Das SIWECOS: Vom deutschen Staat geförderte CMS-Sicherheit

Webseitenbetreiber:innen sind oft in einer imaginären Blase gefangen, in der sie Schlussfolgerungen ziehen wie: "Es gibt wertvollere Seiten in der Webwelt, warum sollte meine von Hackern angegriffen werden?" 

Doch die Blase platzt, wenn sie feststellen, dass Hacker ihre Seite angegriffen haben, denn seien wir ehrlich: Sie würden niemals zwischen den Möglichkeiten unterscheiden, die sie bekommen. Sie wollen eine Website angreifen, und die haben sie jetzt.

Für Open-Source-CMS wie Drupal, WordPress und Joomla ist das Szenario dasselbe. So beliebt diese Plattformen auch sind, sie sind das Ziel aller Arten von Angriffen. Cyberkriminelle entdecken die Sicherheitslücken und hacken Ihre Website im Handumdrehen.

Das lässt uns mit der Annahme zurück, dass diese Plattformen (die zusammen 68,5 % des CMS-Marktes erobern) irgendeine Form von Schutz bieten müssen. 

Und ja, die Annahmen sind richtig. 

Die Geburt von SIWECOS 

Das SIWECOS-Projekt oder das Projekt "Sichere Websites und Content-Management-Systeme" ist ein Sicherheitsprojekt, das vom deutschen Wirtschaftsministerium gefördert wird und das die Sicherheit von CMS-basierten Websites verbessern soll (was natürlich Drupal, WordPress, Joomla und viele andere einschließt). 

Das Projekt wurde entwickelt, um kleinen und mittleren Unternehmen (KMU) zu helfen, die Sicherheitslücken zu identifizieren und zu beheben, die sie auf ihren Websites feststellen. Es konzentrierte sich auf konkrete Handlungsempfehlungen im Schadensfall und kümmerte sich auch um die Sensibilisierung von KMU für Cybersicherheit.

Die Nutzung des Schwachstellenscanners im Projekt half KMU, das Serversystem regelmäßig zu überprüfen und sich mit den Schwachstellen vertraut zu machen, die in einer Webanwendung auftreten können. Darüber hinaus wurde ein Service für Webhoster angeboten, der aktiv über akute Sicherheitslücken informierte und Filterfunktionen zur Abwehr von Cyberangriffen anbot. 

Die Endnutzer wurden auch vor potenziellen Daten- und finanziellen Verlusten geschützt. 

Initiative-S 

Das Ziel von SIWECOS war es langfristig, die Websicherheit zu erhöhen und ein angemessenes Bewusstsein für die Relevanz der IT-Sicherheit für KMU zu schaffen. So entstand die Initiative-S als Hoffnungsschimmer für die Unterstützung der kleinen und mittleren Unternehmen. Es handelte sich um ein staatlich gefördertes Projekt, das von der Initiative, dem Verband der deutschen Internetwirtschaft echo, aufgebaut wurde. 

Der Verband entwickelte eine Webschnittstelle namens "clamavi". Diese ermöglichte es den Nutzern, ihre Domain einzugeben und einmal täglich einen Malware-Scan des Quellcodes durchzuführen. So wurde der Website-Check der Initiative-S in das neue Projekt von SIWECOS integriert. Die bewährte Technologie der Initiative-S ergänzt nun das Portfolio des neuen SIWECOS-Dienstes um eine Prüfung auf möglichen Malware-Befall.

Bedeutung des Projekts 

Wie bereits erwähnt, drehte sich das gesamte Projekt um die Sicherheit der CMS-Plattform. Seit dem Start des Projekts dauerte es 2 Jahre bis zur Fertigstellung. Ziel war es, die Endnutzer mit Folgendem vertraut zu machen:

• Bedeutung der Sicherheit in der Zusammenarbeit und Bereitstellung individueller Benachrichtigungen und Empfehlungen zu Sicherheitsfragen einer Website für die Endnutzer.
• Erhöhung der Websicherheit für einen längeren Zeitraum und zur Identifizierung und Behebung von Sicherheitslücken ihrer Website.
•  Das Projekt half normalen Nutzern, schneller zu patchen. Patchen ist die Anwendung von Updates (Patches) auf bestehenden Code, die entweder die Funktionalität erhöhen oder Patch-Schwachstellen beheben.
• Es wurden auch die Websites registrierter Nutzer gescannt. Wenn Sicherheitslücken gefunden wurden, wurde die Person im Bereich der IT-Sicherheit direkt kontaktiert.

Was bietet SIWECOS im Allgemeinen?

SIWECOS hatte im Allgemeinen drei Dinge 

Sensibilisierung

Es ist die detaillierte Version der Einführung und des Prozesses, wie man es abonniert. Sie wandten sich an die Endnutzer, zu denen nicht nur die Website-Betreiber gehörten, sondern auch diejenigen, die sie später warten müssen. Der Hauptzweck der Sensibilisierungskampagne bestand darin, das Verhalten der Nutzer zu beeinflussen, da Verbesserungen nicht ohne Änderungen in ihren Einstellungen und Wahrnehmungen stattfinden können.

Skinning-Service

Das gesamte Scansystem im Skinning Service basiert auf einer API, die Open Source ist und eingebettet ist. Es gab den Endnutzern eine Punktzahl zwischen null und hundert, um ihnen eine Vorstellung davon zu geben, wie sicher oder unsicher das Setup ist.

Hinter der Punktzahl standen fünf Scanner, die verwendet wurden, um Malware im HTML-Code zu überprüfen. Scanner wie:

• HTTP-Header-Scanner

Stellt sicher, dass Ihr Server den Browser anweist, Sicherheitsfunktionen zu aktivieren.

