Sie stehen in Ihrer Rolle direkt in Kontakt mit den Anwender:innen von Content-Management-Systemen. Wie groß ist in Ihren Gesprächen mit den Anwender:innen das Thema CMS-Sicherheit?

• Security ist und bleibt ein wichtiges Thema. Wie man in unserer Expert:innen-Befragung auch sehen kann, sorgen sich zwei Drittel der Befragten um die Sicherheit ihres eingesetzten CMS. In Kundengesprächen kommt das Sicherheitsthema meistens erst kurz vor Vertragsabschluss in Form von Fragebögen zum Thema “Security” auf. Je nach Kunde werden da zahlreiche Themen abgefragt. Die Zertifizierung erleichtert die Beantwortung dieser Fragen. Durch die ISO-Zertifizierung beantworten sich die meisten schließlich von selbst und wir können auch zeigen, dass wir uns ausgiebig mit allen Belangen der CMS-Sicherheit beschäftigt haben.

Welche sind Ihrer Meinung nach die typischen Schwachstellen von gängigen Content-Management-Systemen?

• Die klassischen Probleme sind leider immer noch weit verbreitet. Ich höre viel zu oft von leicht zu erratenden Passwörtern, fehlender Zwei-Faktor-Authentifizierung und fehlender Eingabeprüfung, die man bspw. durch IP-Standortabfragen und auch Sperrungen nach x Versuchen filtern kann. Ebenso häufig entstehen aber auch Probleme aufgrund einer monolithischen Architektur – also dem klassischen CMS, in dem Inhalte im Backend direkt mit der Darstellung im Frontend verknüpft sind – die in der Folge sowohl die Daten im CMS wie auch die Erreichbarkeit der Website beeinflussen können. Fehlerhafte Konfigurationen, Vulnerabilites (bekannte Sicherheitslücken) und Datenbank-Probleme spielen hier mitunter ebenfalls eine Rolle.

Wann wird Nutzer:innen die Relevanz von CMS-Sicherheit typischerweise bewusst?

• Vor einigen Jahren hätte ich diese Frage vermutlich mit “zu spät” beantwortet. Speziell im professionellen Bereich und bei Unternehmen, die mit der eigenen Website Geld verdienen, ist dieses Bewusstsein aber mittlerweile viel stärker ausgeprägt. Die CMS-Sicherheit stellen die meisten Unternehmen heute vorne an, anstatt Sicherheitsprobleme durch fehlende Vorbereitung erst im Nachhinein zu beheben.

In der Umfrage gaben mehr als die Hälfte der CMS-Nutzer:innen in Unternehmen an, dass sie monatlich auf Sicherheitsrisiken stoßen. Woran liegt das?

• Die Systeme und die dafür benötigte Infrastruktur werden zunehmend komplexer. Man benötigt nicht nur ein CMS, sondern muss sich auch um dazugehörige Dinge wie bspw. das Betriebssystem, die Datenbank, SSL-Zertifikate, Programmumgebungen und verwendete Bibliotheken kümmern. Natürlich müssen auch Unternehmen wie wir diese Lösungen finden – aber wir haben, im Gegensatz zu vielen unserer Nutzer:innen, ein ganzes Team dafür. Wenn man das CMS selbst betreibt und keine SaaS-Lösung in Anspruch nimmt, muss man sich diese Expertise erst einmal aufbauen und gleichzeitig, spätestens ab Inbetriebnahme, gegen alle Bedrohungen gewappnet sein.

Wie fallen Schwachstellen bei CMS üblicherweise auf und wie sollte man ihre Behebung angehen?

• Eine Schwachstelle alleine ist ja erst einmal noch gar kein Problem, sondern erfordert “nur” die Installation von Updates. Eine Schwachstelle wird allerdings definitiv zum Problem, wenn sich niemand darum kümmert und Hacker:innen diese dann ausnutzen. Der Schaden äußert sich dann in unterschiedlichem Maße: Das beginnt beim Defacement (der optischen Entfremdung) der Website und geht hin bis zu einer Ransomware-Attacke auf die Infrastruktur des Unternehmens. Kurz gesagt: Da ist alles möglich.

War es schwierig die ISO-Zertifizierung zu bekommen? Welche Herausforderungen kamen dabei nachträglich auf Sie zu?

