetzt haben wir die Zeit und die Mittel, SIWECOS nachhaltig zu optimieren und vielen weiteren Unternehmen zur Verfügung zu stellen.“ Beispielsweise wollen die Projektpartner ein Dashboard schaffen mit Statistiken zum allgemeinen Lagebild der Webseiten-Sicherheit, damit KMUs ihren eigenen Sicherheits-Status besser beurteilen können.

Mehr Unterstützung für Web-Agenturen

Eine stärkere Unterstützung sollen Organisationen erhalten wie Hochschulen, Netzwerkbetreiber und Hoster, die SIWECOS als Open Source integrieren. Web-Agenturen, die Webseiten von KMU betreuen, möchten die Partner mittels Workshops und Webinare stärker unterstützen. Zudem sind vier konkrete technische Weiterentwicklungen für die nächsten Monate geplant:

Port-Scanner

Der neue Port-Scanner untersucht Fehlkonfigurationen hinsichtlich offener Ports. KMUs erkennen damit künftig, ob beispielsweise Datenbankschnittstellen offen im Internet erreichbar sind und zu möglichen Datenschutzverstößen führen könnten.

E-Mail-Scanner

Der E-Mail-Scanner prüft die Sicherheit des E-Mail Servers. Viele KMU betreiben eigenständig Mail-Server, die in vielen Fällen leider unsachgemäß konfiguriert sind, was die Ende-zu-Ende Vertraulichkeit der E-Mail-Kommunikation gefährdet. Dies ist insbesondere dann gefährlich, wenn ein Betreiber Zugangsdaten oder vertrauliche Kundendaten in E-Mails über seinen Mailserver versendet. Der SIWECOS E-Mail-Scanner untersucht die Protokolle SMTP, IMAP und POP3 auf Fehlkonfigurationen im Transportprotokoll hin, insbesondere auch hinsichtlich STARTTLS. Der E-Mail-Scanner entwickelt damit den bereits praxiserprobten TLS-Scanners weiter.

SIWECOS Crawler

Der SIWECOS Crawler ermöglicht es künftig, sämtliche Seiten einer KMU-Webseite auf Schwachstellen hin zu prüfen. Dies stellt sicher, dass nicht nur ein Teil der Webseite sicher konfiguriert ist und folglich möglichst kein schwaches Glied in der Kette von Unterseiten existiert.

CMS Fingerprinting

Das neue CMS Fingerprinting erkennt noch besser veraltete CMS Versionen und entsprechende Sicherheitslücken. Es wird zunächst für WordPress, Joomla, Drupal, Typo3 und Contao zur Verfügung stehen und damit für die fünf Content Management Systeme mit dem höchsten Marktanteil in Deutschland.

Bereits heute nutzen tausende mittelständische Unternehmen den kostenlosen Website-Check von SIWECOS, der den Security-Status einer Website binnen Sekunden ermittelt. Nachdem eine Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese. Oft besteht akuter Handlungsbedarf seitens der Webseitenbetreiber. Eine aktuelle Untersuchung von über 1.100 Webseiten mittelständischer Unternehmen zeigte, dass rund 9 Prozent der Unternehmens-Webseiten eklatante Sicherheitsmängel aufweisen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

[datensicherheit.de, 19.06.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu pflegen.

Die Studie zeigt, dass die untersuchten CMS ein angemessenes Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur Behebung von Schwachstellen implementiert haben. Um einen sicheren Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die untersuchten Lösungen in der Standardinstallation einzusetzen und zu betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Betreiber und Administratoren der Webseite sollten daher ein besonderes Augenmerk auf die tägliche Pflege des Systems und die Information zu möglichen Sicherheitsupdates legen und die dafür notwendige Zeit einplanen.

Handlungsempfehlungen anhand praxisnaher Anwendungsszenarien

Die Studie bietet unter anderem eine Analyse der Schwachstellen der untersuchten CMS. Zudem werden die Entwicklungsprozesse der Systeme mit dem Fokus auf Sicherheit untersucht und bewertet. Darüber hinaus ermöglicht die Studie eine verlässliche sicherheitstechnische Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu werden exemplarisch wichtige Aspekte zur Absicherung der Software anhand von vier typischen Anwendungsszenarien beleuchtet: „Private Event Site“ zum Aufbau einer privaten Webseite, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.

