Joomla unsicher für Öffentliche Hand?

  • Hallo zusammen,

    ich mache als Nebenerwerb für kleine Unternehmen Homepages, auch für ein paar kleine Gemeinden (Dörfer). Alles seit Jahren problemlos. Jetzt hat eine solche Gemeinde einen Datenschutz-Consulting-Berater engagiert und der bemängelt, dass die Homepage der Gemeinde mit Joomla realisiert worden ist. Dieses System sei grundsätzlich nicht sicher und dürfe daher auch grundsätzlich nicht für Homepages für die öffentliche Hand benutzt werden.

    Man schiebt mir jetzt den schwarzen Peter in der Form zu, dass dieser Datenschutz-Fachmann zwar keinerlei näheren Angaben macht, warum und wieso Joomla grundsätzlich nicht verwendet werden dürfe und wo das nachzulesen wäre, aber ich ich soll jetzt das Gegenteil "nachweisen" können, dass Joomla verwendet werden darf.

    Super. Ich habe von dieser Theorie noch nie was gehört und wüsste jetzt nicht, wo ich da nachlesen könnte, bzw. wer da definitiv Bescheid weiß. Bei der Homepage handelt sich um eine kleine Seite, auf der keinerlei Daten verarbeitet werden, nicht mal ein E-Mail-Formular ist installiert. Eine reine Präsentation mit Infos und Werbung für das Dorf.


    Wer weiß mehr und kann mir helfen?


    mfG.....O.D.

  • Hi,

    ich habe keine Ahnung wie man solche Behauptungen widerlagen kann, aber ich habe mal ein bisschen gesucht nach Webseiten kleinerer Städte und Gemeinden, die mit Joomla! gemacht sind.

    Vielleicht ist das ja für Dich ein Stück Argumentationshilfe:

    Treffurt

    Boxberg

    Hessisch-Lichtenau


    Freundliche Grüße,

    Benno

  • Moin


    Wer eine Behauptung in den Raum stellt, der muss sie auch beweisen können, alles andere wäre Unsinn.


    Joomla nutzt das gleiche Fundament wie fast alle großen Systeme dieser Art. Das betrifft nicht nur die Basis (PHP / MySQL), sondern auch fast alle Programmiersprachen / Frameworks im Detail. Die Unterschiede sind an vielen Stellen kleiner als man denken mag. Und von einem Typo3 würde man auch erst einmal nicht behaupten das es unsicher ist.


    Die Probleme im Hinblick auf Joomla entstanden aus der Kombination vieler unbedarfter und unwissender Nutzer, mit schlecht geschriebenen Komponenten und dem Unwillen zeitnah Updates zu machen. Deshalb gab es überhaupt erst den fruchtbaren Boden für eine Vielzahl an Hacks. Aktuelle Seite bei denen sich die Besitzer kümmerten, waren davon überhaupt nicht betroffen. Klar, im Core wurde man zwischendurch auch immer wieder fündig, aber es wurde eben auch schnell reagiert.


    Es gab mal irgendwo eine Seite, auf der große (internationale) Projekte auf Basis von Joomla aufgelistet wurden. Wirklich überzeugen kannst Du aber wahrscheinlich nur mit einem Gutachter, aber ein öffentliches Sicherheits-Audit für Joomla wäre mir noch nicht bekannt. Vor dem Hintergrund einer reinen Visitenkarte im Netz die keinerlei persönliche Daten verarbeitet, wäre das aber sowieso Unsinn.


    Eventuell kannst Du etwas bewegen, wenn Du ansprichst das seine "Expertise" üble Nachrede für Dich darstellt, die er nicht belegen kann. Und das Du im Zweifel gewillt bist das vor Gericht korrigieren zu lassen. Gut möglich das der gute Mann dann schnell seine nicht belegbare Meinung revidiert und Du Deine Ruhe hast.


    Achtung, keine Rechtsberatung!

    Zitat

    Für die Strafbarkeit wegen übler Nachrede ist entscheidend, dass die Tatsachenbehauptung „nicht erweislich wahr“ ist, d. h. kein Wahrheitsbeweis vorliegt. Ist die Tatsachenbehauptung hingegen „erweislich unwahr“ und weiß der Täter um deren Unwahrheit, so handelt es sich nicht um eine (vermeintliche) üble Nachrede, sondern um eine Verleumdung nach § 187 StGB. Die Verleumdung ist rechtsdogmatisch eine Qualifikation zur üblen Nachrede.


    https://de.wikipedia.org/wiki/…ble_Nachrede_(Deutschland)

    Gruß Jan

  • Allerdings gehen und gingen viele Joomla-Benutzer ohne IT-Hintergrund relativ lax mit dem Theme Sicherheit um; vom Updaten, über die Wahl der Dritterweiterungen bis hin zum richtig konfiguriertem und gewartetem Server. Ich halte es für wahrscheinlich, dass sich dadurch der Ruf verbreitet hat. Man muss nur mal schauen, wie viele auch hier im Forum mit Hack-Problemen ankommen. Darum würde ich den Berater fragen, woher er seine Informationen bezieht und wie er sie belegt.


