„Hunderte Typo3-Webseiten gehackt “ besser: „nicht gewartete TYPO3-CMS Installationen von Hackern angegriffen“

Worum geht es hier eigentlich …? Der Heise Verlag, die Instanz für Nachrichten aus dem IT Bereich – zumindest in Deutschland, präsentiert unter dem Titel „Hunderte Typo3-Webseiten gehackt“ eine Meldung, nach der TYPO3 ein grundsätzliches Sicherheitsproblem habe. Begründet wird diese Behauptung durch gehackte Websites, die anhand einer besonderen, technischen Google-Abfrage gefunden werden können. Ursächlich kommt die Meldung durch den Hinweis einen Admins zustande. Das angeführte Google-Suchergebnis listet aber nicht nur TYPO3-Websites, sondern auch Websites, die nicht mit TYPO3-CMS erstellt wurden. Der erste Treffer „Klinikum Nürnberg“ ist laut Quelltext mit dem „Infopark CMS Fiona; 6.7.2“ (auf Basis des Ruby on Rails-Frameworks) erstellt.

Das Problem für die Nutzer und Inhaber der gehackten Systeme: Websites wurden manipuliert und erzeugen so eine versteckte Weiterleitung auf ein oder mehrere Online-Casinos.

Das Problem für Heise: TYPO3-CMS ist mit hoher Wahrscheinlichkeit nicht der Fehler, sondern schlecht gewartete oder unprofessionell vorgenommene Installationen.

Ein freundlicher und kompetenter Kollege hat die Hintergründe dieses Satzes bereits als Kommentar zu dem Heise-Beitrag in Worten ausgedrück, die wir nicht besser formulieren können und denen wir voll und ganz zustimmen. Aus diesem Grund wollen wir seine Worte mit einem Zitat seines Kommentars an dieser Stelle würdigen!

Kommentar von Dietmar von Schütz zum Beitrag „Hunderte Typo3-Webseiten gehackt„:

Es liegt NICHT an TYPO3, sondern an schlechter Installation/Wartung durch den Admin

Die Überschrift zu dem Artikel sollte eher lauten: Laienhaft ins Netz gebrachte und nicht gewartete CMS von Hackern angegriffen.

Wir haben eine Menge Typo3-Seiten für Kunden laufen, davon viele noch mit Typo3 4.5 LTS. Auf vielen der Seiten registrieren wir immer wieder Hackerangriffe. Das ist normal. Bis jetzt war keiner erfolgreich. Warum?

• alle Installationen sind gemäß den Typo3-Security-Guidelines abgesichert
• Sicherheitseinstellungen per PHP.conf und .htaccess sind gesetzt
• Das Standard-Admin-Konto ist nicht aktiv oder hat ein sehr sicheres Passwort
• Der/die anderen Admins haben sichere Passwörter
• Nutzer=Redakteure haben grundsätzlich nie Admin-Rechte
• Security-Updates werden regelmäßig und zeitnah installiert.
• Vorhandene Funktionen, die über Angriffe informieren, werden auch benutzt.

Es gibt jedoch viele Webseiten mit einem CMS wie Typo3, Joomla, Drupal oder auch Wordpress, auf die einige oder alle der oben genannten Regeln nicht zutreffen. Warum? Viele denken, nur weil man eine Software kostenlos runterladen kann, bräuchte es weder eine Ausbildung noch Kenntnisse noch Zeit für die Einarbeitung und den laufenden Betrieb.

Typo3 ist nach unserer Erfahrung das komplexeste der Open-Source-CMS. Ein Fachinformatiker mit sehr guten Kenntnissen in php, css, html5, javascript, sql etc. braucht etwa drei Monate (Vollzeit!), um auch nur die grundlegenden Funktionen und Sicherheitserfordernisse von Typo3 im Zusammenspiel mit Apache und PHP zu verstehen. Ja, es ist aufwändiger als ein Auto-Führerschein! Insgesamt vergleichbar eher
der KFZ-Mechatroniker-Ausbildung.

Typo3 spielt in der Funktionsklasse von CMS, die sonst weit über 10.000 Euro kosten, zusätzlich dazu Wartungsverträge für monatlich ab 300 Euro.
Wenn html/css ein Fahrrad ist, PHP ein Mofa, ist Joomla ein Golf und Typo3 eine 40-Tonner-LKW-Bus-Kombination mit Gefahrgutabsicherung, 50 Passagier-Sitzplätzen, Multi-Anhängerkupplungen und Amphibienfunktion (falls im Ärmelkanaltunnel mal wieder Stau ist).

Diese Funktionsvielfalt hat ihren Preis: Nur gut ausgebildete Techniker sollten es installieren und es braucht monatlich etwa 4-6 Stunden nur für regelmäßige Systemwartung, auch wenn keine Webseiten-Inhalte geändert werden.

Dafür ist Typo3 für Redakteure sehr komfortabel, sicher und einfach: ein gut eingerichtetes Typo3-System ist für völlig computer-laienhafte Redakteure, die gerade mal Word oder Facebook einigermaßen bedienen können, nach einer zweistündigen Schulung gut zu benutzen, um Texte, Bilder oder andere Inhalte ins Web zu bringen.

Zurück zur Auto-Analogie: Wer Typo3 INSTALLIEREN will, ist ein KFZ-Mechatroniker, der aus ein paar Tausend Baukastenteilen den o.g. Amphibien-LKW/Bus zusammenbauen soll, und zwar TÜV-gerecht! (Wer will, kann auch eine Prüfung zum „Typo3 Integrator“ ablegen.) Der Nutzer (= Fahrer, Redakteur) braucht, wenn er nur auf dem Hof rumkutschieren will, nur eine kurze Einweisung. Aber er hat keinen Schlüssel zur Torausfahrt auf die Straße und kann Motorhaube und Tankdeckel nicht öffnen. Manchen Nutzern wird man mehr Rechte einräumen, mit entsprechender Schulung (Führerscheine Klasse A, B, C …)

Dass dies in der Realität vielfach nicht so eingehalten wird, ist uns – wie auch allen anderen professionellen Agenturen – bekannt. Auf die Gefahr hin, dass das jetzt arrogant klingt: Wir sehen ja immer wieder die Systeme neuer Kunden, die nach irgendwelchen „Kataströphchen“ ihren selbsternannten Hobby-Webmaster zur Fortbildung verpflichten oder gleich schassen und dann doch Fachleute beauftragen.

Typo3 ist eben kein Einstiegssystem. Aber bestimmt nicht unsicher!
(Quelle: http://www.heise.de/security/news/foren/S-unbedingt-lesenswert/forum-276543/msg-24945066/read/MD5-9d8aefa37a0e2f2824c2267deb3c151f/postvote-2/)

Amen!