Security Incident Reports: Wenn DDoS auf TYPO3 trifft

Hier finden Sie Vorlagen für Berichte über Sicherheitsvorfälle. Wir zeigen Ihnen Hilfen bei DDoS Angriffen. Und wir erklären die Regeln für Meldungen bei TYPO3.
Kurt Dirnbauer
Kurt Dirnbauer
CEO
Stable
SecurityTYPO3DevOpsOpen Source

Auf einen Blick

  • Angriffe aus dem Internet werden immer schwieriger. Sie müssen immer schneller reagieren. Ein Security Incident Report ist ein Bericht über einen Sicherheitsvorfall. Dieser Bericht ist sehr wichtig für Ihre Sicherheit.
  • Wir haben gute Vorlagen für Berichte nach einem DDoS Angriff. DDoS ist ein Angriff mit sehr vielen Daten. Wir haben auch Vorlagen für Fehler bei TYPO3. Die Vorlagen erkennen bekannte Fehler automatisch. Das nennt man CVE Korrelation.
  • Die Vorlagen bestehen aus mehreren Teilen. Sie halten sich an bekannte Regeln. Diese Regeln heißen NIST SP 800-61 und SANS. Die Vorlagen bewerten die Gefahr ganz genau.
  • Wir untersuchen den DDoS Angriff. Wir ordnen bekannte Fehler automatisch zu. Wir messen auch die Stärke von dem Angriff. Wir nennen das Peak Bandwidth. Wir schauen uns die Art von dem Angriff an.
  • Wir haben eine Prüfliste für angegriffene TYPO3 Internetseiten. Sie prüfen damit das ganze System. Sie prüfen wichtige Dateien wie sys_log und fileadmin.
  • Wir haben eine Vorlage für eine sichere E-Mail. Sie schicken diese E-Mail an das TYPO3 Security Team. Das ist die Sicherheitsgruppe von TYPO3. Sie müssen die Fehler bis zur Lösung geheim halten.

Inhaltsverzeichnis  

Wichtige Grundlagen

Regeln vereinen, Bewertung der Gefahr, Ohne Schuldzuweisung

Hauptvorlage

Grunddaten, Zeitachse, Technische Prüfung

DDoS Untersuchung

Messwerte, Bewertung der Folgen, CVE Zuordnung

TYPO3 Untersuchung

Prüfung vom System, Arten von Fehlern, Prüfliste

Meldung machen

Vorbereitung, Vorlage für die E-Mail, Nach der Meldung

Zusammenfassung

Wichtigste Punkte, Hilfen

Warum brauchen Sie gute Berichte?  

Es gibt 2 sehr große Gefahren. Die erste Gefahr sind massive DDoS Angriffe. Dabei schicken Angreifer extrem viele Daten. Das verstopft das Netzwerk. Die zweite Gefahr sind gezielte Angriffe auf Programme. TYPO3 ist so ein Programm. Diese Angriffe bleiben oft monatelang unbemerkt. Ein guter Bericht hilft Ihnen. Der Bericht verbindet die Technik mit der Planung der Sicherheit.

DDoS Angriffe

  • Datenmengen: Angreifer schicken extrem viele Daten gleichzeitig.
  • Viele Wege: Angreifer nutzen verschiedene Methoden gleichzeitig.
  • Keine Spuren: Die Angreifer hinterlassen keine Dateien. Sie sehen Spuren nur in den Netzwerkdaten.

Angriffe auf TYPO3

  • Die Angreifer verstecken sich tief im System.
  • Sie bemerken den Angriff oft monatelang nicht. (Dwell Time)
  • Sie müssen zwischen dem Hauptprogramm und den Erweiterungen unterscheiden. Das klärt die Verantwortung.

Regeln vereinen  

Viele Firmen nutzen unterschiedliche Regeln. Das führt zu ungleichen Berichten. Diese Anleitung verbindet 2 gute Regeln:

  • SANS Modell: Es hat 6 Schritte. Es reicht von der Vorbereitung bis zum Lernen aus Fehlern.
  • NIST SP 800-61: Das Modell achtet auf Risiken. Es hat 4 wichtige Schritte.

SANS: 6 Schritte

NIST SP 800-61: 4 Schritte

Echtzeit-Dokumentation

Starten Sie sofort mit der Dokumentation. Warten Sie nicht bis zum Ende. Schreiben Sie alles wie in einem Tagebuch auf. So vergessen Sie nichts. Sie machen später einen fertigen Bericht daraus.

