(openPR) Das TYPO3-Projekt hat einen ausführlichen "TYPO3 Security Guide", der sich an System-Administratoren, TYPO3-Integratoren und Redakteure richtet veröffentlicht. Die Dokumentation behandelt nicht nur technische Maßnahmen zum Schutz einer TYPO3 Website, sondern diskutiert auch organisatorische Strategien, gibt einen Einblick in die Arbeit des TYPO3-Security-Teams und unterstützt bei der Wiederherstellung einer kompromitierten Website.
"TYPO3" zählt zu den bekanntesten Open-Source Content-Management-Systemen (CMS) und wird weltweit schätzungsweise mehr als 500.000 Mal eingesetzt – Tendenz weiter steigend. Nicht nur Vereine, Organisationen und mittelständige Unternehmen schätzen den enormen Funktionsumfang, sondern auch große und namhafte Firmen pflegen den Inhalt ihres Online-Auftritts professionell mit TYPO3.
Wie wichtig die Sicherheit einer TYPO3-Website ist, wird spätestens dann deutlich, wenn ein Angreifer erfolgreich die Kontrolle übernommen hat und nicht nur ein paar Texte und Bilder austauscht, sondern zum Beispiel schadhaften Code in Form von Trojanern platziert oder sogar Benutzerdaten ausspäht. Besonders in diesem Jahr ist ein deutlicher Anstieg an Angriffen auf Online-Applikationen und Websites zu verzeichnen, wie Helmut Hummel, der Leiter des TYPO3 Security-Teams, feststellt. Das Security-Team wurde 2004 gegründet und ist unter anderem erster Ansprechpartner, wenn es um sicherheitsrelevante Themen rund um TYPO3 geht.
In der Regel ist eine kompromitierte Website jedoch nicht auf Fehler im TYPO3-Core-System zurückzuführen, sondern entweder auf den Einsatz unsicherer Erweiterungen oder schlicht auf eine Fehlkonfiguration des Systems durch die System-Administratoren oder -Integratoren.
Um diesen Problemen entgegenzuwirken, wurde nun ein offizieller "TYPO3 Security Guide" veröffentlicht. Das knapp 40-seitige, englisch-sprachige Dokument, welches das TYPO3-Documentation-Team in enger Zusammenarbeit mit dem TYPO3 Security-Team erarbeitet hat, beschreibt unter anderem typische sicherheitsrelevante Bedrohungen und erklärt, was zu unternehmen ist, um sich vor ihnen zu schützen. Neben technischen Maßnahmen werden hierbei auch organisatorische Strategien behandelt und Endbenutzern, wie beispielsweise Redakteuren ohne technische Fachkenntnisse, werden Tipps und Ratschläge gegeben, was sie bei ihrer täglichen Arbeit mit TYPO3 unbedingt beachten sollten. Weitere Kapitel geben einen Einblick, wie das TYPO3 Security-Team aufgestellt ist, wie der Prozess der Veröffentlichung der "Security Bulletins" aussieht und was man tun sollte, um eine gehackte Website wieder herzustellen.
Mit den ausführlichen Informationen soll der Security Guide das bekannte "TYPO3 Security Cookbook" ablösen, welches bereits im Jahr 2006 veröffentlicht wurde und mittlerweile nicht mehr dem Stand der Technik und den aktuellen TYPO3-Versionen entspricht. Hier setzt die neue Dokumentation an, die im Vergleich zum Cookbook keine reine Checkliste darstellt, sondern Risiken und Gegenmaßnahmen diskutiert und dem Leser einen kleinen Blick hinter die Kulissen der Arbeit des Security-Teams erlaubt.
"In erster Linie richtet sich der Security Guide an System-Administratoren, TYPO3-Integratoren, sowie Redakteure einer TYPO3 Website", erklärt Michael Schams, der als Projektleiter maßgeblich für die Fertigstellung des Security Guides verantwortlich ist.
"Es ist jedoch wichtig zu verstehen, dass IT-Sicherheit kein Zustand ist, den man einmal erreicht und dann einfach beibehält", fügt er hinzu: "Sicherheit muss man als einen Prozess sehen, der fortlaufend überprüft und auf einem stets aktuellen Stand gehalten werden muss. Die meisten im TYPO3 Security Guide beschriebenen Maßnahmen sind Minimalmaßnahmen, die Verantwortliche (hoffentlich) bereits umgesetzt haben. Wir hoffen, dass Betreiber von TYPO3-Sites ihre Strategien überdenken, wenn sie durch den Security Guide auf Punkte stoßen, die ihnen möglicherweise bisher nicht bewusst waren oder die sie vergessen haben, zu implementieren."
Der offizielle TYPO3 Security Guide wurde unter der Open Content License publiziert und steht kostenlos zum Download zur Verfügung.
Open Content License: http://www.opencontent.org/opl.shtml
TYPO3 Security Guide Download: http://typo3.org/documentation/document-library/extension-manuals/doc_guide_security/current/
