Veröffentlicht am
Software benötigt Updates. Das gilt nicht nur für Ihren PC oder Ihr Handy, sondern auch und ganz besonders für Content-Management-Systeme. Eine jüngst aktualisierte Statistik zeigt leider, dass viele TYPO3-Installationen eine veraltete Version einsetzen und darum als Sicherheitsproblem gelten.
Generell gilt TYPO3 als ein sehr sicheres CMS. Auch unser eigener Eindruck sowohl aus Hosting-Sicht, als auch als TYPO3-Agentur bestätigt das. Dennoch ist es wichtig, dass Sicherheitsupdates schnell verfügbar sind und schnell eingespielt werden.
Und genau hier bescheinigt das Projekt t3census schlechte Noten. Das Projekt analysierte eine Viertelmillion TYPO3-Webseiten auf die verwendete Version hin – und kommt zu dem Ergebnis, dass fast 2/3 aller Seitenbetreiber eine zu alte TYPO3-Version einsetzen. Knapp 30% entfallen dabei auf die LTS-Version TYPO3 CMS 4.5, die als völlig veraltet gilt und immerhin schon seit Anfang 2015 nicht mehr regulär mit Updates versorgt wird.
Auch die LTS-Version TYPO3 CMS 6.2 kommt auf den gleichen Marktanteil – ihr kostenfreier Support endete vor einigen Tagen, ab sofort gibt es Sicherheitsupdates von der Entwickler-Gemeinde nur noch im Rahmen von kostenpflichtigen Upgrade-Verträgen. Damit setzen mehr als 90% aller TYPO3-Anwender eine potentiell veraltete Version ein.
Die Risiken
Eine ausgenutzte Sicherheitslücke erlaubt dem Angreifer meistens vollen Zugriff auf Ihren Webspace. Üblicherweise werden gekaperte CMSe genutzt, um
- dem Besucher der Webseite Malware, Trojaner o.ä. unterzuschieben
- illegale Inhalte (z.B. Phishing-Seiten) heimlich auf dem Server zu betreiben
- Spam-Mails über den Server zu verschicken
- Angriffe auf Drittsysteme zu starten (z.B. Teilnahme an DDOS-Attacken oder Kapern weiterer Webseiten)
Das alleine verursacht Ärger und möglicherweise auch Kosten (Ihr Provider wird das irgendwann bemerken und Ihre Seite sperren) – aber man wäre nochmal mit einem blauen Auge davongekommen. Die meisten Angriffe erfolgen teil-automatisch, d.h. den Angreifer interessiert gar nicht, welche Seite er kapert.
Viel schlimmer wird es, wenn eine Seite gezielt angegriffen wird und der Täter sich auf dem System umguckt. In diesem Fall müssen Sie nicht nur davon ausgehen, dass alle Inhalte Ihres CMS in fremde Hände geraten sind (also z.B. Kundendaten, Bestellungen, uvam.). Sondern Sie können auch Ihr CMS anschließend wegwerfen, denn der Täter könnte sich im Filesystem, im Quellcode oder in der Datenbank beliebig viele Hintertüren installiert haben, die man niemals finden wird.
Ist das nicht unnötige Panikmache?
Vielleicht. Gerade der Wegfall des Supports für TYPO3 CMS 6.2 ist erstmal ungefährlich. Ihr Auto wird auch nicht direkt zur Gefahr, wenn der TÜV abläuft. Aber man sollte sich zumindest Gedanken machen, wie es weitergeht und nicht mehrere Jahre ohne Werkstattbesuch weiterfahren.
Und wenn Sie wissentlich ohne gültige Hauptuntersuchung weiterfahren, haben Sie im Schadensfall auch schlechtere Karten – fehlender Versicherungsschutz und u.U. eine Teilschuld rein durch das unsichere Fahrzeug können die Folge sein. Nicht anders ist es im Internet: Ist der Angriff darauf zurückzuführen, dass Sie (wissentlich oder fahrlässig) ein veraltetes und unsicheres CMS betreiben, ist auch das unter Haftungs- und Versicherungsaspekten schlecht.
Was tun?
Rufen Sie uns an! Wenn Ihre Seite TYPO3 CMS 6.2 einsetzt, ist ein Wechsel auf ein aktuelles TYPO3 u.U. mit geringem Aufwand möglich. Es wäre leichtsinnig, das nicht zu tun.
Wenn Sie eine ältere TYPO3-Version nutzen, ist oftmals ein kompletter Relaunch (der ja ohnehin mehrere Jahre alten Webseite) die sinnvollere Alternative. Auch hier beraten wir Sie gerne.
Kontaktdaten
Unser TYPO3-Profi Stefan Bublies berät Sie gerne: Tel. 0221 / 96 98 96 25 oder projektedt-internet.de
Quellen: Informatik aktuell: Viele Websites nutzen unsicheres CMS / t3census