Im November gab es mehrere Cyberattacken gegen staatliche Stellen in Estland. Dadurch wurden mindestens 350 GB an Daten und die persönlichen Angaben zu rund 10000 Esten, die positiv auf COVID-19 getestet worden waren, geleakt. Laut Geenius gingen die Angriffe von dem Content-Management-System Drupal und der Datenbank LimeSurvey aus. Das Open-Source-CMS Drupal bietet eine Vielzahl von Möglichkeiten und kann sehr sicher sein, sofern es richtig und sicher eingesetzt wird. Ivo Nellis, verantwortlich für Entwicklung bei ADM gibt einige wichtige Tipps, wie man sichergehen kann, dass man Drupal ungeachtet der Größe der Organisation sicher nutzt.

Nach Angaben des Webtechnologie-Umfrageinstituts W3Techs bauen mindestens 1,5 % aller Websites der Welt auf dem Open-Source-CMS Drupal auf, wobei die beliebteste Version Drupal 7 ist, welches für 66,8 % aller auf Drupal basierenden Websites verwendet wird. Dank seiner großen Auswahl an Funktionen und seiner Zuverlässigkeit hat Drupal das Vertrauen vieler großer Organisationen gewonnen – so wird es zum Beispiel von der offiziellen Website der Europäischen Union europa.eu, den US National Institutes of Health (nih.gov), der Harvard University (harvard.edu), der offiziellen Website des Staates New York und vielen anderen eingesetzt. Drupal ist zuverlässig und eines der besseren Content-Management-Systeme auf dem Markt, doch nur, wenn es auch auf sichere Art und Weise eingesetzt wird.

Aktualisierungen

  1. Grundlage für Sicherheit ist immer die Verwendung der neuesten Version einer Software und Drupal ist hier keine Ausnahme. Das Drupal-Sicherheitsteam ist dafür verantwortlich, dass der Prozess der Implementierung sämtlicher Sicherheits-Patches klar definiert und für alle Web-Entwickler deutlich erklärt ist. Doch das allein reicht noch nicht aus, um Sicherheit zu garantieren. Jede Organisation, die Drupal verwendet, muss auch immer einen Prozess für die Implementierung von Aktualisierungen vereinbart haben, es muss also jemand dafür verantwortlich sein, die Informationen über Drupal-Updates zu verfolgen. Es gibt verschiedene Möglichkeiten, dies zu tun, so das Beobachten von Newsfeeds oder das Abonnieren von Newslettern für Entwickler.
  2. Drupal-Core-Updates werden immer zu bestimmten Zeiten veröffentlicht, die im Voraus öffentlich bekannt gegeben So werden Bugfixes für die Drupal-Versionen 9.1.x, 8.9.x und 7.x am ersten Mittwoch eines jeden Monats veröffentlicht. Sicherheitsupdates für die Drupal-Versionen 9.1.x, 9.0.x, 8.9.x und 7.x werden am dritten Mittwoch eines jeden Monats veröffentlicht. Sicherheitsupdates für die von Drupal beigetragenen Projekte werden ebenfalls immer mittwochs innerhalb eines bestimmten Zeitfensters veröffentlicht.
  3. Um sicherzugehen, dass man kein Update verpasst, sollte man das automatische Update-Modul auf der Drupal-Website aktivieren und regelmäßig den Statusbericht der Website überprüfen. Es empfiehlt sich, das Update-Modul so zu konfigurieren, dass eine automatische E-Mail-Benachrichtigung versendet wird, sobald ein Sicherheitsupdate verfügbar ist.

Benutzerrechte

Der sichere Umgang mit jeglicher Form von CMS beginnt bei den Benutzern, die damit Inhalte für die Website erstellen. Wie diese sich im System anmelden und welche Art von Passwörtern und Benutzernamen sie verwenden, ist hierbei von entscheidender Bedeutung.

