Es ist eine Wahrheit, vor der wir uns manchmal gerne verschließen, aber keine Software ist absolut sicher. Unsere moderne Software ist nicht mehr nur ‘ein’ Programm, sondern eine Anzahl von oft unabhängigen Einzelbausteinen, welche zusammen die Tools, Applikationen und auch Webauftritte bilden, welche so normal für unseren Alltag geworden sind, wie man es sich vor noch 20 Jahren nicht hätte träumen lassen.

Man kann also getrost sagen, dass Ihre Webseiten aus dem Fachwissen von 50 Jahren Informatik aufgebaut sind. Und die ihre Einzelteile werden von Tausenden oft freiwilligen Enthusiast*innen gepflegt und weiterentwickelt.

Gerade an den Schnittstellen kann es hier aber zu Fehlern kommen, welche ausgenutzt werden können, um die Software Dinge tun zu lassen, welche „nicht im Sinne des Erfinders“ – oder in Ihrem Falle des Anwenders stehen. Daher ist es immens wichtig, Software – sowohl die auf dem Webserver als auch die auf Ihrem Tablet, Smartphone oder Computer – aktuell zu halten. Nur so können alle Teile zusammenspielen und vor bösen Überraschungen schützen.

Am 7. Februar 2023 wurde eine solche Sicherheitslücke im TYPO3 System bekannt. Diese Lücke lag in der Übergabe der Daten zwischen Webserver und PHP (Programmiersprache von TYPO3) und dann in der Verwendung dieser Daten in TYPO3. In dem Sinne etwas „falsch“ hatte dabei keines dieser drei Teile (Webserver, PHP und TYPO3) gemacht, denn was hier passierte, war genau so gewollt. Allerdings konnten findige Sicherheitsforscher Befehle in diese Kette einschleusen, welche dazu geführt haben, dass andere Inhalte auf eine Webseite mit ausgespielt werden konnten.

Von diesem Problem können auch andere Webapplikationen in anderen Programmiersprachen betroffen sein, aber das Entwicklerteam um TYPO3 hat es geschafft, innerhalb weniger Tage nach Bekanntgabe dieser Sicherheitslücke eine Korrektur zu entwickeln, welche es erlaubt, durch ein einfaches Update des TYPO3 Systems, das Problem zu umgehen: Also gewollte Informationen durchzulassen und falsche zu entfernen. Diese Korrektur wurde der Allgemeinheit am 7. Februar 2023 um 12 Uhr zur Verfügung gestellt und wir können berichten, dass nur eine Stunde später 90% unserer Kunden dieses Sicherheitsupdate aufgespielt bekommen hatten – dank unserer automatisierten Publish-Systeme. Bis 18 Uhr an diesem Tag waren alle unsere Kunden wieder sicher.

Die Websites in unserem Portfolio sind größtenteils mit TYPO3 umgesetzt. Schauen Sie vorbei: Portfolio