Drupal-Modul SIWECOS

Lösungen

Zusammenfassung

Rund 97% aller Cyberangriffe bei KMUs erfolgen auf Sicherheitslücken der Website.
SIWECOS ist ein aus Bundesmitteln geförderter kostenloser Service, der Websiten auf deren Sicherheit überprüft und allen zur Verfügung steht, die eine öffentlich erreichbare Website betreiben. Weil solche Informationen dorthin gehören, wo der Gesundheitszustand eines Webprojekts regelmäßig überprüft wird, integriert das Drupal-Modul SIWECOS den Report der Sicherheitsscans ins Drupal-Backend und generiert ein Prüfsiegel, das Seitenbesuchenden signalisiert, dass man sich um Sicherheitsthemen kümmert.

Projektbeschreibung

SIWECOS ist ein kostenloser Service, der Websiten auf deren Sicherheit überprüft und allen zur Verfügung steht, die eine öffentlich erreichbare Website betreiben. Der Name ist nicht unbedingt der Knaller, zugegeben. Die Abkürzung steht für “SIchere WEbsites und COntent-management-Systeme”.

Ein Schnellscan kann niedrigschwellig gestartet werden, dessen Resultat innerhalb von 2 Minuten vorliegt und konkrete Angaben zu den einzelnen Parametern liefert: Unsichere Scripte/Bibliotheken, Header, Zertifikate, Plugins und andere Faktoren werden einzeln bewertet, Fehler und Lecks gemeldet sowie Hintergrundinformationen bereitgestellt. So können gefährliche Datenpannen und Sicherheitslücken sofort identifiziert und beseitigt werden.

Zusätzlich zu dieser kurzen Routinekontrolle, für die keine Registrierung notwendig ist, kann man sich anmelden, um weitere Funktionen wie den täglichen Sicherheitscheck, automatische Benachrichtigungen beim Fund einer kritischen Schwachstelle und umfangreiche Hilfestellungen zu erhalten. Damit wird eine dauerhafte und gebührenfreie Überwachung gewährleistet.

Die Kernfunktionalität der Drupal-Integration ist schlicht:
* Durchreichen der Credentials
* Automatisches Beziehen + Integration des Tokens
* Report im Backend an den passenden Stellen sichtbar machen
* Das SIWECOS-Prüfsiegel generieren und als Block bereitstellen

Das Prüfsiegel, das als Block an beliebiger Stelle platziert werden kann, ist mit einer öffentlich überprüfbaren “Gegenstelle” auf siwecos.de verlinkt, z. B. https://siwecos.de/scanned-by-siwecos/?data-siwecos=www.hexabinaer.de

Eine weitere Komponente, die im Hintergrund wirkt, ist der Hoster-Service. Da die Zeitfenster zwischen dem Bekanntwerden einer Sicherheitslücke und den automatisierten Angriffen immer kürzer werden, stellt das Projekt authentifizierten Webhostern aktuelle Web Application Firewall Rules zur Verfügung. Ähnlich wie Drupal Steward, aber kostenlos und schon ein paar Jahre länger.

Das Projekt wurde im Zuge der von der EU 2016 beschlossenen Datenschutz-Grundverordnung ins Leben gerufen, um Angriffen im Internet entschlossen den Kampf anzusagen und die Entwicklung von Technologien dafür zu supporten. Zunächst zeichnete der eco-Verband dafür verantwortlich, in Zusammenarbeit mit dem CMS Garden, der Ruhr-Uni Bochum und einem IT-Security-Startup. Gefördert wurde das Projekt vom bundesdeutschen Ministerium für Wirtschaft und Energie im Rahmen der Initiative “IT-Sicherheit in der Wirtschaft”. Seit 2021 hat der CMS Garden e. V. die Schirmherrschaft für die langfristige Fortführung des Projekts übernommen.

Die Sensibilisierung der breiten Öffentlichkeit für das Security-Thema durch Aufklärung einerseits und das Angebot zur praktischen Unterstützung jeglicher Gesellschaftsschichten andererseits sind wichtige Aspekte digitaler Souveränität und gelebter Demokratie.

Projektziele und -ergebnisse

Die Drupal-Integration hilft dabei, mehr Aufmerksamkeit für den sicheren Betrieb von Websites zu schaffen. Die initiale Öffentlichkeitsarbeit zielte stark auf kleine Unternehmen und den Mittelstand. Es hat sich gezeigt, dass Informationen im Backend aus dem initialen Interesse ein nachhaltiges Thema machen.
Durch die grafische Darstellung mit Ampelprinzip liefert das Modul auch eine gewisse Gamification, die Anreize setzt, ein möglichst hohe Punktzahl zu erreichen - also eine möglichst hohe Sicherheit der betriebenen Website.

Herausforderungen

keine :-)

Community-Beiträge

Das Modul ist ein Community-Beitrag an sich; die Entwicklung erfolgte auf ehrenamtlicher Basis. Alle Contributors sind in der Community wohlbekannt für ihr Engagement (sanduhrs, hexabinaer, C-Logemann, tobiasb, Grienauer, luckow). https://www.drupal.org/project/siwecos

Außerdem sind die meisten Contributors auch im CMS Garden aktiv und haben schon eine Weile am Aufbau und/oder an der Verbesserung von SIWECOS an sich mitgewirkt. https://github.com/SIWECOS

Warum sollte dieses Projekt die Splash Awards gewinnen?

Wie der Vorjahresgewinner Betterembed ist SIWECOS ein schönes Beispiel für CMS-Community-übergreifende Zusammenarbeit, um gemeinsam mehr zu erreichen.
Drupal ist das dritte Open-Source-CMS mit einer SIWECOS-Integration (nach Joomla! und WordPress), weitere CMS “sind dran”. Die Infrastruktur für die Zusammenarbeit sowie die juristische Projektverantwortung stellt der gemeinnützige CMS Garden e. V. (https://www.drupal.org/cms-garden-ev).

JustSnipy, Mitglied des Joomla!-Security-Teams und SIWECOS-Team-Lead, hatte sich bereits anlässlich DrupalGeddon einen Account auf Drupal.org erstellt, um bei der Schadensbegrenzung mitzuwirken. Er versorgt im Rahmen von SIWECOS teilnehmende Webhoster mit Security-Firewall-Rules und hat auch Unterstützung bei der Entwicklung des Drupal-Moduls geleistet.
Außerdem wäre ein Award ein schönes Signal in Richtung der Bundesregierung, dass öffentliche Fördermittel in Open-Source gut investiert sind.