ksi
consulting

Informationssicherheit

Bei Internetanwendungen, besonders wenn Benutzereingaben möglich sind, ist die Sicherheit von Anwendung und Daten – die Informationssicherheit – immer ein Thema.

Wie bekannt ist, gibt es keine fehlerlose Software. Die Zahl der Fehler kann durch sorgfältige Softwareentwicklung im Sinne einer konstruktiven Qualitäts­sicherung und gute Test- und Prüf­verfahren niedrig gehalten werden. Darüber hinaus hilft es, auftretende Fehler schnell zu beseitigen und die geänderten Module kurzfristig zu installieren.

Maßnahmen zur Informationssicherheit

Drupal ist anerkanntermaßen recht sicher. In den USA ist Drupal für den Einsatz für Regierungsstellen zugelassen.

Zur Sicherheit tragen bei:

  • Konstruktive Maßnahmen
    • Die gute Systemarchitektur (siehe dazu unter Systemarchitektur)
    • Dateneingaben, Datenausgaben und Benutzer­eingaben, sowie sämtliche Über­setzungen und Text­ausgaben werden einheitlich nur über gesichere Funktionen des Drupal-Kernsystems realisiert
    • Richtlininen für Entwickler und Dokumentation (‚Best practice‘).
  • Deduktive Maßnahmen (prüfend)
    • Ein strenges Freigabever­fahren mit umfangreichen Tests vor jeder Versions­freigabe durch ein eigens installiertes Drupal-Security-Team (für Drupal-Kernsystem und wichtige Erweiterungen)
    • Automatische Sicherheitschecks.
  • Implementierte Sicherheitsfunktionen
    • Fein abgestufte Berechtigungen, funktions-, inhaltstyp-, struktur-, inhalts- und rollenspezifisch
    • Abgestufte Filter für Benutzereingaben (individuell änderbar)
    • Spam-Schutz
      • Verschlüsselte Kennung bei Formularnutzung
      • Captcha-Module
      • Einbindbare Anti-Spam-Dienste
      • IP-basierte Sperrungen
    • Sicherheitschecks, Fehler- und Zugriffsprotokollierung
    • Die automatische Überprüfung auf vorliegende Sicherheits­updates und Benachrichtigung des Administrators durch das System selbst.
  • Die große Drupal-Community
    • Die sehr hohe Zahl von Installationen des Drupal-Kernsystems und der wesentlichen Erweiterungs­module (siehe auch OpenSource > Verbreitung)
    • Die Offenlegung des Quellcodes des gesamten Systems und aller Erweiterungen sorgt für Transparenz
    • Die in der Regel schnelle Fehlerbeseitigung (Kernsystem und wesentliche Erweiterungs­module)
    • Ein einfach handabbarer Update-Vorgang für das gesamte System und alle installierten Module, der durch  System­kommando vom Administrator angestoßen werden kann.
  • Die zentrale Verwaltung aller eingereichten Erweiterungs­module mit Angabe zu
    • Verbreitung
    • Entwickler, Entwicklungsstand und Aktualität
    • Gemeldete Fehler und Stand der Behebung.

Bei der Auswahl und installation von Erweiterungs­modulen, die nicht zum Drupal-Kernsystem gehören, ist darauf zu achten, dass die Module eine gewisse Qualität und Verbreitung haben und aktiv gepflegt werden. Installationen von Modulen unbekannter Quellen ist mit Vorsicht zu begegegnen – genauso wie man auf seinem Rechner auch nicht x-beliebige Software installieren sollte, die man von irgendeiner unbekannten Quelle erhält. Erfahrene Entwickler können die Qualität, ggf. durch eine Sourcecode-Inspektion, beurteilen und im Falle eines Problems auch für Abhilfe sorgen.

Datensicherheit

Es ist wichtig und gut, wenn ein System möglichst wenige Fehler aufweist und sicher ist gegen äußere Bedrohungen.

Dennoch: Dem Nutzer, der mit viel Engagement und Sorgfalt die Inhalte erstellt hat, nutzt es wenig, wenn seine Mühe durch einen Bedien­fehler oder ein Hardware­problem zunichte gemacht wird. Sicherheit geben da Drupal-Funktionen:

  • Revisionsverwaltung für die Inhalte, mit der Möglichkeit, auch einzelne Inhalte, jederzeit auf eine frühere Version zurückzusetzen
  • Sicherungsfunktionen, die komfortabel und automatisier­bar komplette konsistente Sicherungen von Software und Datenbank ermöglichen
  • Unterstützung unterschiedlicher, in die gewohnten Abläufe eines Unternehmens integrier­barer, Datenbank­systeme.

Wie sicher sind Open-Source-Systeme?

Gut geführte OpenSource-Software-Projekte wie Drupal haben einen sehr guten Ruf. Siehe hierzu auch OpenSource > Sicherheit. Dort finden Sie auch das Thema Zukunfts­sicher­heit behandelt.