Sucuri.net hat seinen vierteljährlichen Report über gehackte Websites veröffentlicht. Diese Statistik an sich mag vielleicht nicht komplett unsinnig sein, vorausgesetzt die fehlenden Eckdaten wären auch publiziert worden, aber jegliche Interpretation und Schlussfolgerung daraus sind es definitiv. Warum, erkläre ich in diesem Artikel.
Worum geht es?
Sucuri.net hat eine Statistik erhoben über den prozentualen Anteil der Content-Management-Systeme gemessen an der Anzahl gehackter Websites. Der Report fokussiert dabei auf 4 CMS. Grundlage dafür war – und hier fängt es schon an – die von Sucuri.net bereinigten Websites, also die per Kundenauftrag inspizierten Websites. Die Gesamtanzahl dieser über 9.000 Websites splittet sich auf in 74 % WordPress, 16 % Joomla!, 8 % nicht defniert, 5 % Magento, 2 % Drupal, 0.32 % vBulletin und 0.19 % ModX.
Um meinen Artikel möglichst verständlich zu halten und nicht mit zu vielen Zahlen zu jonglieren, beschränke ich meine Ausführungen auf WordPress und Joomla!. 74 % der gehackten Websites gehören zu WordPress = 6869 Stück. 16 % der gehackten Websites gehören zu Joomla! = 1499 Stück.
Marktanteile
Nun muss man natürlich wissen und in Relation setzen, wie hoch die Marktanteile der beiden CMS eigentlich sind. Stand 1. Oktober 2016:
Weltweite Verteilung der CMS-Nutzung:
Ohne CMS: 54,7 %
WordPress: 26,7 %
Joomla!: 2,8 %
55,3 % aller Websites setzen ein CMS ein. Deren prozentuale Verteilung ist wie folgt:
WordPress: 58,9 %
Joomla!: 6.1 %
Die Relationen
Es gibt also 9,65 (58,9 / 6,1) mal mehr WordPress-Websites als Joomla!-Websites. Fairerweise müsste man nun die 1499 gehackten Websites mit 9,65 mulitplizieren, was eine Summe von 14.465 gehackter Joomla!-Websites entspricht, denen 6.869 gehackte Websites von WordPress gegenüber stehen. Also weit mehr als doppelt soviele gehackte Joomla!-Websites.
Oder einmal versinnbildlicht:
Eine Auto-Werkstatt veröffentlicht die Anzahl der Reparaturanfälligen PKWs der letzten 3 Monate. Von 100.000 zugelassenen Autos gehören 58.900 (58.9 %) zu Typ A und 6.100 (6.1 %) zu Typ B. Wen würde es in diesem Fall wundern, dass wesentlich mehr Autos des Typs A repariert wurden? Wohl niemanden.
Fehlende Eckdaten
In der Erhebung von Sucuri.net fehlen folgende wichtige Informationen, ohne die eine Schlussfolgerung schlicht unmöglich ist.
- Wie hoch ist der Marktanteil von Sucuri.net bei den entsprechenden CMS? Also, wie bekannt und frequentiert ist die Firma bei den CMS-Benutzern, von wievielen wird der Dienst prozentual genutzt?
- Wo ist die Unterscheidung zwischen Core-Hacks und gehackter Erweiterungen?
Last but not least: Prozent stammt von „per cento“ und bedeutet „von Hundert“. Rechnet man die Prozente der Sucuri.net-Statistik zusammen, ergibt das 105,51 %. Hm.
Noch etwas sollte man in die Waagschale werfen: Die Statistik wurde nicht von einer neutralen Stelle erhoben. Sucuri.net lebt von der Unsicherheit der Nutzer, bzw. von Sicherheitslücken in den Systemen. Wartungsverträge sind das Hauptstandbein der Firma. Und hier ist WordPress mit knapp 60 % Marktanteil der dicke Brocken.
Eine BSI-Studie von 2013 hat festgestellt, dass keine gravierenden Unterschiede zwischen den CMS in Punkto Sicherheit existieren. Das war immerhin ein 163 Seiten langer Report, der viele verschiedene Aspekte untersucht hat.
