Software aktualisieren, Sicherheit erhöhen

Veröffentlicht am 19.11.2012 von Dietmar Leher

Eine permanente Prüfung und zeitnahe Aktualisierung mit der von den Herstellern zur Verfügung gestellten Updates ist unerlässlich, um einen reibungslosen Betrieb Ihrer Webseite, Community, Blogs oder Shops sicherzustellen und - im hoffentlich nicht eintretenden Fall - dem Angreifer damit vielleicht den entscheidenden Schritt voraus zu sein.

Laut einer Umfrage der Marktforscher YouGov unter Anwendern aus Deutschland, den USA und Großbritannien aus dem vergangenen Juli ist fast jeder Zweite Anwender jedoch ein Update-Muffel. 25 Prozent davon sehen keinen Nutzen durch die Aktualisierung ihrer installierten Programme und ebenfalls ein Viertel weiß nicht, wie Sie selbst prüfen können, ob Ihre Programme aktuell seien. Diese Umfrage betraf zwar "nur" den Rechner zu Hause, lässt sich aber auf Onlinesysteme sicher übertragen.

Die Frage des Mehrwertes sollte vermeintlich ganz einfach zu beantworten sein, denn im Regelfall werden mit einem Update nicht nur eine oder mehrere vorhandene Sicherheitslücken geschlossen, sondern auch Fehlverhalten an anderen Stellen. Selbst bei Updates die nur Fehlerbehebungen beinhalten, die noch so trivial erscheinen, so können diese dadurch vielleicht bereits ein Problem verhindern, dass unter bestimmten Konstellationen zu einem Fehler oder gar einer Lücke geführt hätte.

Beim Einsatz von einer Software wie etwa dem Wordpress-Blog ist auch die zweite Frage relativ einfach beantwortet, denn nach dem Login zeigt Wordpress direkt an, ob für diese Version ein Update existiert und es kann mit wenigen Klicks heruntergeladen und installiert werden. Auch für eingesetzte Plugins/Erweiterungen steht dieser komfortable Weg zur Verfügung.

Nicht verwendetet Plugins, Erweiterungen und Themes sollten deaktiviert und am besten komplett entfernt werden. Dadurch entfällt deren Prüfung auf Aktualität und das System wird nicht "zugemüllt" mit überflüssigen Dingen.

Weiterhin gibt es Mailinglisten, in die man sich eintragen lassen kann und die einen darüber informieren, sobald eine neue Version einer Software zur Verfügung steht. Ebenfalls gibt es spezielle Seiten, die sich auf ein oder mehrere CMS, Shops etc. spezialisiert haben und dazu ebenfalls einen eigenen Newsletter und/oder RSS-Feed und/oder Tipps bereitstellen, das System abzusichern. Ohne persönliche Wertung möchten wir dafür zwei Beispiele nennen:

• Die Webseite Joomla Security: www.joomla-security.de
• Den TYPO3 Security Guide auf: typo3.org/extension-manuals/doc_guide_security/current/

Uns ist natürlich bewusst, dass bei umfangreichen Webseiten oder auch Shops nicht ohne weiteres ein automatisches Update eingespielt werden kann. Es muss separat getestet werden, ob Funktionen verloren gehen, Änderungen an Standardoptionen vorgenommen werden oder individuell geänderte Templates und Designs danach noch einwandfrei funktionieren. Vor einem Update empfiehlt es sich auch, ein Backup der Webseite(n) und Datenbank(en) zu erstellen.
Wir möchten aber dennoch zeigen, dass es von vielen Herstellen schon recht komfortable Möglichkeiten gibt, herauszufinden, welche Version man einsetzt und ob diese aktuell ist.

Auch auf dem privaten Rechner sollten regelmäßig die Updates des Betriebssystems und der installierten Software vorgenommen werden. Dazu zählen nicht nur die Aktualisierungen des Virenscanners, des Browsers inkl. der installierten Plugins, von PDF-Readern oder dem Flashplayer, dem FTP- und E-Mail-Programm, sondern auch allen anderen Programmen, die nichts direkt mit dem "surfen" im Internet zu tun haben. Darauf gehen wir in unserem vierten Beitrag noch in dieser Woche ein.

Die bislang veröffentlichten Einträge zum Thema Sicherheit bei Webanwendungen:

• Skript-Sicherheit mittels PHP.INI erhöhen
• Sicherheit auf dem Webserver erhöhen