Plone hervorragend in CMS Security Studie des BSI

Plone ist neben den eher populär erfolgreichen CMS Typo3, Joomla, Drupal und WordPress vom BSI in seiner Studie mit Sicherheit vor allem deshalb vertreten, weil es überdurchschnittlich bei großen und sicherheitsrelevanten Installationen punktet.

CMS für verschiedene Zielgruppen:

  • WordPress und Joomla dienen oft in einfacheren Autoren-Szenarios. Die Systeme können aber durchaus für umfangreichen Inhalt verwendet werden.
  • Typo3 und Drupal kommen in der Regel nur mit aufwendigen Individualentwicklungen an die Workflow-Möglichkeiten heran, die Plone "Out of the Box" seit Jahren anbietet.

Sicherheit, Design, Workflow und begeisterte Benutzer

Beim Einsatz von CMS Systemen wird häufig nur das Design eines CMS zur Beurteilung der Coolness des Systems herangezogen.

  • In der Praxis lässt sich zwar jedes CMS mit nahezu jedem Design versehen. Plone kann dies sogar besonders gut.
  • Einem cool aussehenden System kann man jedoch nicht unbedingt mal eben Sicherheit und Workflow beibringen.
  • Entscheidend ist, wie einfach ein System für die Autoren zu bedienen ist. Vom Entwickler & Designer kann man Professionalität erwarten. CMS Anwender haben aber oft einen anderen Fokus: den Inhalt.

Überblick über die Studie

In der Dezemberausgabe 2013 der iX erschien eine Zusammenfassung der recht umfangreichen Studie als Artikel. Dieser Artikel ist auch nahezu gleich online erschienen und unter http://www.heise.de/ix/artikel/Eintritt-frei-2044553.html erreichbar. Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

"Anhand typischer Einsatzszenarien wird die sicherheitstechnische Eignung der CMS bewertet und zeigt die Studie Privatpersonen und IT-Verantwortlichen der öffentlichen Verwaltung sowie der freien Wirtschaft Handlungsfelder und Gestaltungsoptionen beim Auf- oder Ausbau ihrer Websites mit CMS auf."
aus [2]

Wir haben uns die Mühe gemacht die wesentlichen Punkte, in denen die Stärken von Plone auf den Punkt kommen, zu zitieren und ggf. zu kommentieren.

Ziel der Studie

Der iX Artikel stammt von den Machern der BSI Studie und bleibt im Wesentlichen neutral. Es wird trotz gravierender Unterschiede den anderen Systemen nicht auf die Füsse getreten. Mit dem entsprechenden Aufwand lassen sich eben auch diese Systeme absichern. Ziel der Studie ist es, die Sicherheit auch bei bestehenden Systemen voranzubringen. Dabei hilft eine einseitige Betrachtung nicht weiter.

Verwundbarkeit für Angreifer

Auszug aus dem Artikel:

"Die BSI-Studie ergab, dass für TYPO3 die meisten und für Plone die wenigsten Angriffspunkte gemeldet wurden. Im Mittel waren es 14 Schwachstellen pro CMS und Jahr (siehe Abb. 1). Bei Plone fiel auf, dass im Gegensatz zu den anderen Systemen 70 % der Sicherheitslücken im CMS-Kern und nur 30 % in externen Erweiterungen entdeckt wurden. Jedoch ist zu berücksichtigen, dass Plone im Vergleich insgesamt geringfügig weniger Schwachstellen aufweist und viele Zusatzfunktionen schon Teil der Basisinstallation sind."
aus [1]

Die finalen Bewertung der Konsequenzen dieser Aussagen bleibt in der Studie recht schwammig. U.a. enthält der iX Artikel in dieser Hinsicht ein paar fachliche Mängel. Z.B. hat Plone sehr wohl eine Registry/Konfigurations-Datenbank und kann diese transparent sowohl im UI als auch im XML-Format managen. Die Aussage, man habe dies in der Studie nicht prüfen können, ist recht unspezifisch.

Warum hat Plone weniger externe Module als z.B. Drupal?

  • Plone bietet bereits von Haus aus viel mehr integrierte Fähigkeiten als andere Systeme.
  • Viele Features müssen u.U. bei anderen Systemen relativ unsicher als Zusatzprodukt aus unklaren Herkunftsprozessen abgebildet werden.
  • Entwickler von Zusatzprodukten können seit Jahren auf die gut dokumentierten Funktionen beim Rechtemanagement im Kernsystem zurückgreifen.