Bewertung der Gefahr  

Gefühle helfen bei der Bewertung nicht. Sagen Sie nicht: "Der Angriff fühlte sich schlimm an." Sie müssen die Gefahr sachlich bewerten. Das machen Sie so:

System für die BewertungZielNutzung
NCISS (CISA)Folgen für die Funktion, Verlust von Daten, Aufwand für die ReparaturAllgemeine Bewertung
DDoS Resiliency Score7 Stufen von einfachen Angriffen bis zu sehr schweren AngriffenNur für DDoS
CVSSTechnische Gefahr von FehlernBewertung von CVE

Berichte ohne Schuldzuweisung  

Gute Sicherheitsexperten suchen keine Schuldigen. Sie suchen Fehler im System. Sie sagen nicht: "Der Administrator hat ein Update vergessen." Sie fragen: "Warum konnte das alte System weiterlaufen?"

Methoden wie die 5-Whys oder Fishbone Diagramme in der RCA helfen bei dieser Arbeit.

Hauptvorlage  

Die Vorlage besteht aus mehreren Teilen. Es gibt einen Hauptteil für jeden Vorfall. Es gibt auch besondere Teile für DDoS oder TYPO3.

Teil A: Grunddaten  

Dieser Teil hilft den Chefs. Er ist kurz und leicht verständlich. Er hat keine schweren Fachwörter.

FeldBeispielZiel
Incident-IDINC-2026-0142Feste Nummer
Erkennungszeitpunkt2026-01-21T14:32:00ZStart der Zeitachse
SeverityHigh (NCISS 7.2)Wichtigkeit
StatusContained / Eradicated / ClosedAktueller Stand
Lead AnalystM. SchneiderVerantwortung

Kurze Zusammenfassung:

Die Geschichte hat 3 Teile. Die Situation, das Problem und die Lösung:

"Am 23. Oktober 2026 sahen unsere Systeme sehr viele Besucher. Die Besucher kamen auf die Hauptserver. Wir erkannten einen gezielten DDoS Angriff. Das Internet war kurzzeitig sehr langsam. Zur gleichen Zeit gab es Angriffe auf das TYPO3 System. Wir leiteten den Datenverkehr zu einem speziellen Filter um. Wir bauten sofort neue Sicherheitsupdates ein. Nach 45 Minuten lief alles wieder normal. Die Angreifer haben keine persönlichen Daten gestohlen."

Teil B: Zeitachse  

Die Zeitachse ist sehr wichtig. Sie zeigt alle genauen Zeiten. Sie zeigt Ihre Aktionen und die Reaktionen vom System.

Erkennung vom Fehler

Das System sieht extrem viele Daten beim Verteiler.

Alarm für die Sicherheit

Das System informiert den zuständigen Prüfer.

Einteilung

Bestätigung: Es ist ein großer DDoS Angriff.

Abwehr startet

Wir leiten die Daten zu einem Filter um.

Normaler Betrieb

Alle Systeme arbeiten wieder normal.

Teil C: Technische Prüfung  

Hier sammeln Sie wichtige Fakten. Diese Fakten helfen bei späteren Prüfungen. Sie machen damit Ihr System sicherer.

Angriffsvektoren (TTPs): Sie beschreiben das mit dem MITRE ATT&CK Framework. Das ist eine öffentliche Datenbank über Angriffsmethoden.

Beispiel: MITRE ATT&CK Mapping
T1498 - Network Denial of Service
└── T1498.001 - Direct Network Flood
└── T1498.002 - Reflection Amplification

T1190 - Exploit Public-Facing Application
└── TYPO3 Deserialization (CVE-2026-004)

IoCs (Zeichen für einen Angriff):

DDoS Untersuchung  

DDoS Angriffe hinterlassen keine Dateien auf der Festplatte. Sie prüfen nur die Aufzeichnungen von Netzwerken und Filtern.

DDoS Messwerte  

Verschiedene Messwerte zeigen unterschiedliche Schwachstellen. Ein Angriff mit wenig Daten kann auch sehr schlimm sein. Dafür muss er extrem viele Pakete senden.

MesswertEinheitBetroffenes Problem
Peak BandwidthGbps / TbpsGrenze der Internetverbindung
Packets per SecondMppsTabellen der Firewall
Requests per SecondRPSEbene der Anwendung
Unique Source IPsAnzahlGröße vom Botnet
Attack DurationMinuten/StundenVerbrauch der Ressourcen
Ablenkung erkennen

Prüfen Sie auf Ablenkungen. Ein großer Datenangriff kann eine Ablenkung sein. Zur gleichen Zeit läuft vielleicht ein leiser Angriff auf Ihr Programm.