    Ein Sicherheitskonzept vorzulegen ist in jedem Fall keine schlechte Idee, um solchen grundlosen Behauptungen entgegen zu wirken, auch wenn kein CMS 100% sicher sein kann. Darin würde man verzeichnen, welche Dritterweiterungen man einsetzt, wie Updates erfolgen (in welchem Zeitraum), Backup-System etc.


    Im übrigen bietet Joomla ja jetzt die Möglichkeit von Datenschutz schon an Board sowie 2fa, das würde ich unbedingt mit anmerken.

  • Seine Tochter/Frau oder sein Sohn wird eine "WP-Agentur" betreiben

    Ja, das dachte ich auch spontan. Hätte aber eher auf Typo getippt :-)


    Erstmal vielen Dank für die schnellen Antworten. Mir ist bewusst, dass er, der die Behauptung aufstellt, auch beweispflichtig wäre. Andererseits bin ich kundenorientiert und will dem Bürgermeister jetzt nicht unhöflich kommen, sondern als Dienstleister ihm helfen, dieses Problem von unserer Seite aus zu lösen.


    Und für den Moment, wo ich mich dann mit dem Herrn anlegen muss, will ich genug Munition haben, um mich behaupten zu können.


    Ich hoffte, dass ich irgendwo im Web auf eine Art "Leitfaden für Behörden in Sachen Webpages" stoßen werde, finde aber da eigentlich nur vieles, was die Barrierefreiheit betrifft, oder Serverstandort BRD, aber nichts über Systemvoraussetzungen.


    Das Forum hier lebt ja richtig gut ... ich war auf joomlaportal, aber das ist ja irgendwie seit einiger Zeit tot. Super!



    cu...Ossi

  • Ja. In dem Fall ein Datenschutz-Experte. Ich nahm an, es geht weniger um die IT-Sicherheit als um DSGVO - in beiden Fällen ist es aber eine vollkommen falsche Behauptung.

    Joomla ist als System sicher - und in Bezug auf DSVGO ist es vorbildlich.


    Womit will der Datenschutz-Spezialist die Seite realisiert haben? Gibt es da etwas Interessenkonflikte?

    Ok, habe zurückgelesen :)


  • Schade dass immer wieder Menschen ohne Belege behaupten, dass bestimmte Software unsicher ist.

    Open Source wie Joomla sind, solange sie supported werden, vom Konzept her sicher, da der Quellcode offen steht.

    Einfach zu behaupten es sei unsicher ist unseriös.

    Ich freue mich, wenn du die Gemeinde bitten würdest, dass der Experte seine Quelle nennt. Die könntest du uns dann nennen, damit wir uns damit inhaltlich beschäftigen können. Dann werden wir sicher genug finden, den Experten zu widerlegen.

  • O.D. ich antworte einfach mal hier anstatt auf deine Mail, die du an info@joomla.de geschickt hast - dann haben alle was davon.


    Grundsätzlich ist die Aussage des sog. Datenschutz-Experten mal mindestens fragwürdig – wenn du dich hier aber auf eine Diskussion einlassen willst, kannst du auf die CMS Studie des BSI verweisen, in der verschiedene OpenSource CMS, darunter Joomla, auf ihre Sicherheit geprüft worden sind:

    https://www.bsi.bund.de/Shared…_blob=publicationFile&v=2


    Das für dich relevante Kernfazit findet sich dort unter 5.1.1:

    Zitat

    Zuerst darf festgestellt werden, dass die betrachteten Open Source Projekte nachweislich einen Sicher­heitsprozess implementiert haben. Die Software hat Produktcharakter mit einem veröffentlichten Release­plan, einem transparenten Bugtracker etc. Die Umsetzung eines Sicherheitsprozesses entspricht dem Stand der Technik, den selbst viele unter Zeitdruck erstellte kommerzielle Softwarepakete nicht erreichen. Die resultierende Software ist – gemessen an ihrer Funktionalität und der daraus resultierenden Komplexität – eine gute Wahl für einen Dienstanbieter.


  • Hallo Sniper,


    kapiert - alles klar. Das PDF ist fast genau das, was ich gesucht habe, damit kann man was anfangen. Seht gut, vielen vielen Dank!


    Keine Frage, dass dieser "Experte" hier fragwürdig ist. Aber er agiert von mir aus gesehen im "Unsichtbaren", da er nur mit der Gemeinde redet, nicht direkt mit mir. Habe ihn persönlich noch nicht gesehen. Soweit ich das einschätzen kann, generiert er Arbeit (und somit Probleme), die er dann ja aber auch abrechnen kann. Wir haben doch auch einige Kunden und nur bei einem einzigen gibt es (andere) Probleme mit dessen Consulting, aber bei allen anderen nicht.


    Habe jetzt im Laufe des Tages ne Menge gelernt und Dank Euch auch was in der Hand, jetzt setze ich da mal ein Schreiben auf und sehe dann, ob da überhaupt was zurück kommt, und wenn ja, ob da war argumentatives dabei ist. Ich werde berichten....


    Vielen vielen Dank für die schnelle Hilfe!



    cu....O.D.