Security Updates

Der Update als solches ist doch nicht das Problem. Wenn man das richtig macht, dann braucht man eine Kopie des Live-Servers auf dem man das erst mal durchführt und testet, ab sich die Seite danach noch genau so verhält wie vor dem Update. Hier liegt der Aufwand, den man treiben muß. Ich halte von allen Seiten, die ich betreue, eine lokale Kopie, die ich mit dem produktiven System synchronisiere. Lokal habe ich dann auch drush, was den Update-Vorgang erheblich beschleunigt. Dann kommt das Testen. Wieviel Aufwand das wird, hängt von Art und Umfang der Webseite ab. Danach mache ich den Update noch mal auf dem produktiven System. Auch danach sollte man noch ein mach kurz überprüfen, ob alles ok ist. Wichtig ist ein Backup vor dem Update, damit man notfalls die Rolle rückwärts machen kann :-)
Wenn Du Dir die Security-Meldungen genau ansiehst, stehen dabei auch immer die Randbedingungen, unter denen die Schwachstelle ausgenutzt werden kann. Das muß bei Deinen Webseiten evtl. gar nicht zutreffen. Also hat der Update dann auch Zeit. Zeit spart man auch, wenn man einen Shell-Zugang zum Server hat und auf dem Server Drush nutzen kann. Das geht deutlich schneller als "zu Fuß" mit FTP.
Alles in Allem reichen mir für eine durchschnittliche Webseite 1-2 Stunden pro Monat, wobei ich nicht jeden Monat Updates durchführe.

Grundsätzlich ist erst mal für den Aufwand eines ordentlichen Sicherheitsmanagements einer Webanwendung unerheblich, wie wenig es genutzt wird.

Wenn man die kalkulierten 100 Stunden auf das ganze Jahr aufteilt, sind das unter 2 Stunden pro Woche. Das kann je nach System viel zu viel oder auch viel zu wenig sein. Da gibt es die grundsätzlichen Anforderungen, wenn man eine Webanwendung sicher betreiben will. Dann kommt es auf das System an bezüglich Module, Konfigurationen usw. Und nicht zuletzt sind die Anforderungen des Betreibers/Kunden von Bedeutung, meistens in Abwägung von Kosten und Geschäftsmodell bezüglich der notwendigen Verfügbarkeit des Systems. Das betrift dann aber nicht nur Drupal sondern auch die darunter laufende Server-Infrastruktur.

Zu dem reinen Zeitaufwand für die Drupal-Updates kommt hoffentlich eine "Alarm-Bereitschaft" auch Nachts (meistens Mittwochs bei Drupal) Sicherheitslücken zeitnah nach Veröffentlichung von Sicherheits-Updates schließen zu können. Die Messlatte liegt seit dem Herbst 2014 ("Druaplgeddon") bei drei Stunden! Dabei müssen dann noch schnell Tests durchgeführt werden und bei Bedarf Probleme behoben werden.

In einem sauberen Sicherheits-Management sollte zur Problemvermeidung im "Alarmfall" auch grundsätzlich das ganze System immer auf den neuesten Stand gehalten werden. Denn wenn im Alarm-Fall Und noch normale Updates gemacht werden müssen, da die Patche nur gegen neueste Modul-Versionen funktionieren und Datenbank-Updates älterer Updates evtl. zu Problemen führen, müssen diese zuerst gelöst werden.

Wenn im konkreten Fall die "registrierten User" auch Menschen seien können, die man nicht so vertrauen kann wie vllt. die eigenen Angestellten, dann sind Sicherheits-Updates häufiger dringend als wenn man nur vertrauenswürdige Redakteure hat. Dies liegt daran, daß die meisten Sicherheitslücken bei Drupal – wie bei anderen Computer-Systemen auch – sich darum drehen, daß bestehende Nutzer evtl. mehr Zugang zum System bekommen können, als eigentlich vorgesehen ist.

Im konkreten System können neben vllt. oberflächlich einfacher Funktionalität auch viele Eigen-Programmeirungen stecken, die neben diversen eher anfälligen Modulen evtl. mehr Probleme machen können als andere.

Selbst wenn ich mit meiner Firma Security-Management für Drupal grundsätzlich zu Pauschalpreisen anbieten kann, hängt dieser Pauschalpreis trotzdem immer von dem konkreten System ab, das wir dafür ganz genau analysieren. Und dann gibt es noch unterschiedliche Anforderungen der Kunden. Konkret: Können wir im Notfall das System auch erstmal offline schalten bei heftigen Sicherheitsproblemen sowie Problemen beim Update oder muss das ganze fast ohne Ausfall laufen, was wiederum zu einer Menge Nachtarbeit führen kann. Das muss sich dann natürlich auch im Preis niederschlagen sei es in Pauschalangeboten oder bei Abrechnung nach Aufwand.

vielen Dank für die rasche Antwort inkl. Einschätzung!