Sicherheit ist kein Zustand, Sicherheit ist ein Prozess!
Software mit Bezug zum Internet muss immer aktuell gehalten werden: Standards ändern sich, Abläufe werden optimiert, Programme werden verbessert.
Der wichtigste Grund für Aktualisierungen sind jedoch Sicherheitsupdates. Internetkriminelle, wie professionelle Hacker und Skript-Kiddies nutzen bekannte Sicherheitslücken in Software aus. Die gehackten Seiten verteilen im besten Fall Links zu Pornoseiten oder potenzstärkenden Mitteln, im schlimmsten Fall stehen die Kreditkartendaten Ihrer Kunden zum Verkauf.
Kann man nicht nur sichere Software verwenden?
Perfekte Software gibt es leider nicht. 100%ig sichere auch nicht. Absolute Sicherheit hat man nur, wenn der Rechner vom Internet, externen Datenträgern und Fremdeinwirkungen (Benutzer) ferngehalten wird.
Zum Glück lernen Entwickler ständig dazu und beheben Ihre Fehler. Sogenannte Patches stopfen die bekannten Sicherheitslücken und beseitigen so die Angriffsstelle. Sie müssen aber installiert werden. Voll automatische Updates gibt es im Onlinebereich nicht wirklich.
Software muss aber auch weiterentwickelt werden
Bleibt die Entwicklung stehen und schließt nur noch Sicherheitslücken, wird die Software bald von Konkurrenzprodukten abgelöst. Die Entwickler dürfen sich also auch nicht auf dem Status quo ausruhen.
Das Implizieren neuer Funktionen und Erweiterungen bedeutet aber nicht nur Vorteile. In der Softwareentwicklung, gerade im Webbereich wird nicht immer alles neu entwickelt, sondern bestehende, gut funktionierende Bibliotheken oder Funktionen integriert. Zeigt sich nun eine Sicherheitslücke in einer dieser Bibliotheken, wird darüber eine in den Grundfunktionen sichere Software doch wieder angreifbar. (wie z.B. kürzlich WordPress durch die timthumb-Bildverkleinerungs Bibliothek).
Die Weiterentwicklung einer Software bedeutet manchmal auch, dass die Unterstützung für bestehende Funktionen eingestellt wird. Meist, weil diese Funktionen durch neuere, bessere und sichere ersetzt werden.
Problematisch wird das aber, wenn andere Software auf diese Funktionen angewiesen ist. Wie das sein kann?
CMS Systeme wie WordPress, Joomla! oder Onlineshops greifen auf das LAMP-System zu. Wird die Version von PHP oder MySQL aktualisiert, muss das bei diesen Anwendungen durch Softwareupdates berücksichtigt werden. Wird die Unterstützung von Funktion x durch y abgelöst, müssen die Entwickler die Software entsprechend anpassen. Sonst erzeugt das System Warnhinweise und Fehlermeldungen.
Umgekehrt geben CMS-Systeme aber auch Mindestanforderungen an das LAMP-System vor.
Kann man den Server nicht einfach auf dem alten Stand lassen?
Stillstand bedeutet in der IT immer Rückschritt. Alte Software wird irgendwann nicht mehr unterstützt. Sicherheitslücken werden dann nicht mehr über Softwareupdates geschlossen, sondern bleiben bestehen. Das betrifft nicht nur PC-Betriebssystem oder Content Management Systeme, sondern genauso auch Server Betriebssysteme wie Linux. Dieses Risiko können und wollen wir nicht eingehen. Daher werden unsere Server regelmäßig gewartet und aktualisiert.
Was bedeutet das für veraltete Software?
Wird nur eines der Systeme aktualisiert oder wird der Support für eine Version ganz eingestellt (z.B. Joomla! 1.0) gibt es nur zwei Möglichkeiten:
- Migration zur aktuellen Version: Diese Umstellung kann in den meisten Fällen nicht automatisch erfolgen. Spätestens wenn sich die Struktur der Datenbank verändert oder Erweiterungen mit einer neueren Funktion nicht mehr kompatibel sind, bedeutet das manuellen Eingriff durch einen Webentwickler / Datenbankexperten, also Aufwand von uns.
- Migration des alten Systems auf einen separaten Server: Wir richten einen weiteren, von unseren anderen Kunden getrennten virtuellen Server ein. Der Webauftritt wird dann auf diesem System mit den alten Serverkonfigurationen gehostet. Eventuelle Sicherheitslücken im alten System werden dadurch aber nicht beseitigt.
Für dieses separate Hosting und die Einrichtung des Servers fallen weitere, zusätzliche Kosten an. Das eigentliche Problem, die veralte Software wird dadurch aber nicht behoben, sondern nur verschoben.