Warum Drupal die notwendige Sicherheit im modernen Web bietet
Drupal lebt nicht nur für Content-Management, sondern das System ist gleichzeitig der Sicherheitsgurt für Ihr Web-Projekt.
Beim Betrieb einer Webseite gibt es im Internet des 21. Jahrhunderts zahlreiche Möglichkeiten, von Sicherheitslücken betroffen zu sein. Wer auf Drupal setzt, bekommt nicht nur eines der vielseitigsten, sondern auch eines der weltweit sichersten Frameworks für den Betrieb – und das komplett lizenzkostenfrei.
Investitionen in Sicherheit sind Investitionen in Lebensqualität
In einem Relaunch-Projekt hatten wir das Refactoring eines Features der Bestands-Webseite mit einer Aufwandsschätzung versehen. Es stellte sich heraus, dass unsere Schätzung deutlich höher lag als der ursprüngliche Betrag, der in das Feature seinerzeit investiert wurde. Auf meine Rückfrage bei unseren Senior Backend Devs, warum das so sei, kam eine einleuchtende Erklärung.
Die genaue Funktionsweise des Features war uns zunächst nicht bekannt. Entsprechend mussten wir diese erst einmal komplett und in allen Einzelheiten nachvollziehen, um die erwartete Funktionalität aus dem alten Drupal 7 System im Drupal 9 / 10 Relaunch vollständig nachbilden zu können. Dazu ist Abstimmungs- und Demonstrationsarbeit notwendig. Zudem war die Art und Weise, wie das Feature ursprünglich umgesetzt wurde, zwar pragmatisch gewählt, wies jedoch darauf hin, dass die Personen, die den Code geschrieben hatten, sich mit Drupal nicht auskannten. Funktionsweisen des CMS wurden teilweise umgangen.
An anderer Stelle wurden Einzelheiten des Features so umgesetzt, dass Bedrohungen hätten entstehen können, wenn beispielsweise eine PHP-Sicherheitslücke bekannt und ausgenutzt worden wäre, die einen Zugriff auf unverschlüsselte Dateien im Web-System ermöglicht. All das sind Risiken, die wir unsere Kund:innen nicht aussetzen.
Oder wie Frank es gerne formuliert: Unsere Kunden schlafen nachts ruhig.
Ein simpler Vergleich
Um zu der Frage zurückzukommen, warum unsere sorgfältige Arbeit zumindest im Voraus größere Investitionen erfordert, blicken wir zum Vergleich auf die Automobil-Industrie.
Der VW Käfer war insbesondere seit den 50er-Jahren und für mehrere Jahrzehnte danach in der Bundesrepublik der Standard schlechthin für ein bezahlbares, erfolgreiches und praktisches Auto, das den Bedürfnissen der meisten gerecht wurde. Er war für einige Tausend D-Mark zu haben und ermöglichte zu günstigen Unterhaltskosten der breiten Masse die notwendige Mobilität.
Außerdem hatte er insbesondere zum Anfang seiner langen Bauzeit kein ABS, kein ESP, keine Sicherheitsgurte, keine Kopfstützen, keine Fahrassistenzsysteme, keine Diebstahl-Warnanlage und keine Airbags. Viele dieser Merkmale gehören heutzutage zum absoluten gesetzlich vorgeschriebenen Mindest-Standard, den ein Kfz erfüllen muss, um eine Zulassung zu bekommen. Der Straßenverkehr entwickelt sich weiter, er wird immer dichter und die Fahrzeuge werden schneller. Trotzdem gehen Unfallzahlen mit tödlichem Ausgang zurück und liegen bei Bruchteilen der Werte der 1960er und 1970er-Jahre.
Der Grund für diese Entwicklung ist klar: die Sicherheitsstandards steigen. Sie entwickeln sich dauerhaft weiter, orientieren sich an besonders erfolgreichen Innovationen der Branche und die Messlatte der Mindestanforderungen ist in ständiger Aufwärtsbewegung.
