TYPO3 Sicherheits- und Datenschutzaudit
Letzte Änderung:
Abmahnrisiken wegen zustimmungspflichtiger Dienste
Mit den strengen Auflagen der Datenschutzgrundverordnung (DSGVO) und den damit verbundenen möglichen Abmahnungen durch Verbraucherschützer und Datenschutzbehörden wachsen in Organisationen finanzielle und rechtliche Risiken.
Wichtiger Bestandteil der DSGVO - und leider die Hauptursache für potentiellen Ärger - ist die Zustimmungspflicht ("consent") zur Weitergabe persönlicher Daten von Webseiten-Besucher. Sie umfasst viel mehr als nur Tracking-Cookies von googleAnalytics. Laut DSGVO gehört die IP-Adresse des Webseiten-Besuchers zu den persönlichen Daten. Diese Adresse ist aber zwingend erforderlich, um mit einem anderen System zu kommunizieren. Konkret heißt das:
Jeder Zugriff innerhalb einer Webseite auf einen Server, der nicht dem Webserver entspricht, ist zustimmungspflichtig.
Das betrifft neben den berüchtigten Tracking-Tools z.B.:
- das Einbinden von Schriftarten von externen Servern
- das Einbinden von externen Karten (z.B. GoogleMaps)
- das Einbinden von externen Videos (auch ohne Cookies!)
- das Einbetten von Social Media Beiträgen (nicht zu verwechseln mit der bloßen Verlinkung)
- das Einbinden von Fremdinhalten über einen iframe ( Wetter, Immobilienangebote, usw.)
- das Lead-Tracking mit Google Ads
- die Nutzung von Content Delivery Networks (CDNs) zur Beschleunigug von Webseiten
- das Einbinden von externen CAPTCHA-Funktionen als SPAM-Schutz
- die Nutzung externer JavaScript- und CSS-Ressourcen (ebenfalls aus Performance-Gründen)
- usw.
Was viele auch vergessen, ist die Nennung von Namen, Zweck und rechtliche Grundlage von externen Diensten/Ressourcen in der Datenschutzerklärung.
Technische Sicherheit
Aus technischer Ebene gibt es zahlreiche Punkte, die Sie beachten müssen:
Downgrade-Attaken
Ein Downgrade-Angriff zwingt Browser und Website auf ältere, unsichere Protokolle:
- Versuch mit http statt https auf die Website zuzugreifen
- Versuch mit einem veraltetem Verschlüsselungsprotokoll (TLS) auf die Website zuzugreifen
Content Security Policy
Die Content Security Policy (CSP) ist eine Sicherheitsrichtlinie, die im Browser durchgesetzt wird und festlegt, welche Inhalte eine Website laden und ausführen darf.
Mit einer CSP kann man genau steuern:
- von welchen Quellen Skripte, Styles, Bilder, Fonts, iFrames usw. geladen werden dürfen
- ob Inline-JavaScript erlaubt ist
- ob eval(), Inline-CSS oder unsichere Ressourcen blockiert werden
- ob nur HTTPS-Inhalte geladen werden dürfen
- ob iFrames eingebettet werden dürfen
- ob Inhalte in anderen Websites eingebettet werden dürfen (Clickjacking-Schutz)
Der Browser blockiert automatisch alles, was nicht den Richtlinien entspricht — bevor ein Angriff Schaden anrichten kann.
TYPO3- und PHP-Versionen
Bei einem TYPO3-Sicherheitsupdate sollte man sofort reagieren, weil diese Updates konkrete, bekannte Sicherheitslücken schließen, die Angreifer oft innerhalb weniger Stunden ausnutzen. Sobald TYPO3 ein Security Bulletin veröffentlicht, ist die Schwachstelle für jeden sichtbar – auch für Hacker. Das Zeitfenster für Angriffe öffnet sich dann sofort. Sie sollten daher immer den letzten TYPO3 Sicherheitspatch eingespielt haben.
Noch brisanter sind TYPO3 und PHP-Versionen, die nicht mehr im Long Term Support enthalten sind und keine Sicherheitsupdates mehr.
Das bedeutet:
- bekannte Sicherheitslücken bleiben offen
- Angriffe über SQL-Injection, XSS, RCE & Co. werden wahrscheinlicher
- Hosting-Anbieter sperren veraltete Versionen zunehmend
Aktuelle Versionen schließen genau diese Gefahren.
Das Sicherheitsaudit zur Risikenminimierung
Für die meisten Website-Betreiber ist es sehr schwierig herauszufinden, ob ihre Website und die damit verbundenen Prozesse datenschutzkompatibel sind.
Wir empfehlen daher regelmäßige Audits durchführen zu lassen. Regelmäßig deshalb, weil sich allein schon durch unbedachte, redaktionelle Änderungen Regelvertöße ergeben können. Das direkte Einbinden eines YouTube-Videos ist ein Beispiel dafür.
Mit unserem Angebot "Sicherheits-Audit für TYPO3-Websites" möchten wir Ihnen helfen, nicht nur die gesetzlichen Vorschriften einzuhalten sondern auch dafür Sorge tragen, dass mögliche Sicherheitslücken schnellst möglich geschlossen werden.
Kosten für ein TYPO3 Security-Audit
Bedenken Sie
| Unsere Leistung | Kosten* |
|---|---|
|
TYPO3 Security Audit
|
Aufwand: ca. 8.00 Std.
|
* sämtliche Preisangaben gelten zzgl. der gesetzlichen MwSt.
| TYPO3 Security Audit |
|---|
|
Kosten* Aufwand: ca. 8.00 Std.
|
* sämtliche Preisangaben gelten zzgl. der gesetzlichen MwSt.
- Vorgespräch
- Backend-Prüfung (Versionen, TYPO3-Einstellungen, potenzielle Sicherheitsrisiken, Datenminimierung etc.)
- Frontend-Prüfung (korrekter Cookie-Gebrauch, Einsatz externe Ressourcen, jQuery-Versionen, Usability-Vorgaben, etc.)
- Erstellung Audit-Dokument
- abschließendes Beratungsgespräch und Handlungsempfehlungen
Weitere Informationen zu diesem Thema
Welche Auswirkungen haben DSGVO und ihre deutsches Pendant TTDSG auf meine Website und wie kann ich diese möglichst gesetzeskonform berücksichtigen.
Hier erfahren Sie alles zum Thema Sicherheit & TYPO3: Sowohl für Administratoren als auch Redakteure relevant.
Mit unserer selbst entwickelten TYPO3 Cookie-Banner-Extension "wcm" schützen Sie die Privatspähre Ihrer User wirkungsvoll.