• Info-Leak-Scanner

Überprüft, ob die Website sicherheitsrelevante Informationen preisgibt.

• TLS-Scanner

Überprüft die HTTPs-Verschlüsselung auf bekannte Probleme, veraltete Zertifikate, Vertrauensketten usw.

• Initiative S Scanner 

Dieser Scanner überprüft die Website auf Viren oder sucht nach Inhalten von Drittanbietern wie Phishing.

• DOMXSS-Scanner

Dieser Scanner überprüft, ob die Website vor DOMXSS-Angriffen geschützt ist. 

Webhost

Die Unternehmen, die den Service hinter der Website betreiben, werden wahrscheinlich als Webhoster bezeichnet. Das Webhoster-Team sollte im Allgemeinen über alle grundlegenden technischen Kenntnisse, Sicherheitsbewusstsein und eine aktive Kommunikation von Filterregeln zur Abwehr von Angriffen verfügen.

Die Notwendigkeit von Filterregeln - um den Empfängerkreis einzuschränken. 

Firewall-Regeln erleichterten es erfahrenen Angreifern, die Website nach Belieben aufzubauen und auszunutzen. Durch das Filtern des ein- und ausgehenden Netzwerkverkehrs (basierend auf den vom Benutzer definierten Regeln) wurde die unerwünschte Netzwerkkommunikation reduziert.

Ein weiterer Grund für die Verwendung eines Webhosts war der serverseitige Schutz. Die Serverseite wurde vor all diesen Angriffen auf die Webseiten geschützt, die im Webhoster installiert waren. Dies geschah, um Webseitenbetreiber zu schützen.

Partner im Projekt

Das SIWECOS-Projekt umfasste hauptsächlich vier Partner, die einen großen Beitrag zu dem Projekt leisteten. Die vier Partner waren:

Eco

Eco oder electronic commerce ist der größte Verband der Internetwirtschaft in Europa. Der Verband versteht sich als Interessenvertretung der Internetwirtschaft und hat sich zum Ziel gesetzt, Technologien zu fördern, Rahmenbedingungen zu gestalten und die Interessen seiner Mitglieder zu vertreten. Die Eco-Gruppe umfasst die gesamte Internetwirtschaft und fördert aktuelle und zukünftige Internetthemen. 

Der Bereich Sensibilisierung wurde hauptsächlich vom Eco-Verband durchgeführt, da er sehr gut in Marketing und Networking war. 
 

RUB 

Die Ruhr-Universität Bochum, die sich auf den südlichen Hügeln des zentralen Ruhrgebiets Bochum befindet, ist einer der Partner des gesamten Projekts. Sie verfügt über eine der größten und bewährtesten Erfolgsbilanzen in der allgemeinen IT-Sicherheitsbranche. Sie wurde in das Projekt mit dem Ziel aufgenommen, eine Scan-Engine zu entwickeln, die den Geschäftsinhabern Feedback zu potenziellen Sicherheitsproblemen auf ihrer Website gibt, wie z. B. SSL-Fehlkonfigurationen oder Anfälligkeit für Cross-Site-Scripting-Angriffe.

HACKMANIT

Die Hackmanit GmbH wurde von IT-Sicherheitsexperten der Ruhr-Universität Bochum gegründet. Sie verfügen über eine internationale Veröffentlichung zu XML-Sicherheit, SSL/TLS, Single Sign-On, Cross-Site-Scripting und UI-Redressing. Die Prioritäten des Unternehmens wurden durch hochwertige Penetrationstests, praxisnahe Schulungen und maßgeschneiderte Expertise bestimmt. Das Unternehmen verfügt über fundierte Kenntnisse über die Sicherheit von Webanwendungen, Webservices und angewandter Kryptographie. Das Team bietet White-Box- und Black-Box-Tests an, die die Anwendung vor den Auswirkungen aller Arten von Hackerangriffen schützen.

CMS Garden 

Der CMS Garden ist die Dachorganisation der relevantesten und aktivsten Open-Source-Content-Management-Systeme. Mit anderen Worten, das Sicherheitsteam begann 2013 mit der CMS-Planung, indem es einen Aufruf an die CMS-Community startete, dem Team beizutreten. Überraschenderweise gab es CMS-Plattformen, die interessiert waren. So gab es bis 2013 12 Open-Source-CMS-Systeme an einem Ort. 

CMS Garden steuert auch eine Reihe von Plugins für verschiedene Open-Source-CMS bei, die Feedback aus der CMS-Verwaltungsoberfläche liefern, so dass die Website-Betreiber sofort handeln können, wenn sie auf eine Sicherheitslücke stoßen. 
 

Fazit 

Website-Angriffe und Cyberangriffe nehmen rapide zu. Diese Angriffe kosten die Unternehmen Millionen von Dollar, setzen sie Klagen aus und ruinieren ihr Leben. 

SIWECOS ist wie ein Schutzschild für alle Websites und CMS-Plattformen, es schützt sie vor Cyberangriffen und Hackern aller Art und hilft, die Sicherheit und den Schutz vor Schwachstellen aufrechtzuerhalten. 

Wir wissen, wie wichtig Websicherheit ist, um Ihre Online-Identität und persönlichen Daten zu schützen. Wenn Sie sich Sorgen um die Websicherheit Ihres Unternehmens oder andere Netzwerkprobleme machen, können unsere Dienstleistungen Ihnen helfen. Kontaktieren Sie uns unter [email protected] Die Fachleute beraten Sie gerne bei all Ihren Fragen und helfen Ihnen, die Sicherheit für Ihre Website zu nutzen.