• Die Zertifizierung erfolgte bei uns in drei Schritten. Mit der Erstellung und Implementierung der Policies haben wir unser Headless CMS vorbereitet. Dann führten wir eine Prüfung durch, ob die Richtlinien auch den geforderten ISO-Standard abdecken. Abschließend führten wir eine weiter Überprüfung durch, ob die Policies auch wirklich implementiert sind und von Nutzer:innen und firmenintern nachhaltig angewandt werden.
  Die Vorbereitung war natürlich am aufwändigsten, aber dabei haben wir auch erkannt, dass wir bereits viele Best Practices anwandten. Das hat uns die Implementierung immens vereinfacht und das ganze Projekt auch als “eher machbar” einstufen lassen.
  Die größte Herausforderung war es dann nur noch, die Vorgaben des ISO-Standards zu erfüllen, ohne gleich alle Bereiche des Unternehmens umstrukturieren zu müssen. Klar: Sicherheit funktioniert nur, wenn man sie auch lebt. Aber wenn für diese Sicherheit große Umstellungen nötig sind, dann werden die nötigen Maßnahmen schnell abgelehnt. Zum Glück war dem aber überhaupt nicht so.

Denken Sie, dass die Sicherheit von CMS in Zukunft ein noch wichtigeres Thema werden wird?

• Das kann man nicht pauschal sagen, aber je mehr ein Unternehmen von Content abhängig ist, desto wichtiger ist das Thema der CMS-Sicherheit auch jetzt schon. Für viele Anwendungen ist ein CMS das Herzstück. Gerade im Angesicht der zunehmenden Digitalisierung, dem möglichen Web 3.0 und dem Metaverse glaube ich, dass die Sicherheit des Contents, den viele eben auch monetarisieren, immer wichtiger wird.

Auf der anderen Seite ist mir zudem bewusst, dass wir uns mit immer neuen Bedrohungen, neuen Angriffsvektoren und Schadensmechanismen auseinandersetzen müssen. 

Was vielen gar nicht klar ist, ist die Tatsache, dass bspw. über semi-anonyme Bezahlmethoden mittels Krypto-Währungen, solche Angriffe auch ein Preisschild tragen können. Dann möchte Person A dem Unternehmen B schaden, legt den Bruchteil eines Bitcoins dafür hin und schon macht sich Person B an die Arbeit. Für solche Aufträge gibt es ganze Netzwerke. Um dem Datendiebstahl da massiv entgegenzuwirken benötigt man sichere Lösungen. Anders gesagt: In Zeiten, wo Content Gold wert ist, braucht es einen guten digitalen Safe.

Wie schätzen Sie ganz allgemein die Entwicklung von Content-Management-Systemen und den zugrundeliegenden Technologien in der nahen Zukunft (nächste fünf bis zehn Jahre) ein?

• Unter Management wird man nicht mehr nur die Ein- sowie Ausgabe von Content verstehen. Das ganze System wird sich in Richtung besserer Redaktionsprozesse, automatisierter Bearbeitung und Optimierung von Content und verbesserter Integrationen in Arbeitsabläufe entwickeln. Eine Entwicklung, die sich auch heute schon langsam mit den NFTs zeigt, ist aber vor allem die Möglichkeit, digital beweisen zu können, wer der Urheber des jeweiligen Contents ist. Das ermöglicht dann auch ganz andere Nutzungs- und Bezahlmodelle für gekauften Content.

Was raten Sie persönlich den Nutzer:innen von CMS in Unternehmen? Worauf sollten Nutzer:innen bei der Auswahl besonderes Augenmerk legen?

• Zuerst einmal muss man sich im Klaren darüber sein, ob der Betrieb des CMS wichtig für das Geschäft des Unternehmens ist. Da kann man sich mitunter fragen, ob die Akquise über die Website essentiell ist oder ob man durch den Content maßgeblich Leads generiert. Wenn dem so ist, dann sollte der/die Verantwortliche zu einer Software-as-a-Service greifen, die auch ein Security-Audit durchlaufen hat.

Die nächste Frage wäre dann, welchen Funktionsumfang das eigene Vorhaben benötigt und wie viel Nutzerfreundlichkeit die Lösung aufweisen muss. Da geht es dann um Fragen, wie bspw. ob der Fokus auf Entwicklern und/oder auf Editoren liegt, wie wichtig die Wiederverwendbarkeit von Content ist oder auch, ob ein Entkoppeln von Frontend und Content-Management-System die Komplexität des Setups verringert und dadurch die Sicherheit steigert.