Betrachten wir im direkten Vergleich einen Golf der 2020er-Jahre. Das Modell gilt als der „geistige Nachfolger“ des Käfers – massentauglich, immer auf dem Stand der Technik und millionenfach gebaut.
Alle zuvor genannten Sicherheitsmerkmale sind selbstverständlich serienmäßig integriert. Zudem sind weitere moderne Assistenz-Systeme wie Innenraumüberwachung, Spurhalteassistenten, Abstandsradar, Insassenschutz-Systeme und vieles mehr verfügbar. Das Investment in solch ein Fahrzeug bewegt sich jedoch eher im Umfeld von 40.000 Euro.
Das Web steht nicht still
Die zuvor gezeigten Entwicklungen lassen sich direkt auf das World Wide Web übertragen. Sicherheitsstandards entwickeln sich auch hier laufend weiter. Der Datenverkehr kennt nur den Trend nach oben, und mit der Menge der User steigt auch die Zahl derjenigen, die „Übles im Schilde führen“ und permanent versuchen, neu entdeckte Sicherheitslücken zu missbrauchen.
Drupal ist dabei immer am Puls der Zeit. Neue Major-Versionen basieren auf den aktuellsten Versionen von PHP und Symfony, um von Grund auf die wichtigsten Angriffspunkte minimieren zu können. Das Drupal Security Team sorgt regelmäßig dafür, dass sowohl der Drupal-Kern, als auch die zahlreichen wichtigen und beliebten Contrib-Module mit den hohen Sicherheitsstandards des CMS überein stimmen.
Wenn die zur Verfügung stehenden Core- und Contrib-Module von Drupal nicht genügen, um die gewünschte Funktionalität umzusetzen, entwickeln wir erdfische Custom-Module, Patches oder andere plugin-artige Zusatzfunktionen. Jede neu zu implementierende Funktion für eine Drupal-Webseite wird hierbei streng gemäß der Drupal Coding Standards entwickelt und per Contribution an die Community zurückgespielt.
Die Coding-Standards des Frameworks zu umgehen oder auszuhebeln, ist jedoch nie eine Option für uns. Sonst entstünde sogenannter „Spaghetticode“, der Potenzial für sicherheitsrelevante Probleme bieten kann. Es wäre möglich, dass diese Lücken dann über den regulären Update-Prozess nie beseitigt würden. Solche Praktiken sind grob vergleichbar damit, wenn eine kaputte Sicherung im Stromverteilerkasten einfach mit einer Büroklammer oder einem Stück Alufolie überbrückt wird. Zwar funktioniert die Lösung und kann theoretisch auch für längere Zeit gut gehen, aber wenn man den „Workaround“ vergisst und sich nicht mehr um eine ordentliche Lösung bemüht, wachsen die Sicherheitsrisiken mit jedem Tag.
Wartung und Updates
Erfahren Sie hier mehr über das Thema Drupal und Wartung.
Der Preis für schlechte Qualität wird später gezahlt
Wir erdfische gewinnen bei Weitem nicht jede Ausschreibung, auf die wir bieten oder erhalten auf jede Projektanfrage den Zuschlag. Nicht selten ist der Grund dafür, dass die Konkurrenz einen scheinbar unschlagbar günstiges Preis für das Projekt aufgerufen hat – möglicherweise schon direkt nach der ersten Anfrage anhand eines konkreten Festpreisangebots.
Wer schon mit uns gearbeitet hat oder sich bei der Agentur-Auswahl ein wenig Zeit nimmt, weiß, dass wir uns bereits im Vorfeld sehr viele Gedanken machen und noch mehr Fragen stellen, uns über das Projekt unterhalten und die Beweggründe und Ziele des Kunden verstehen wollen. All das ist für uns eine unverzichtbare Voraussetzung, um eine realistische Einschätzung für den zu erwartenden Projekt-Umfang vornehmen zu können und nicht einfach ohne belastbare Grundlage Preise zu nennen.
