Optimaler Schutz für Ihre Kundenprojekte

Optimaler Schutz für Ihre Kundenprojekte

Um einen optimalen Schutz zu bieten, informieren wir unsere Hostingkunden, Agenturpartner und Testaccount-Nutzer per E-Mail, im Kundencenter, im Blog sowie per Twitter über neue Software-Versionen und Sicherheits-Updates von Content Management Systemen, E-Commerce Lösungen oder Blog-Anwendungen.

Liegen – wie z. B. allein in der letzten Woche zwei Mal geschehen – kritische Sicherheitslücken in einer Webanwendung vor, so führt Mittwald CM Service auch ein automatisches Sicherheitsupdate für die betroffenen Dateien durch.

So können Systeme und Anwendungen schnellstmöglich auf einen sicheren Stand gebracht werden, ohne dass unsere Hostingkunden selbst Änderungen an Ihren Onlineprojekten durchführen müssen. Dieser Service steht Mittwald-Kunden für eine Vielzahl von Webanwendungen kostenlos zur Verfügung. Auf diese Weise können sie sich ganz entspannt der Erstellung und Pflege Ihrer Webseiten widmen und müssen sich auch im Urlaub, am Wochenende oder während eines Geschäftstermins keine Sorgen um die Sicherheit Ihrer Projekte machen.

Was unsere Mitarbeiter tun müssen, um diese proaktive Sicherheit für unsere Kunden zu gewährleisten, möchte ich Ihnen heute in diesem Blogbeitrag schildern.

Was passiert eigentlich genau beim Patchen?

Sobald eine kritische Sicherheitslücke in einer Anwendung bekannt wird, schützen wir alle betroffenen Kundenaccounts durch einen Patch vor möglichen Zugriffen durch Dritte. Denn die meisten kritischen Schwachstellen ermöglichen das Auslesen oder Verändern von Daten oder erlauben sogar einen Zugriff auf das Backend der Software. Deshalb wird bei kritischen Sicherheitslücken umgehend eine automatische Korrektur der betroffenen Dateien durchgeführt. Um diese Korrektur durchführen zu können, muss unser Sicherheitsteam zunächst feststellen, was sich genau geändert hat. Dazu muss ein Abgleich der aktuellen Version mit ihrer Vorgänger-Version erstellt werden.

Nachdem dies geschehen ist, wird aus den Informationen der eigentliche Patch entworfen. Allerdings enthält eine neue Version auch oft andere Änderungen, die nicht sicherheitsrelevant sind. Da ein Teil unserer Kunden diese Änderungen möglicherweise gar nicht durchführen möchte, müssen wir im Anschluss die nicht sicherheitsrelevanten Änderungen herausfiltern. Nun ist der Patch einsatzbereit. Darin steht vereinfacht gesagt: Suche die Zeile mit der Sicherheitslücke und ersetze sie mit dieser Korrektur. In manchen Fällen stellen auch die Entwicklerteams selbst einen fertigen Patch bereit. Dies erleichtert die Arbeit unseres Teams und ermöglicht eine schnellere Durchführung.

Ausführliche Tests für proaktive Sicherheit

Bevor der Patch jedoch auf vielen tausend Kundenaccounts zum Einsatz kommen kann, müssen unsere Sicherheitsexperten ihn zunächst auf zahlreichen Accountkonfigurationen testen. Berücksichtigt wird dabei neben der eingesetzten Software auch dessen Version, installierte Erweiterungen sowie die verwendete PHP-Version. Wenn sich nach den umfassenden Tests keine Probleme ergeben, wird der Patch auf die betroffenen Accounts eingespielt. Ein weiteres Tool prüft jedoch im Vorfeld, ob der Patch im Einzelfall die Sicherheitslücke erfolgreich beheben kann und spielt ihn nur ein, wenn ein vorheriger Testlauf („Dry run“) erfolgreich verlief.

Im Anschluss erhält unser Sicherheitsteam dann zwei Listen; eine mit den erfolgreich gepatchten Accounts und eine mit den Accounts bei denen – z. B. aufgrund von Änderungen des Kunden am Basissystem – der Patch nicht erfolgreich durchgeführt werden konnte. Diese Informationen verwenden wir dann für eine individuelle Benachrichtigung unserer Kunden per E-Mail.

Bei häufig verwendeten Anwendungen wie etwa TYPO3, werden bei einem Patchvorgang mehrere zehntausend Accounts automatisch geschützt. Die Erfolgsquote beim Einspielen von Sicherheitspatches liegt im Durchschnitt bei über 95 Prozent.

Der oben beschriebene Vorgang bedeutet für unser Sicherheitsteam einen enorm hohen Arbeitsaufwand. Doch dieser lohnt sich voll und ganz, wenn wir dadurch unseren Kunden einen bestmöglichen Schutz bieten können und so viele begeisterte Rückmeldungen erhalten. :-D

» Das nenne ich Service. Merci «

» Ich bin von Ihrem tollen Service immer wieder begeistert, durch Ihre zügigen Sicherheitsupdates kann man Extensionupdates endlich vornehmen, wenn die Zeit dafür da ist, statt laufende Projekte liegen lassen zu müssen. «

» Ich bin begeistert über diesen Service und Ihr Tempo. Danke! «

» Vielen Dank für Ihr Engagement und Ihren Service zur TYPO3-Sicherheit. «

» Ich kann nur eines sagen: Ich bin begeistert! «

Kommentare

  1. Freddie M. am

    Was macht ihr mit den 5 % die nicht gepatcht werden können?

    Die Erfolgsquote beim Einspielen von Sicherheitspatches liegt im Durchschnitt bei über 95 Prozent.

    Antworten
    1. Kristina Dahl am

      @Freddie M.:

      Kunden, bei denen ein Patch nicht eingespielt werden konnte – etwa wegen Änderungen von Kundenseite am Basissystem – werden selbstverständlich von uns persönlich benachrichtigt.

      Wir empfehlen ihnen dann die zeitnahe Aktualisierung ihrer Installationen. Natürlich steht unser Kundenservice ihnen dabei mit Rat und Tat zur Seite. :-)

      Antworten
  2. Martin Färber am

    Als ich im Urlaub war, fand ich es äußerst angenehm, dass ich meinen Caipi in Ruhe weitertrinken konnte und mich nicht um TYPO3 kümmern musste.Danke dafür! :-)

    Antworten

Kommentar hinzufügen