Bewertung der Folgen  

Sie bewerten die Gefahr in 3 Bereichen:

Operative Folgen

  • Verlust der Verfügbarkeit (Totalausfall oder langsam)
  • Kollateralschäden bei geteilten Systemen
  • Betroffene Dienste (API, VPN, E-Mail)

Finanzielle Folgen

  • Kosten für den Filter der Daten
  • Verlorenes Geld (beim Onlinehandel)
  • Kosten für das Personal bei der Arbeit am Vorfall

Folgen für den guten Ruf

  • Meinung in der Öffentlichkeit (Social Media)
  • Verlust von Vertrauen bei Firmenkunden
  • Berichte in den Medien

DRS: Sie bewerten die Schwere auf einer Skala von 1 bis 7:

Level 4: Komplex (Multi-Vektor, bis 5 Gbps)57%
Level 6: Fortgeschritten (Staatlich, HTTPS Floods)86%
Level 7: Extrem (Hyper-volumetrisch, Zero-Day)100%

Automatische CVE Zuordnung  

Was ist eine CVE?

CVE ist ein System für die Erkennung von Sicherheitslücken. Jeder bekannte Fehler bekommt eine feste Nummer. Zum Beispiel CVE-2024-1234. Alle Fachleute auf der Welt nutzen diese Nummer.

Verstärker Angriffe: Wenn Server helfen

Bei Amplification Angriffen nutzen Angreifer fremde Server als Verstärker. Das funktioniert so:

  1. Die Angreifer senden eine kleine Anfrage an einen Server mit einem Fehler. Sie nutzen eine falsche Absenderadresse. Sie nutzen die IP Adresse vom Opfer.
  2. Der Server antwortet auf die falsche Adresse. Er sendet extrem viele Daten zurück.
  3. Das Opfer bekommt diese riesigen Datenmengen. Das Opfer hat diese Daten nie bestellt.

Der Amplification Factor beschreibt die Verstärkung. Manche Systeme machen die Daten 500-mal größer. So machen Angreifer aus wenig Bandbreite einen riesigen Angriff.

Darum ist die CVE Zuordnung wichtig:

  1. Eigene Prüfung: Haben Sie selbst anfällige Dienste? Helfen Ihre eigenen Systeme vielleicht bei Angriffen?
  2. Threat Intelligence: Welche bekannten Fehler nutzen Angreifer gerade auf der ganzen Welt? Müssen Sie schnell handeln?
Protokoll/PortCVEAmplification FactorBeschreibung
NTP (123/UDP)CVE-2013-5211556xMonlist Befehl
Memcached (11211/UDP)CVE-2018-100011551.000xUDP Reflection
SLP (427/UDP)CVE-2023-295522.200xService Location Protocol
DNS (53/UDP)Mehrere28-54xOpen Resolver
SSDP (1900/UDP)Mehrere30xUPnP Discovery
Integration in den Bericht

Beispiel für den Bericht: "Wir haben die Daten geprüft. 40 Prozent der Daten kamen von Port 427. Die tiefe Prüfung bestätigte das typische Muster für CVE-2023-29552. Ein Botnet nutzt alte VMware ESXi Server als Verstärker."

TYPO3 Untersuchung  

Bei TYPO3 müssen Sie genau unterscheiden. Es gibt Fehler im TYPO3 Hauptprogramm. Dafür ist die TYPO3 GmbH verantwortlich. Und es gibt Fehler in den Erweiterungen. Dafür sind die Entwickler der Erweiterungen verantwortlich. Das ist wichtig für die Meldung von Fehlern.

Prüfung vom System  

Vor der Untersuchung dokumentieren Sie den genauen Zustand.

TeilAufschreibenWichtig für Sicherheit
TYPO3 VersionGenaue Version mit Patch LevelLTS oder Sprint? Gibt es ELTS?
InstallationComposer oder Legacy (ohne Composer)Composer erlaubt eine genaue Prüfung
PHP EnvironmentVersion, Extensions, disable_functionsSind gefährliche Funktionen an?
ExtensionsListe aller Erweiterungen und VersionenAlte Erweiterungen markieren
ServerBetriebssystem, Webserver, PHP HandlerGibt es bekannte Fehler?
ELTS beachten

TYPO3 Version 11 und älter bekommen keine Updates für die Sicherheit mehr. Sie brauchen dafür einen ELTS Vertrag.

Arten von Fehlern  

Prüfliste für die Untersuchung  

Bei Verdacht auf einen Einbruch:

Log Prüfung: var/log/typo3_*.log – Suchen Sie nach komischen Anmeldungen und IP Adressen.
Benutzer: Prüfen Sie be_users und fe_users auf fremde Einträge.
Dateien: find fileadmin/ -name "*.php" -mtime -7 – Suchen Sie PHP Dateien in Upload Ordnern.
Hauptprogramm: Vergleichen Sie die Prüfnummern mit den echten Versionen.
Automatische Aufgaben: Prüfen Sie tx_scheduler_task auf komische Einträge.
Erweiterungen: Machen Sie ein composer audit. Oder prüfen Sie manuell auf bekannte Fehler.
TypoScript: Prüfen Sie sys_template auf bösen JavaScript Code.

