ksi
consulting

Wie sicher sind Open-Source-CMS?

Unlängst fand ich den Vergleich des Anbieters eines proprietäten Content-Management-Systems, der in einer auf dem ersten Blick objektiv scheinenden Gegenüberstellung sein eigenes CMS, nennen wir es Igor (Name von der Redaktion geändert), mit den Open-Source-Software-Systemen Drupal und typo3 verglich. Es wird hier sicher niemanden überraschen, dass Igor bei einigen Kriterien von seinem Schöpfer besser bewertet wurde als die beiden anderen.

Der Grund dafür, dass ich das hier erwähne, ist das Kriterium Sicherheit (Gemeint ist die Informationssicherheit. Andere Sicherheitsaspekte wurden weitgehend ausgeblendet.). Der Autor der Gegenüberstellung vertritt die Ansicht, Open-Source-Systeme seien generell weniger sicher, da der Quellcode offengelegt sei und potentielle Angreifer aus dem Quellcode die möglichen Schwachstellen herauslesen könnten. Tatsächlich ist das Gegenteil der Fall – vorausgesetzt, das Open-Source-Software-Projekt ist gut geführt, hat viele kompetente Fachleute im Projektteam und legt viel Wert auf Informationssicherheit (die sich in Projektorganisation und in der Softwarearchitektur zeigt), wie es bei Drupal der Fall ist. Dies wird im folgenden begründet.

Wie dünn das vorgebrachte Argument gegen Open-Source-Software ist, zeigt sich auch daran, dass dieselben Firmen, die das Argument vorbringen, selbst zumeist Open-Source-Software-Systeme nutzen. Gerade im Web-Bereich sind Linux-basierte Server, die Datenbanksysteme MySQL und PostgresSQL, sowie der Webserver Apache weitaus häufiger anzutreffen als die kommerziellen Alternativen, und das gilt auch für Dienste mit hohen Sicherheitsansprüchen. So ist beispielweise allgemein bekannt, dass Google nahezu ausschließlich auf Linux-Systeme setzt.

Siehe dazu auch OpenSource > Verbreitung.

Informationssicherheit

Für die Informationssicherheit sind wesentlich

  • die Systemarchitektur des jeweiligen Systems,
  • die Qualität des Entwicklungsprozesses, insbesondere hinsichtlich der Qualitätssicherung,
  • eine kritische Masse mit genügend vielen ernsthaften Installationen als Bewährung im echten Einsatz,
  • der transparente Umgang mit entdeckten Sicherheitslücken, insbesondere die Geschwindigkeit der Beseitigung solcher Lücken.

Das Open Source-Software-Prinzip ermöglicht es den Kunden erst, die Qualität der Systeme fundiert zu beurteilen bzw. beurteilen zu lassen. Das ist bei proprietären Systemen so nicht möglich.

Im Falle von Drupal werden aufgetretene Sicherheitslücken, auch als Jahresstsatistik, im nachhinein offengelegt. Damit kann verglichen werden, wie Drupal im Vergleich zu anderen Systemen abschneidet. Eine solche Offenheit gibt es für proprietäre Systeme nicht, insbesondere nicht für Igor. So können wir es nur mit anderen Open-Source-Software-Projekten vergleichen. Dabei sieht Drupal sehr gut aus. Aufgrund der sehr modularen Systemarchitektur werden Redundanzen vermieden und Drupal-Module, sowie die Gesamtgröße aller Programme sind kleiner als bei anderen CMS-Systemen. Dadurch hat Drupal weniger Sicherheitslücken als die anderen CMS-Systeme hoher Funktionalität.

Zukunftssicherheit

Bei der Zukunftssicherheit ist genauer hinzusehen.

Für proprietärte Lösungen scheint zunächst zu sprechen, dass ein kommerzieller Anbieter i.d.R. die Gewährleistung für sein Produkt übernimmt und in der Lage ist, notwendige Änderungen und Erweiterungen vorzunehmen.
Nur: Was passiert, wenn der Anbieter das System nicht mehr weiterentwickeln will (weil nicht rentabel oder er ein anderes favorisiert) oder kann (Insolvenzen kommen auch vor)? Auch gibt es genügend reale Beispiele für gute kommerzielle Produkte, die nicht mehr weiterentwickelt wurden, weil die Herstellerfirma von einem Konkurrenten übernommen wurde. Beispiele dafür sind Übernahmen von Datenbankherstellern speziell in den 80er Jahren oder die Desktop-Publishing-Software FrameMaker, die seit 1995 praktisch nicht mehr weiterentwickelt wird.
Selbst, wenn Support und Weiterentwicklung gesichert sind, ist der Kunde in der Regel von einem Anbieter abhängig, der einseitig die Kostern bestimmt für Support, Wartung und neue Versionen.

