| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Wer wettbewerbsfähig bleiben will, muss in Sachen Digitalisierung Gas geben. Wir helfen Ihnen dabei: Persönlich, wenn Sie zu unserer Veranstaltungsreihe „smarter_mittelstand – digitalisierung 4.0“ kommen. Oder digital, hier an dieser Stelle, wo wir Sie laufend mit handfesten Tipps, Anleitungen und Neuigkeiten versorgen.

CMS-Sicherheit „Offen wie ein Scheunentor“

  • Serie
Abschließen sorgt für Sicherheit - auch virtuell: Wer sein CMS nicht regelmäßig aktualisieren lässt, riskiert Sicherheitslücken, warnt IT-Experte Ralf Seybold.

Abschließen sorgt für Sicherheit - auch virtuell: Wer sein CMS nicht regelmäßig aktualisieren lässt, riskiert Sicherheitslücken, warnt IT-Experte Ralf Seybold.© carlitos / photocase.de

Würden Sie Ihr Lager offen stehen lassen? Natürlich nicht. Bei ihren Firmenwebsites verhalten sich viele Mittelständler aber genau so: Sie laden Hacker geradezu ein, Daten zu stehlen. So bleibt Ihre Seite sicher.

impulse: Herr Seybold, Sie haben die Webseiten von mehr als 13.000 Mittelständlern auf Sicherheitslücken hin untersucht. Wie lautet Ihre Bilanz?

Ralf Seybold: 47 Prozent der untersuchten Webseiten werden mit veralteten Content-Management-Systemen erstellt. Die haben teilweise so große Sicherheitslücken, dass sie offen sind wie ein Scheunentor! 2014 haben wir eine ähnliche Untersuchung mit einer kleineren Anzahl an Seiten gemacht – damals haben wir nur bei 17 Prozent der untersuchten Seiten derartige Sicherheitsprobleme festgestellt.

Anzeige

Woran liegt es Ihrer Meinung nach, dass viele Mittelständler ihre Systeme derart vernachlässigen?

Eins bestätigt sich immer wieder, wenn ich mit Kunden spreche: Unternehmen sind sehr bereit, Geld auszugeben für alles, wo sie eine direkte Kosten-Nutzen-Rechnung machen können: Wie viel Geld kann ich durch eine Maßnahme sparen, wie viele zusätzliche Kunden gewinnen? Bei einer Internetseite ist der Nutzen nicht so richtig greifbar. Also lässt man das schleifen – und ruckzuck ist das System veraltet.

Stichwort ruckzuck: Wie oft muss man denn sein CMS überhaupt aktualisieren?

Da sprechen Sie gleich das nächste Problem an: Die Welt dreht sich so schnell, dass die Unternehmen einfach nicht hinterherkommen. Für ein CMS wie WordPress werden in einem Monat manchmal drei Updates veröffentlicht. Vorherige Versionen haben relativ schnell größere Sicherheitslücken.

Woher erfahre ich von neuen Versionen?

Wer WordPress nutzt, wird in der Software über neue Versionen informiert. Aber das ist eher die Ausnahme. Daher wissen viele Unternehmen gar nicht, ob sie technisch noch auf dem aktuellen Stand sind: Sie übersehen, dass sie etwas tun müssen.

Und wenn dann ein Dienstleister sagt, „Da sollten wir was machen“ …

… dann sieht der Kunde womöglich keine Notwendigkeit. Ich höre oft: „Es läuft ja!“ Oder aber vom Angebot bis zur Umsetzung vergehen noch mal zwei, zweieinhalb Jahre, weil der Kunde keine Zeit hat oder anderen Projekten eine höhere Priorität einräumt. Manche Mittelständler sind tatsächlich noch auf Joomla 1.5 unterwegs!

Warum ist das denn so schlimm?

Im Internet finden Sie seitenweise Anleitungen, wie Sie diese Systeme aushebeln und an die Daten kommen, die da dahinterstehen. Da kann man nur hoffen, dass die in ihren Webdatenbanken keine kritische Kundendaten drin haben.

Sind eigentlich alle Content-Management-Systeme gleichermaßen gefährdet?

Unter den untersuchten Unternehmenswebseiten wurde auch eine ganze Reihe mit Do-it-yourself-Website-Baukästen erstellt, etwa von 1&1. Diese Seiten haben ganz viele Nachteile, aber zumindest einen Vorteil: Dahinter steckt keine Datenbank, sondern statisches HTML – die Gefahr, dass jemand so eine Website hackt und übernimmt, ist daher recht gering.

Und bei einem dynamischen CMS – etwa Typo 3, Joomla, Contao oder WordPress?

Da muss mit Hackerangriffen gerechnet werden – zumal diese Systeme weit verbreitet und damit für Hacker interessant sind. Vor allem ältere Joomla-Versionen gelten als sehr unsicher. Weniger verbreitete Systeme werden nicht so häufig angegriffen.

Angenommen, ich möchte die Sicherheitslücken in meinem System schließen: Wie aufwendig ist es, so ein Update zu machen?

Die Anbieter vermitteln oft, dass alles auf Knopfdruck funktioniert – aber so einfach ist es nicht. Wenn Sie beispielsweise Plugins installiert haben, müssen Sie prüfen: Sind die mit der neuen Version kompatibel? Empfehlenswert ist ein Testlauf auf einem abgesicherten System – sonst machen Sie womöglich ein Update und danach geht nichts mehr. Daher muss dafür am besten ein Profi ran.

Wie viel Geld müsste ein Unternehmen in etwa veranschlagen, um sein CMS von einem IT-Dienstleister aktuell halten zu lassen?

Die Kosten für ein Update variieren – je nachdem, welches CMS verwendet wird und wie weit die Versionen voneinander entfernt sind. In der Regel sind die Kosten für ein ordentliches Up-to-Date-Halten innerhalb einer Version bei den meisten etablierten CMS unter 100 Euro im Monat realisierbar. Wichtig sind ordentliche Planung mit Back-ups und Notfallplan. Außerplanmäßige Updates, zum Beispiel von Typo3 4.5 auf 6.2, sind allerdings deutlich aufwändiger – und damit teurer. Ein Kunde sollte für die regelmäßige Pflege des CMS im Jahr zwischen 800 und 1500 Euro zuzüglich Mehrwertsteuer einplanen.

Kann man denn von einem hoffnungslos veralteten System überhaupt ohne Weiteres auf ein aktuelles aktualisieren?

Man sollte sich in solchen Fällen fragen, ob das wirtschaftlich sinnvoll ist: Wollen Sie wirklich allein fürs Update des Systems 2000 Euro ausgeben – und dann sind dieselben alten hässlichen Bilder online wie vorher, nur auf einem System ohne Sicherheitslücken? Dann können Sie auch noch mal 2000 Euro drauflegen und die Webseite entsprechend überarbeiten lassen, so dass sie nicht nur sicher ist, sondern auch schön aussieht.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.