Seit unserem letzten Beitrag ist schon eine ganze Weile vergangen. Das war eigentlich nicht so gedacht. Aber es kommt ja meistens anders.
Die besten Geschichten schreibt immer noch das Leben. Und wenn wir eine Frage wie „Was soll schon passieren, wenn ein CMS nicht aktualisiert wird?“ gestellt bekommen, kann ich nicht anders, als dazu meinen Senf abzugeben. Schon gar nicht, wenn ein Blogbeitrag auch noch absolut überfällig ist…
Der Ist-Zustand = Auslieferungszustand
Eigentlich werden heute so gut wie nur noch Webseiten mit CMS (Content Management System) angeboten. Das hat auch einen guten Grund. Inhalte lassen sich bequemer verwalten, die Benutzerverwaltung ist leichter (insbesondere wenn es ein differenziertes Rechtesystem geben soll) und viele technische Funktionen sind auf einfache Weise darin integriert.
Diese Vorteile überzeugen auch die Kunden. Deswegen gibt es heute kaum noch neue Webseiten, die mit statischem HTML erstellt werden.
Trotz all dieser Vorteile haben CMS gegenüber statischen Webseite einen Haken: Sie müssen aktualisiert werden. Im Gegensatz zu HTML-Webseiten, bei denen die Inhalte nur optisch aufbereitet werden, sind sie dynamisch zusammengesetzt. Und das funktioniert mit Hilfe von Skriptsprachen wie PHP, Javascript, etc.. Inhalte sind nicht in statischen HTML-Seiten, sondern in Datenbanken abgelegt. Das CMS setzt beides dann mit Hilfe von Skripten für den Besucher dynamisch zusammen. Hacker können Schwachstellen in diesen Skripten oder eventuell verwendeter Erweiterungen oder Bibliotheken ausnutzen, um das ausgelieferte Ergebnis zu manipulieren – also darüber die Webseite zu hacken. Geschlossen werden solche Schwachstellen durch Aktualisierungen des CMS, die von den jeweiligen Herstellern in regelmäßigen Abständen veröffentlicht werden. (Natürlich muss auch die darunterliegende Server Software aktualisiert werden. Sonst ist auch über solche veraltete Software ein Angriff möglich. Aber das führt an dieser Stelle zu weit.)
Aktualisierungen werden standardmäßig nicht mit angeboten
Aber genau solche Aktualisierungen werden auch heute noch sehr häufig nicht berücksichtigt – weder in den Angeboten der Designer und Agenturen, noch in der Budgetplanung (oder häufiger im Kopf) des Kunden. Das würde den Preis in den meist sowieso knapp bis unrealistisch kalkulierten Angeboten nur in die Höhe treiben und wird von den meist unwissenden Kunden auch gar nicht angefragt oder verlangt. Die Entscheidung für einen Anbieter wird immer noch hauptsächlich aufgrund der Endsumme getroffen, die unter einem Angebot steht. Der günstigste macht das Rennen.
Die Kunden bekommen dann ihre mehr oder weniger hübsche neue Webseite (mit CMS X in der Version 1.2.3), wie im Angebot festgehalten. Gehostet wird sie dann in der Regel auch beim günstigsten Anbieter, bei dem der Kunde (manchmal ohne es zu wissen) für die komplette Software auf seinem (v)Server und sämtliche Aktualisierungen selbst verantwortlich ist. Das betrifft das Server-Betriebssystem und das CMS.
Und dann passiert in sehr vielen Fällen mit dieser Webseite technisch sehr lange Zeit gar nichts mehr. Aus Sicht der Kunden bzw. Webseitenbetreiber gibt es ja auch gar keinen Handlungsbedarf. Es funktioniert ja auch alles. Inhalte und Menüs können wie gewohnt bearbeitet werden. Alles funktioniert auf den ersten Blick wie gewohnt und wie es soll.
Auf der technischen Seite, unter der Haube, sieht das ein wenig anders aus. Da wird es so langsam richtig düster. CMS X ist mittlerweile bei Version 3.9.2 angekommen und entwickelt sich ständig weiter. Es gab in der Zwischenzeit ca. 20 Updates des CMS, mindestens die Hälfte davon haben Sicherheitslücken geschlossen und Schwachstellen beseitigt.
Plugins oder Erweiterungen, also zusätzlich zum CMS installierte Software, lassen wir an dieser Stelle mal außen vor. Auch die müssen nämlich aktualisiert werden.
Was kann schon passieren?
Was kann denn nun passieren, wenn ein CMS nicht aktuell gehalten wird?
Ganz einfach: Die Webseite kann über diese bekannten Sicherheitslücken relativ einfach gehackt werden. Relativ einfach, weil man das auch ohne großes Wissen mit Hilfe von frei im Internet verfügbaren Anleitungen innerhalb von weniger als einer Minute machen kann. Man kann es sogar mit Hilfe eines Skripts automatisieren, was nicht gerade selten passiert. So ein Skript durchsucht eine Webseite nach bestimmten Anhaltspunkten, die auf eine CMS-Version mit bekannten Sicherheitslücken schließen lässt. Über diese Sicherheitslücke wird dann versucht einzubrechen. Gelingt das, steht dem Hacker die Webseite zur freien Verfügung. Und das alles passiert ohne menschliches Zutun, innerhalb weniger Minuten.
Der Hacker hat so jetzt vollen Zugriff auf die Webseite und kann damit machen, was er möchte. Was genau das ist, folgt im zweiten Teil dieses Beitrags.