Josselin HANEL.
FR EN DE
Öko-Modus
← Zurück zum Blog

Drupal: Wenn die Website Ihrer Gemeinde zur offenen Tür wird

securite eco-conception web

Letzte Woche wurde eine schwerwiegende Sicherheitslücke in Drupal entdeckt, der Software, die tausende französischer öffentlicher Websites betreibt. Universitäten, Rathäuser, Behörden. Und kaum jemand spricht darüber.

Was ist Drupal?

Es ist die Software, die "hinter" einer Website installiert wird, um deren Inhalte zu verwalten. Ein bisschen wie WordPress, aber von französischen Behörden seit Jahren bevorzugt eingesetzt.

Das Problem mit diesen Tools: Sie sind komplex, erfordern regelmäßige Updates, und wenn eine Sicherheitslücke entdeckt wird, wird sie oft ausgenutzt, bevor die Teams Zeit hatten zu reagieren. Genau das passiert gerade.

Die Lücke in verständlichen Worten

Ein wichtiger Hinweis: Die Lücke betrifft nicht alle Drupal-Websites, sondern nur jene, die PostgreSQL als Datenbank nutzen. Die Ironie dabei: PostgreSQL gilt als eine der zuverlässigsten Datenbanken überhaupt und ist nicht der Schuldige. Es ist Drupal, das die Daten, die es an PostgreSQL sendet, schlecht verarbeitet. PostgreSQL seinerseits tut genau das, was man von ihm verlangt.

Ein Hacker kann auf diese Datenbanken zugreifen, ohne Passwort, ohne Konto, ohne irgendetwas. Nur durch das Senden einer fehlerhaften Anfrage an die richtige Stelle.

Mehr als 15.000 Angriffsversuche wurden innerhalb weniger Tage auf tausenden Websites weltweit dokumentiert. Französische Websites (Universitäten, Kommunen, .gouv.fr) gehören zu den potenziellen Zielen.

Das eigentliche Problem

Diese Lücke wird geschlossen werden. Aber in zwei Jahren wird es eine neue geben. Das ist die Natur dieser Systeme: Je komplexer sie sind, desto größer ist die Angriffsfläche.

Die Frage, die kaum jemand stellt: Braucht eine Gemeinde oder ein Verein wirklich ein so schweres Werkzeug?

Eine Website, die Öffnungszeiten, Neuigkeiten und ein Kontaktformular veröffentlicht, kann anders gebaut werden. Einfacher, leichter, ohne eine im Internet exponierte Datenbank. Weniger Risiken, weniger Wartungsaufwand, geringere Kosten.

Das ist kein Wundermittel. Aber es ist ein Ansatz, der existiert, und der für viele öffentliche oder gemeinnützige Organisationen Sinn ergibt.

Wenn Sie eine Drupal-Website betreiben: Aktualisieren Sie sie jetzt (Sicherheitshinweis SA-CORE-2026-004). Wenn Sie Ihre Online-Präsenz hinterfragen, ist jetzt vielleicht der richtige Moment dafür.

Quellen: Offizieller Drupal-HinweisSecurityWeekThe Hacker NewsTenableBleepingComputer

Ähnliche Artikel

EmDash: Cloudflare bestätigt meine technischen Entscheidungen, geht aber nicht weit genug

Cloudflare hat gerade ein CMS als WordPress-Konkurrenz gestartet, gebaut auf Astro — genau die Technologie, die ich verwende. Es bestätigt Entscheidungen. Es löst nicht alles.

BrowserGate: LinkedIn scannt heimlich Ihre Browser-Erweiterungen

LinkedIn injiziert ein 2,7 MB großes Skript, das 6.000 installierte Browser-Erweiterungen erkennt und Ihre Hardware-Daten sammelt. Ohne Sie zu informieren.

Ein Projekt im Sinn?

Kontaktieren Sie mich gerne für ein kostenloses, unverbindliches Angebot.

Kontakt

+33 7 81 33 97 68

josshanel@gmail.com