  1. Der Standard-Benutzername bei Drupal lautet „admin“. Dieser muss geändert werden, da die Kenntnis des Benutzernamens die Chance auf einen erfolgreichen Angriff erhöht.
  2. Sie sollten auf keinen Fall Passwörter wiederverwenden, die Sie auch für den Zugriff auf andere Websites nutzen. Stattdessen sollten Sie sich ein einzigartiges Passwort erstellen, es für sich behalten und es zudem regelmäßig wechseln.
  3. Auch wenn Drupal bereits Regeln für die Erstellung eines sicheren Passworts festgelegt hat, so sollten Sie diese Regeln nur als Mindestanforderungen betrachten und selbst noch strengere Regeln implementieren, die dann innerhalb der gesamten Organisation eingehalten werden müssen.
  4. Sämtliche Benutzeraktivitäten müssen stets protokolliert werden, um einen konsistenten Überblick über alle Änderungen zu gewährleisten. Es ist hierbei wichtig, den Zeitpunkt der Aktivität, die Benutzerdaten, den Kontext (z. B. verwendete Module, spezifischer Teil des CMS usw.) wie auch die Aktivität selbst zu speichern.
  5. Wir empfehlen, alle Drupal-Benutzerrollen und -rechte regelmäßig zu überprüfen. Dies ist besonders in großen Organisationen wichtig, in denen Mitarbeiter häufig wechseln, aber auch in kleineren Unternehmen mit nur wenigen Mitarbeitern sollte man genau wissen, wer worauf Zugriff hat.
  6. Der Zugriff auf den Server darf ausschließlich über eine sichere SSH-Verbindung erfolgen, und wenn möglich, sollten nur vorher festgelegte IP-Adressen oder Standorte Zugriff auf den Server erhalten.
  7. Es empfiehlt sich, den Benutzern nur die minimal erforderlichen Rechte zu geben. Wenn Benutzer nur auf die Daten und Ressourcen zugreifen können, die sie für ihre Arbeit benötigen, dann verringert dies mögliche Sicherheitsrisiken. Wenn die Arbeit eines Mitarbeiters beispielsweise nur mit der Sicherung von Daten zu tun hat, dann braucht dieser Mitarbeiter nicht das Recht zu haben, auch Software zu installieren.

Module

Eine der Stärken von Drupal ist der riesige Katalog an Modulen – es gibt mittlerweile fast 50000 davon, sie sind alle kostenlos und zudem kann jeder seine eigenen Module erstellen. Ohne diese hinzugekommenen Projekte hätte Drupal sicherlich nicht genügend Funktionen, doch gleichzeitig können diese Module auch zu Schwachstellen werden, sobald sie falsch eingesetzt werden.

  1. Soweit irgend möglich, sollten Sie nur stabile Module verwenden und nicht unterstützte Module vermeiden.
  2. Wir empfehlen, die Anzahl der verwendeten Module so gering wie möglich zu halten und nicht benötigte Module grundsätzlich zu entfernen. Auch wenn dies zunächst mehr Arbeit für den Admin bedeutet, so hilft es dabei, mögliche Angriffsziele zu schützen.
  3. Die Verwendung von Composer empfiehlt sich für die Verwaltung und Aktualisierung der Drupal-Module und deren Abhängigkeiten.
  4. Verwenden Sie Drupal-Sicherheitsmodule, die all das enthalten, was zur Gewährleistung der Sicherheit erforderlich ist, von der Zwei-Faktor-Authentifizierung bis hin zu Captchas.
  5. Falls Sie irgendetwas verwenden, das es Benutzern erlaubt, Dateien auf Ihre Website hochzuladen, dann müssen Sie dazu auch ein privates Dateisystem richtig konfigurieren.

ADM Interactive

E-mail: info@adm.ee
Registernummer: 10474271
Steuernummer: EE100046715

Tallinn

Kultuurikatel, Põhja pst 27a, Tallinn, 10415
Phone: +372 617 7600

London

124 City Road, London, EC1V 2NX, United Kingdom
Phone +44 7451 213604

Berlin

Schulstr. 13, 13507 Berlin
Phone: +49 15221906415