Content Management Systeme werden zur Erstellung und Pflege von Internetauftritten im privaten Umfeld ebenso eingesetzt wie in Verwaltungen und Unternehmen. Immer wieder bieten diese Systeme jedoch Angriffsflächen für Hacker und Schadprogramme. Denn schon durch kleine Sicherheitslücken oder Fehlkonfigurationen können sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten öffnen. Die mangelhafte Pflege von Content Management Systemen kann auch dazu führen, dass Online-Kriminelle den Rechner oder Webserver des Anwenders übernehmen, diesen zum Teil eines Botnetzes machen und den Rechner so beispielsweise für DDoS-Angriffe missbrauchen. Schwachstellen in Content Management Systemen, die aufgrund von mangelhafter Pflege nicht geschlossen wurden, waren beispielsweise eine Ursache für die in den letzten Monaten bekannt gewordenen DDoS-Angriffe gegen US-Finanzinstitutionen.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Content Management System (CMS)

[datensicherheit.de, 24.05.2013]  Bei einem geführten Messerundgang besuchten Medienvertreter ausgewählte Stände der 120 ausstellenden Unternehmen und Projekte, darunter den Stand des Kompetenznetzwerks Vikora des Xinnovations e.V. Christian Platzer, Vertriebsmanager der EsPresto AG, erklärte den Journalisten, dass es sich bei diesem Netzwerk um einen Zusammenschluss verschiedener kleiner und mittelständischer Berliner Firmen handelt. Rund 50 seien es derzeit, darunter auch EsPresto. Die Mitgliedsunternehmen würden miteinander kooperieren, gemeinsam neue Märkte erschließen und auch gemeinsam Aufträge bearbeiten.

„Kollegen gesucht“ heißt es am Stand von Goodgame Studios. Die Firma existiert seit zwei Jahren und ist wie das Kompetenznetzwerk Vikora zum ersten Mal auf dem LinuxTag mit dabei. „Wir suchen hier vor allem neue Mitarbeiter für unser Administratoren-Team“, sagte Marianne Kraus von der Personalabteilung. Sie erzählte, dass die Hamburger Firma derzeit zehn Browser-basierte kostenlose Spiele anbiete. Dazu gehören beispielsweise das Strategie-Spiel Goodgame Empire, das Bauernhof-Spiel Goodgame Big Farm sowie das Restaurant- und Kochspiel Goodgame Café.

Verteiltes Rechnen, im Englischen „Distributed Computing“ genannt, hat sich der Rechenkraft.net e.V. zur Aufgabe gemacht. Vorstandsmitglied Uwe Beckert berichtete den Medienvertretern, dass sich Interessierte mit ihrem Computer an Forschungsarbeiten zum Beispiel in der Klimaforschung, Astronomie oder an der Medikamentensuche beteiligen können. Auf dem LinuxTag-Stand des Vereins sind unter anderem Erdbeben- und Radioaktivitäts-Sensoren zu sehen. Damit können Hobbyforscher überall auf der Welt entsprechende Messungen durchführen. Beckert erwähnte, dass Rechenkraft.net zurzeit über 100 Projekte betreut.

Open-IT Summit 2013: Open Source als Geschäftsmodell

Seit mehr als 20 Jahren gibt es das Unternehmen SUSE. Von Desktop- über Enterprise-, Netzwerk- und Cloud-Lösungen bis hin zum entsprechenden Support biete es alles aus einer Hand, betonte Account Executive Rainer Giepmann. Er erwähnte gegenüber den Teilnehmern des Presserundgangs, dass beispielsweise der viertschnellste Rechner in Europa mit SUSE laufe. Ein wesentlicher Vorteil dieser Linux-Distribution sei, dass sie klein, einfach und schnell ist. So lassen sich Steuerungsfunktionen ohne große Rechner im Hintergrund realisieren. Zum Anwenderkreis gehören zum Beispiel Bundesministerien, Landeseinrichtungen, Hochschulen und Industrieunternehmen wie BMW, Mercedes, Bosch, Siemens, IBM und Dell.

„Ancud IT ist ein Systemintegrator und Beratungshaus für Open Source-Technologien im Bereich von Web-Portallösungen, Business Intelligence sowie Daten- und Business Process Management“, erläuterte Martin Ortner, Vertriebsleiter der Ancud IT-Beratung GmbH. „Unser Ziel ist es, Open Source-Lösungsansätze in Unternehmen einzuführen, die kostengünstig und gewinnbringend für die Anwender sind.“ Ein Partner von Ancud IT ist das Unternehmen Actian. CEMEA Country Manager Dr. Marcus Oliver Menzel erklärte, dass Actian ein globaler Marktführer auf dem Gebiet Big Data und analytischer Datenbanken sei. „Mit Hilfe modernster und innovativer Technologien unterstützen wir Unternehmen im Bereich Business Intelligence optimale Geschäftsentscheidungen zu treffen“, so Dr. Menzel.

