Immer häufiger liest man in den Medien von gezielten Hacks und Attacken auf populäre Software-Plattformen, Datenbanken und Content Management-Systeme. Denn gerade Software, die von vielen Anwenderinnen und Anwendern genutzt wird, kann für Hacker ein lohnendes Ziel sein, um persönliche Daten zu erbeuten.

Als serverbetriebene Software ist theoretisch auch ILIAS durch solche Attacken bedroht. Damit es jedoch gar nicht erst so weit kommt, arbeiten wir hart daran, Fehlern vorzubeugen und bekannt gewordene Lücken rasch zu schließen. Zusammen mit dem Technical Board haben wir eine kleine FAQ angelegt, wie bei ILIAS mit Sicherheitslücken umgegangen wird.

Wie soll man sich verhalten, wenn man eine Sicherheitslücke entdeckt?

Security Bugs sollten auf keinen Fall einfach in Mantis gemeldet werden! Denn dort kann sie theoretisch auch von potentiellen Angreiferinnen oder Angreifern gelesen und ausgenutzt werden. Aus diesem Grund ist es immer unser Ziel, zunächst in einem kleinen Rahmen die Lücken schließen und die Admins entsprechend zu informieren, bevor Informationen über die Schwachstelle an die Öffentlichkeit gelangen. Wir bitten Euch daher, solche Meldungen ausschließlich an security@lists.ilias.de zu senden!

Natürlich sind wir auch froh, wenn Lösungen mitgeliefert werden. Zu beachten ist allerdings, dass auch unser Repository öffentlich ist: Commits, Commit-Messages und Pull-Requests sind für alle einsehbar. Daher ist auch für diesen Fall das beste Vorgehen, eine Meldung an security@lists.ilias.de zu schicken, um die weiteren Schritte mit uns abzusprechen.

Was passiert nach so einer Meldung? Wie läuft der weitere Prozess ab? Was macht das Technical Board?

Nach einer Meldung stellen wir die Sicherheitslücke umgehend im Technical Board zur Diskussion. Sobald jemand von uns den Fehler reproduzieren kann, legen wir ein Security-Ticket in einem geschützten Bereich von Mantis an. Die technischen Aspekte werden dort weiterdiskutiert.

Fragen über das weitere Vorgehen diskutieren wir auch danach direkt im Technical Board. Sobald der Fehler behoben ist, wird der Fix umgehend in Git veröffentlicht - allerdings ohne spezielle Markierung als Security Fix. Außerdem wird zeitnah ein neues Release gepackt.

Wie werden die ILIAS-Administratorinnen und Administratoren vor Ort informiert und was müssen diese beachten?

Die Admins werden über unsere neue Mailingliste ilias-admins@lists.ilias.de informiert. Wenn eine Sicherheitslücke in einer bestimmten ILIAS-Version identifiziert und gefixt wurde, empfehlen wir dort allen Admins, ein Update möglichst schnell vorzunehmen.

Wer noch nicht auf der Liste ist, kann sich hier eintragen: http://lists.ilias.de/cgi-bin/mailman/listinfo/ilias-admins

Welche Maßnahmen werden ergriffen, um Sicherheitslücken vorzubeugen?

Wir unterscheiden zwischen reaktiven und proaktiven Maßnahmen: Teile der reaktiven Maßnahmen wurden oben beschrieben. Außerdem folgt auf den Fix einer Sicherheitslücke stets eine Analyse, wie es zu diesem Problem kommen konnte und wie wir ähnliche Probleme in Zukunft verhindert können.

Als proaktive Maßnahme planen wir, möglichst bald externe Penetrationstests auf ILIAS durchführen zu lassen. Hier sind wir aber noch recht früh in der Abklärung und müssen erst noch ein paar Rahmenbedingungen klären - unter anderem, was die Finanzierung angeht.