TYPO3 Security Team  

Die Meldung von Fehlern an das TYPO3 Security Team hat strenge Regeln. Das Team arbeitet nach der Regel der verantwortungsvollen Meldung.

Sorgfaltspflicht bei Sicherheitsmeldungen

Gründliche Arbeit bei Meldungen. Eine Meldung an das Security Team braucht gute Vorbereitung. Sie müssen den Fehler gut beschreiben. Der Fehler darf nicht nur an Ihrem eigenen System liegen. Schlechte Meldungen kosten dem Team viel Zeit. Das Team arbeitet freiwillig.

Vorbereitung  

Vor der Meldung

  • Nicht öffentlich sprechen – Schreiben Sie nichts in Foren oder Chatgruppen.
  • Prüfung – Funktioniert der Fehler in einer aktuellen Version?
  • Verschlüsselt schreiben – Sie müssen E-Mails mit PGP verschlüsseln.

Daten für die Verschlüsselung

PGP macht E-Mails sicher. Nur das Security Team kann die Meldung lesen:

Vorlage für die E-Mail  

Diese Vorlage erfüllt alle Regeln vom TYPO3 Security Team:

security@typo3.org – PGP Signed/Encrypted
Subject: Suspected Vulnerability in [Erweiterung/Hauptprogramm] - [Kurze Beschreibung]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Dear TYPO3 Security Team,

I am writing to report a suspected security vulnerability in accordance 
with your coordinated disclosure policy.

1. VULNERABILITY METADATA
-------------------------
Project:              [Name der Erweiterung oder "TYPO3 Core"]
Affected Versions:    [zum Beispiel 11.5.0 - 11.5.24]
Tested Version:       [Ihre Testumgebung]

Nach der Meldung  

Bestätigung

Das Security Team bestätigt den Erhalt der E-Mail.

Prüfung

Das Team prüft den Bericht. Das Team spricht mit dem Entwickler.

Lösung bauen

Ein Programmierer baut eine Lösung. Er testet die Lösung geheim.

Warnung

Ein Bericht zur Sicherheit erscheint. Die neue Version erscheint zur gleichen Zeit.
Embargo einhalten

Geheimhaltung ist wichtig. Sie müssen absolut leise sein. Sie dürfen vor dem Update nicht über den Fehler sprechen. Sonst gibt es Zero-Day Angriffe. Das bringt alle TYPO3 Internetseiten auf der Welt in große Gefahr.

Zusammenfassung  

Ein guter Bericht verbindet Technik mit klarer Sprache. Unsere Vorlage nutzt weltweite Regeln. Sie passt perfekt für DDoS Angriffe und für TYPO3.

DDoS und CVE

Sie machen aus Daten eine echte Warnung. Sie sehen die weltweiten Gefahren für Ihr System.

TYPO3 Untersuchung

Feste Regeln für die Meldung schaffen Vertrauen. Sie helfen damit der ganzen Gemeinschaft.

Schnelle Reaktion

Die Nutzung dieser Vorlagen hilft sehr. Sie verkürzt die Wiederherstellungszeit. Sie verringert rechtliche Probleme.

Sicherheit ist kein fester Zustand. Sicherheit ist ständige Arbeit. Dieser Bericht ist das Protokoll von dieser Arbeit.

Als KI-Skill nutzen  

Sie können diese Methode auch als Skill für KI nutzen. Claude, ChatGPT und andere Programme können damit gute Berichte schreiben. Die Berichte halten sich an die Regeln von NIST und SANS.

webconsulting-skills Repository

Der Skill ist Teil von unserer offenen Sammlung. Sie finden dort Hilfen für die IT: github.com/dirnbauer/webconsulting-skills

Beispiele für Anfragen an die KI:

Was ist Leichter Lesen?

A2

Diese Seite ist in Leichter Sprache geschrieben. Leichte Sprache hilft vielen Menschen, Texte besser zu verstehen. Die Sätze sind kurz. Schwierige Wörter werden erklärt.

Dieser Text wurde nach den Regeln der Leichten Sprache erstellt. Textniveau: A2 (Gemeinsamer Europäischer Referenzrahmen).

Zurück zur Liste

Lassen Sie uns ueber Ihr Projekt sprechen

Kontakt aufnehmen

Standorte

  • Mattersburg
    Johann Nepomuk Bergerstraße 7/2/14
    7210 Mattersburg, Austria
  • Wien
    Ungargasse 64-66/3/404
    1030 Wien, Austria

Dieser Inhalt wurde teilweise mithilfe von KI erstellt.