Die Red Hat GmbH ist Mitglied der Open Source Business Alliance und somit auch Mitplaner des ersten Open-IT Summit gewesen. Darauf verwies Christof Orth, Key Account Manager Öffentliche Auftraggeber. Er erwähnte, dass das Gesamtunternehmen im vergangenen Jahr einen Umsatz von mehr als einer Milliarde Dollar mit Open Source-Lösungen erzielt habe. Das ist im Open Source-Bereich bisher einzigartig. Red Hat sieht sich nicht nur als Software-Unternehmen, sondern vielmehr als Bindeglied zwischen den Communitys, die Open Source-Software entwickeln, und den Unternehmenskunden, die diese nutzen. Die in der Community entwickelten Lösungen umfassen zuverlässige und leistungsstarke Cloud-, Virtualisierungs-, Storage-, Linux- und Middleware-Technologien.

„Aus unserer Sicht ist es ganz wichtig, Dinge graphisch darzustellen“, erklärte Robert Sieber, Technologie Manager SM-SUITE der SHD System-Haus-Dresden GmbH. Die Firma zeigt auf dem Open-IT Summit, was aus dem Nagios-Monitoringstatus herausgeholt werden kann. Dazu gehört die Ermittlung der Ursache und der Auswirkungen einer Störung, die Überwachung der IT aus Sicht der Geschäftsprozesse und Anwender sowie die empfängerorientierte Visualisierung. Gehalten werden die Daten in einer Open Source CMDB (Configuration Management Database) mit der Möglichkeit, vorhandene Datenquellen einzubinden und so einen hohen Pflegeaufwand einzusparen. Zu den SHD-Kunden gehörten zum Beispiel die Berliner Wasserbetriebe, die GSW, Teile von BASF und Bayer sowie die Polizei in Sachsen, ergänzt Sieber.

„Wir sind ein reines Open Source-Unternehmen und leben das auch“, betonte Rico Barth, Geschäftsführer der c.a.p.e. IT GmbH. Die Chemnitzer Firma hat sich auf die Optimierung der Geschäftsprozesse im Service spezialisiert und ist nach eigenen Angaben im deutschsprachigen Raum wichtigster Dienstleister und Anbieter von OTRS-basierten Service-Management-Produkten und Integrationsmodulen sowie Lösungspartner für OTRS-Projekte. Die Mitarbeiter haben teilweise über zehn Jahre Projekterfahrung im IT-Service-Management. Neben der Integration des Client Management-Systems opsi in OTRS entwickelt c.a.p.e. IT das OTRS-basierte Service-Modul KIX4OTRS und die Service-Management-Komplettlösung KIXbox.

Firmen jeglicher Branchen können mit dem Dokumenten-Management-/ Enterprise-Content-Management-System (DMS/ECM) agorum® core die Automatisierung von Abläufen im Unternehmen nach individuellem Bedarf umsetzen. Damit ermöglicht das System zum Beispiel, Geschäftsprozesse zu optimieren oder gesetzliche Vorschriften – wie zur revisionssicheren Archivierung von Dokumenten nach GDPdU und GoB – einzuhalten. Bei der Systementwicklung ist es agorum® wichtig, die Funktionalitäten des DMS passgenau auf den Kunden und dessen Wünsche und Ideen zuzuschneiden. Stefan Röcker, Marketingleiter der agorum® Software GmbH: „Wir helfen Unternehmen, Daten zu erfassen, zu verarbeiten und revisionssicher zu archivieren.“ Dabei liege der Fokus auf dem mittelständischen Bereich, aber auch Kleinst- und Großunternehmen können die Lösung nutzen.

Sicherer Einsatz von Content Management Systemen

Am Stand des Bundesamtes für Sicherheit in der Informationstechnik (BSI) können sich die Messebesucher über tacNET informieren. Das „training and certification Network“ ist eine Virtualisierungslösung zur Bereitstellung von komplexen, heterogenen Netzwerkumgebungen. Bei OpenVAS (Open Vulnerability Assessment System) handelt es sich um eine umfangreiche Lösung für Schwachstellen-Scanning und Schwachstellen-Management, die aus mehreren Diensten und Werkzeugen besteht. Die neue Version bietet einige Erweiterungen, beispielsweise die Möglichkeit zur Integration und Verknüpfung von Sicherheitsinformations-Datenbanken wie CVE. Und mit mapWOC (massive automated passive Web Observation Center) können Anwender automatisiert die Integrität von Webseiten überprüfen und bösartige Inhalte erkennen. Die neue Version 1.4.0 lässt sich nun auch über die Kommandozeile steuern und erstellt Screenshots der besuchten Webseiten. Darüber hinaus präsentiert das BSI die Ergebnisse einer aktuellen Studie zum sicheren Einsatz von Content Management Systemen.