Sicherheit und verteilte Architektur

Ein weiterer klarer Pluspunkt für Plone ist die extrem skalierbare Architektur. Die Vorteile der teilweise niedrigeren Einstiegsanforderungen bei z.B. WordPress schlagen bei der Sicherheit leicht ins Gegenteil um.

Auszug aus dem Artikel "Abschnitt - Architektur: Getrennte Serversysteme":

"Alle fünf in der BSI-Studie untersuchten Systeme setzen diese Anforderung im Grundsatz um. Plone, das auf dem Applikationsserver Zope aufsetzt, ist in dieser Hinsicht noch flexibler als die vier übrigen, PHP-basierten CMS."
aus [1]

Unser Fazit:

Plone sicher zu managen ist einfach und lässt Verantwortliche gut schlafen.

Dies würden wir selbst wie folgt zusammenfassen:

Plone Security = Good Job

Das Plone Security Team macht seinen Job seit Jahren extrem gut. Und zwar so gut, dass es Entwicklern von Erweiterungen viel leichter fällt, sichere Zusatzprodukte bereitzustellen.

Plone Security = Easy Job

Der Aufwand zur Absicherung von Plone Installationen macht nur einen verschwindend kleinen Teil der Aktivitäten der Integratoren aus. Gut zu wissen für IT-Abteilungen, die ja einen sicheren Rollout und Betrieb gewährleisten müssen.

Plone Quality = Good Investment

Wesentliche Vorteile sind dabei die seit Jahren erfolgten Investitionen der Plone Foundation und Community in

  • hochgradige Testabdeckung
  • Automatisierung der Test-Prozesse
  • hohe Akzeptanz dieser Vorgehensweisen in der Community

Sicherheit ist keine Glückssache

Sicherheit sollte nicht vom Geschick des einzelnen Entwicklers abhängig nachgerüstet werden. Es gibt gute Gründe, warum das europäische Pendant des BSI – die ENISA – Plone seit Jahren als CMS einsetzt. Deren Präsident hielt 2012 die Keynote auf der Münchner Plone Konferenz.

Die Plone Roadmap

Plone macht seit Jahren eine kontinuierliche und sichere Entwicklung durch. Durch die breite Installationsbasis bei großen sicherheitssensiblen Institutionen bleibt Plone für Entwickler und Integratoren ein attraktives Umfeld für die sichere und nachhaltige Applikationsentwicklung – Die Plone Foundation plant die neuen Releases mit einem sorgfältig durchorganisierten Prozess. Der Release Manager und das Framework Team arbeiten dabei Hand in Hand. Plone 5 steht 2014 vor der Tür.

Über den Autor Armin Stroß-Radschinski

Armin Stroß-Radschinski ist Industriedesigner und Software Architekt. Seit 2002 setzt sein Unternehmen Plone in internen Prozessen und Kundenprojekten als sichere Co-Working Platform und CMS ein. Er ist Mitglied der Plone Foundation, der Zope Foundation und Fellow der Python Software Foundation. Bis 2013 konnte er langjährig im Vorstand des heutigen Python Software Verbands die Communities unterstützen. An der Organisation der Plone Konferenz 2012 in München und der Pycon.DE 2013 in Köln war er als Organisator maßgeblich mit beteiligt. Die Plone Broschüre des Python Software Verband [3] wurde von Ihm in Zusammenarbeit mit Jan-Ulrich Hasecke entwickelt und produziert.

Das Original des Artikels ist auf evenios.com erschienen:
http://www.evenios.com/plone-hervorragend-in-cms-security-studie-des-bsi

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat eine Studie zur Sicherheit bei OpenSource CMS Systemen veröffentlicht. Neben Plone wurden die beliebten CMS Systeme Typo3, Drupal, Joomla und WordPress untersucht. OpenSource CMS Systeme sind für viele professionelle Anwendungen eine absolut gleichwertige Alternative zu mit kommerzieller Lizenz angebotenen Systemen. Die Studie bestätigt unsere Einschätzung, dass Plone deutlich besser für höchste Sicherheitsanforderungen z.B. im Industrieumfeld geeignet ist.