Über das Projekt

Das Projekt t3secure.de wird von der MÜNSMEDIA GmbH im Rahmen eines Förderprojektes mit dem Titel "Entwicklung eines TYPO3-Vulnerability Scanners" realisiert. Die Förderung erfolgt durch den Europäischen Fonds für regionale Entwicklung (EFRE) und das Land Sachsen-Anhalt im Maßnahmezeitraum: 01.04.2021 – 31.07.2022.

Zielstellung

Der t3secure.de soll es Ihnen als Websitebetreiber ermöglichen ohne technisches Know-how herauszufinden, ob Ihre TYPO3-Installation noch aktuell ist oder nicht und welche Sicherheitslücken enthalten sind. Zudem können Sie Ihre Webseite für einen regelmäßigen Scan anmelden und werden dann über Sicherheitslücken sowie benötigte Updates informiert.

Der Hintergrund

Mindestens 1/3 aller TYPO3-Webseiten sind veraltet

Die Upgrades von einer Major-Version zur anderen gestalten sich bei TYPO3 regelmäßig besonders kompliziert und führen daher nicht selten zu erheblichen Kosten, die je nach Umfang einer TYPO3-Webseite auch die Kosten der initialen Erstellung übersteigen können. Neben den Kosten führt der arbeitsintensive Upgrade-Pfad dazu, dass eine Vielzahl von TYPO3-Instanzen erst spät oder gar nicht auf eine aktuellere Major-Version aktualisiert werden. Im April 2022 waren nach Zahlen der TYPO3-Association 28,80 % aller TYPO3-Webseiten auf TYPO3-Versionen, die von TYPO3 nicht mehr unterstützt werden. Weitere 47,97 % basierten auf Versionen, die sich im ELTS-Support befinden.

Gerade für Webseiten, die auf nicht mehr unterstützten TYPO3-Versionen basieren, ist das Risiko eines erfolgreichen Hacker-Angriffs als hoch einzustufen, obwohl TYPO3 international nur einen geringen Marktanteil bei den CMS hat. Laut einer Studie des IT-Sicherheitsdienstleisters Sucuri waren 2021 52 % aller infizierten CMS-Systeme zum Zeitpunkt des Hacks nicht aktualisiert. Zudem waren alle bei Sucuri eingereichten versuchten TYPO3-Instanzen zum Zeitpunkt der Infektion veraltet.[2] Eine regelmäßige Aktualisierung Ihrer TYPO3-Instanz senkt somit das Risiko einer Infektion erheblich und verbessert die Sicherheit Ihrer Daten und Ihres Servers.

Studien zeigen, dass 33 % aller Unternehmen weltweit einen Prozess zur Identifizierung, Nachverfolgung und Behebung von bekannten Sicherheitslücken Ihrer Systeme haben.[3] Nutzen Sie unseren kostenfreien t3secure um Sicherheitslücken aufzudecken und zu erkennen und integrieren Sie diesen in Ihr IT-Sicherheitskonzept. In unserer kostenpflichtigen Version t3secure Pro benachrichtigen wir sie bei neuen Sicherheitslücken automatisch per E-Mail. Bitte wenden Sie sich hierzu an unser Vertriebsteam.

Eigene Studie

Mindestens 42,75 % der untersuchten TYPO3-Webseiten weisen bekannte Sicherheitslücken auf

Im Rahmen des diesem Projekt zugrunde liegenden Bachelorarbeit mit dem Titel "Vergleichsbasierte Versionserkennung zur Verbesserung der Schwachstellendetektion bei webbasierten Content-Management-Systemen am Beispiel von TYPO3" haben wir über die Suchmaschine Shodan eine Liste von TYPO3-Webseiten erstellt. Diese wurde um die als Referenzen aufgeführten Seiten diverser TYPO3-Agenturen aus Deutschland, Österreich und der Schweiz ergänzt. Gesamt wurden 849 TYPO3-Webseiten automatisiert im Februar 2022 geprüft.

So waren von den 849 untersuchten Webseiten nur 396 durch ihre Version von keiner bekannten Schwachstelle betroffen. Im Gegensatz dazu waren jedoch 453 Webseiten von mindestens einem bis maximal 25 bekannten Schwachstellen (CVEs) betroffen. Mindestens 42,75 der TYPO3-Webseiten in unserer Untersuchung wiesen bekannte Sicherheitslücken auf. Da ELTS-Versionen nicht berücksichtigt wurden, kann der tatsächliche Wert zwischen 42,75 % und 54,3 % liegen.

3.000 Webseiten werden pro Tag gehackt

Täglichen werden nach Zahlen des Google Transparency Report bis zu 3.000 Webseiten weltweit manipuliert. Infizierte und manipulierte Webseiten haben erheblichen Einfluss auf Ihre Reputation als Webseitenbetreiber: Die Markenwahrnehmung verschlechtert sich, negative wirtschaftliche Effekte treten auf (Verlust von Kunden) sowie emotionale Ungleichgewichte (Unruhe). Zudem sind negative technische Folgen eines Hacks wie Blacklisting in Browsern (Nutzer können die Webseite nicht mehr aufrufen), Absturz des SEO-Ranks (Suchmaschinen blenden infizierte Seiten aus oder sortieren diese weit hinten in den Ergebnissen ein) und die Möglichkeit einer Infektion mit Schadsoftware der Besucher der kompromittierten Webseite zu benennen.
Dabei werden am häufigsten Webseiten mit Content Management-Systemen gehackt, da weltweit die meisten Webseiten auf einem CMS basieren. 99,99 % der Attacken auf Webseiten sind Sucuri und anderen IT-Sicherheitsspezialisten zur Folge sogenannte Gelegenheits-Attacken, bei denen eine bekannte Sicherheitslücke in einem CMS weitestgehend automatisiert ausgenutzt wird. Die Hacker haben es also nicht gezielt auf Ihr Unternehmen abgesehen. Ihre TYPO3-Webseite ist also schlichtweg zur falschen Zeit am falschen Ort. Es lassen sich dabei verschiedene Arten von Angriffen unterscheiden:

  • Verteilung von Schadsoftware
  • Suchmaschinenergebnisse verfälschen (Search Engine Poisoning)
  • Hosting von Phishing-Seiten zum Stehlen von Zugangsdaten von Nutzern (beispielsweise gefälschte PayPal-Seiten)
  • Versand von massenhaften E-Mails über den gekaperten Server (SPAM & Phishing)
  • Defacement: Änderung des Aussehens der Webseite
  • (D)DOS-Attacke: Server wird genutzt, um andere Server so lange anzufragen, bis diese unter der Last kollabieren/ nicht mehr antworten können
  • Ransomware: Hosting von Schadsoftware, die den Computer der Nutzer verschlüsselt und die Daten erst gegen Lösegeldzahlung wieder freigibt.

Problematisch bei der Infektion von Webseiten ist, dass diese aktuellen Zahlen Google zufolge lange unentdeckt bleiben. Die durchschnittliche Reaktionszeit der Betreiber liegt bei 60 - 90 Tagen. In dieser Zeit haben die Angreifer Gelegenheit weiteren Schaden anzurichten. Hier muss unbedingt schneller gehandelt werden.

Quellen

[2] 2021 Website Threat Research Report, Sucuri, S. 9, Abruf unter https://sucuri.net/wp-content/uploads/2022/04/sucuri-2021-hacked-report.pdf am 20.05.2022
[3] Sucuri Webinar "Agency Security", Abruf am 19.05.20222 unter https://sucuri.net/infographics/webinar-agency-security/