Ein proprietäres CMS von einem kleinen Anbieter bedeutet daher ein nicht unbeträchtliches Risiko für den Kunden. Es ist davon auszugehen, dass in den kommenden Jahren, gerade auch durch die Konkurrenz guter Open-Source-Systeme, einige proprietäre CMS-Systeme vom Markt verschwinden werden und nur einige wenige High-end-Systeme im kommerziellen Bereich übrig bleiben.

Bei kleinen Open-Source-Systemen kann es passieren, dass die Entwickler die Lust daran verlieren und die Entwicklung einstellen. Da ist die Installationsbasis und die Anzahl der mit dem System vertrauten Firmen und beteiligten Entwickler ein wichtiges Kriterium. Handelt es sich um ein recht kleines System mit bis zu einigen hundert Installationen oder um ein weitverbreitetes System wie Drupal mit mehreren hunterttausend oder gar Millionen Installationen.

Doch wie sieht es bei erfolgreichen, großen Open-Source-Projekten aus? Es sind viele Entwickler, nicht selten auch mehrere leistungsfähige Firmen, an Entwicklung und Support beteiligt. Wenn da eine Firma aussteigt, spielt es keine große Rolle. Die Lücke wird schnell geschlossen. Allenfalls könnte bei Erweiterungen, die von einer kleinen Firma oder einem einzelnen Entwickler erstellt wurden, der Support eingestellt werden. Ist die Erweiterung für viele interessant, findet sich wahrscheinlich schnell ein anderer Entwickler, der die Pflege übernimmt. In jedem Fall aber ermöglicht das Open-Source-Software-Prinzip einem mit dem Basissystem vertrauten Entwickler, die Wartung wohldefinierter überschaubarer Erweiterungen, wie es Drupal-Module sind, im Falle eines Falles zu übernehmen.

Anforderungen und Standards wandeln sich im Web-Umfeld sehr schnell. Daher spielen bei der Bewertung der Zukunftssicherheit Erweiterbarkeit, Flexibilität und Schnelligkeit bei der Weiterentwicklung eine sehr große Rolle.

Fazit Drupal

  • Drupal ist sicherlich eines der besten CMS auf Basis Open-Source-Software, wenn nicht gar das beste. Flexibiltät und Erweiterbarkeit von Drupal sind beispielhaft. Siehe dazu auch die Ausführungen zu Technik und Standards. Die hervorragende Systemarchitektur von Drupal trägt ganz wesentlich zur Qualität, und insbesondere zur Informationssicherheit und Zukunftssicherheit bei. Die Bewertung ist im konkreten Fall sicherlich abhängig von den Anforderungen, die an das System zu stellen sind.
  • Durch die hohe Modularität von Drupal-Kern und -Modulen werden Redundanzen vermieden, es ist weniger Source-Code nötig. Dadurch ist das Drupal CMS-System weniger verwundbar als andere.
  • Drupal hat eine sehr große, seit Jahren stark anwachsende Verbreitung. Die Installationsbasis (Anzahl Webseiten mit Drupal) ist weit größer als bei jedem kommerziellen CMS und größer als bei anderen Opens-Source-Software-Systemern mit vergleichbar hoher Funktionaliät. Siehe hierzu auch unter Verbreitung.
  • Drupal wird von kommerziellen Firmen und einer breiten Entwicklergemeinde unterstützt, ohne von einzelnen Firmen abhängig zu sein. Allein bei Amazon gab es letztlich bereits 17 Bücher über Drupal in deutscher Sprache . Auch das zeigt den vorhandenen breiten Support für Drupal.
  • Der transparente Umgang mit erkannten Sicherheitslücken im Drupal-Projekt. Es wird (bei Sicherheitslücken im nachhinein) alles offen gelegt und damit vergleichbar und bewertbar. Der Sicherheitsstandard ist als hoch zu bewerten.
  • Drupal-System und -Dienstleistungen sind beispielsweise von der zentralen Beschaffungsstelle GSA der US-Regierung zugelassen. Das bedeutet, Drupal darf ohne jede weitere Genehmigung von Regierungsstellen in den USA eingesetzt werden. Das wäre wohl kaum der Fall, wenn es bei Drupal Bedenken hinsichtlich der Sicherheit gäbe. So ist nicht nur die Webseite des Weissen Hauses selbst, www.whitehouse.gov, mit Drupal erstellt.