Eine realistische Einschätzung des Projekts und auch der zu erwartenden Kosten ist für uns eine Grundvoraussetzung für den Beginn einer erfolgreichen Zusammenarbeit. Denn nur so können wir unserem Anspruch gerecht werden, nach erfolgter Beauftragung mit unseren Kund:innen zusammen auch wirklich das für alle Seiten bestmögliche Projekt zu entwickeln und dauerhafte Wartbarkeit, Zuverlässigkeit und auch Sicherheit zu gewährleisten.
Der Volksmund hat seine Gründe für Sprüche wie „Wer billig kauft, kauft zwei Mal“. Denn die möglichen Folgekosten für ein ausgenutztes Datenleck, Datenverluste oder auch nur längere Zusammenbrüche und Downtimes des eigenen Websystems, insbesondere aber für entwicklungstechnische Sackgassen, in welche man sich aufgrund unterschätzter Komplexität und falsch kalkulierter Aufwände manövrieren kann, sind unter Umständen sehr viel höher, als es ein etwas größeres initiales Investment für den „richtigen“ Projektansatz gewesen wäre.
Ist "Closed Source" auch so sicher?
Ein interessantes und ambivalentes Gegenbeispiel sind „Closed Source“ Systeme, also von privaten Firmen entwickelte, kommerzielle Produkte mit nichtöffentlichem Quellcode. Diese verfügen in der Regel auch über einen hohen Sicherheitsstandard, solange sie aktiv weiterentwickelt werden und das Sicherheitsteam des Anbieters sich darum kümmert. Wenn jedoch anderen Personen Lücken und Probleme daran auffallen, sind die Feedback-Kanäle und Prozesse oft lang, außerdem obliegt es allein dem Ermessen des Anbieters, ob er die Lücke schließen möchte. „Contributions“ wie bei einem Open-Source-Projekt sind nicht möglich, da der Code nicht öffentlich ist, sondern Betriebsgeheimnis.
Wenn ein System sich für den Anbieter finanziell nicht mehr lohnt, von einem Nachfolgeprodukt abgelöst wird oder der Anbieter gar vom Markt verschwindet, kann es zudem passieren, dass jegliche Weiterentwicklungsarbeit und / oder Support am fraglichen System eingestellt wird. Betreiber des Systems haben dann keine andere Möglichkeit als einen Wechsel auf das neue Produkt oder ein Konkurrenzprodukt einer anderen Firma, denn eine weitere Nutzung kann sehr gefährlich werden oder ist vielleicht auch gar nicht mehr möglich, weil der Dienst vom Netz genommen wird.
Ein besonders bekanntes Beispiel für aus dem Support genommene Software sind ältere Versionen von Desktop-Betriebssystemen. Wer beispielsweise immer noch einen Rechner mit Windows XP besitzt, sollte diesen heutzutage auf keinen Fall mit dem Internet verbinden.
Natürlich gibt es veraltende Versionen auch in der Drupal-Welt – aber hier verursacht kein Upgrade Lizenzkosten und auch der Prozess der Aktualisierung auf eine neue Major-Version wird immer mehr vereinfacht.
Fazit
Drupal ist eines der größten Open Source CMS der Welt, insbesondere auch gemessen an der Größe der dazu beitragenden Community. Dadurch entsprechen die Sicherheitsstandards dauerhaft den höchsten Ansprüchen des modernen Internets; ganze Teams in der Szene widmen sich ausschließlich dem Thema.
erdfisch blickt auf über 18 Jahre professionelle Erfahrung mit dem System und arbeitet ausschließlich innerhalb der offiziellen Coding-Standards.
Interesse geweckt? Auf Wunsch bieten wir eine Untersuchung („Audit“) Ihres Drupal-Systems an und decken mögliche Mängel auf, auch hinsichtlich der Sicherheit.