Logo
Kontakt

E-Mail: info(at)studio1.de
Telefon: 03606 67960
 

Kontakt­                   ­Newsletter

Support

Supportanfrage stellen im: 

IT Service Desk

Profitipp: Sorgenkind Onlineshop – Magento Sicherheitslücken und Tipps für Betreiber

21 Jul 2017
Mann verzweifelt am PC

Onlineshop-Betreiber, die den Verkauf über das System Magento abwickeln, haben es derzeit nicht leicht. Immer wieder treten gravierende Sicherheitslücken auf und man kommt mit den notwendigen Sicherheitsupdates kaum noch hinterher. So hat es in den vergangenen Jahren vermehrt Hackerangriffe gegeben, die zu heftigen finanziellen Einbußen für Unternehmen und Datenklau geführt haben. Wie können Sie als Betreiber von Magentoshops trotzdem sicher verkaufen, auf welche Strategie sollten Sie setzen und gibt es eine brauchbare Alternative zu Magento?

Im Profitipp möchte ich die Software zunächst kurz vorstellen, auf gravierende Sicherheitslücken der letzten Zeit eingehen und Ihnen einige Tipps zum sichereren Verkaufen mit Magento an die Hand geben.

Was ist Magento und woher kommen die Probleme?

Das System Magento kam in seiner ersten offiziellen Version (1.0) im Frühjahr 2008 auf den Markt. Produziert wird die Software von der gleichnamigen Firma Magento (ehemals unter dem Namen Varien) und unter Zuhilfenahme des Zend Frameworks. Als Open-Source-E-Commerce-Plattform veröffentlicht, entwickelte sich das System schnell zu dem weltweit am meisten eingesetzten Shopsystem.

In den ersten Versionen lief das Ganze auch ziemlich gut. Mit der Version 2.0 wurde das Backend umfassend überarbeitet, es wurde zum Beispiel ein visueller Layout-Editor integriert, indem man Blöcke recht einfach von A nach B verschieben kann und auch in der Benutzerdokumentation tat sich einiges. Sie sollte sowohl für Programmierer als auch für Onlineshop-Betreiber übersichtlicher und einfacher werden. Das erste Problem dabei: Viele Händler zögern den Umstieg auf die 2er-Versionen bis heute hinaus, weil er mit umfangreichen Veränderungen und damit viel Arbeit verbunden ist. Sie nutzen veraltete Systeme, versäumen wichtige Updates und machen es Hackern damit leicht, anzugreifen.

Problem Nummer 2: Der Einsatz von Magento im deutschen Markt gestaltet sich generell in der Praxis relativ schwierig, da das System zum Teil nicht den hiesigen rechtlichen Bestimmungen entspricht. Daher greifen viele Onlineshop-Betreiber auf individuelle Programmierlösungen zurück, um die jeweiligen speziellen Anforderungen an den Shop umsetzen zu können. Daher gleicht hierzulande kein Shop dem anderen, Wartung und Pflege sind in der Konsequenz nicht in jedem Fall einfach.  

Magento-Sicherheitslücken 2016/2017

Wie oben angedeutet, viele Magento-Shopbetreiber scheuen sich immer noch, von den Versionen bis Magento 1.9.2.4 auf Magento 2.x upzudaten, weil die Installation sehr schwierig und mit einigen gravierenderen Änderungen vor allem im Backend verbunden ist. Zudem galt nach Informationen der Entwicklergemeinde vor allem Magento 2.0 (Einführung Ende 2015) als instabil und anfällig. Das hat sich mit Magento 2.1.1 zwar wieder gebessert, aber offensichtlich auch nicht besonders viele Händler hinter dem Ofen vorgelockt. Leider läuft der Support für die (beliebteren) Einser-Versionen nur noch bis November 2018, danach werden keine Security-Updates mehr zur Verfügung gestellt, eine Umrüstung ist irgendwann also definitiv fällig!

Die wohl gravierendsten Sicherheitslücken bei Magento waren zwei XSS-Lücken, die der Anbieter seinerzeit (Herbst 2016) als besonders kritisch eingestuft hat. Über die Magento-Lücken (die alle Versionen bis 1.9.2.2 betreffen) können Angreifer aus der Ferne Code auf Server schmuggeln und im schlimmsten Fall die Kontrolle über ganze Webseiten erlangen. Diese Lücken treten ab Magento 1.5.0.1 auf. Wer hier bisher immer noch kein Sicherheits-Update gefahren hat, bringt seinen Shop und Kundendaten ernsthaft in Gefahr, wenn er nicht schon unbemerkt von Datenklau betroffen ist. Die beiden Lücken und insgesamt 20 Schwachstellen wurden mit der abgesicherten Version 1.9.2.3 von Magento CE und 1.14.2.3 von Magento EE abgedichtet.

Eine weitere, derzeit hoch brisante Magento-Schwachstelle ist seit Monaten (genauer gesagt seit November 2016) bekannt und leider immer noch nicht behoben. Dabei schmuggeln Angreifer eigenen Code in den Shop, indem sie beispielsweise einem Vimeo-Video einen Produkteintrag hinzufügen. Daraufhin lädt der Magento-Shop ein Vorschaubild und die Fremddaten machen sich gleich mit auf den Weg. Wenn es dem Hacker gelingt, die Anfrage auf eine andere URL umzulenken, kann der Schadcode ausgeführt werden (eine detaillierte Beschreibung der Magento-Lücke finden Sie in diesem PDF-Dokument). Um diese Art des Angriffs abzuwehren, müssen zwei Dinge sichergestellt werden: Erstens muss die Option Secret Key zu URLs hinzufügen in Magento unter Konfiguration > Admin > Erweitert > Sicherheit auf “Ja” gestellt sein. Zum anderen muss über die zentrale .htaccess Datei dafür gesorgt werden, dass kein Code in untergeordneten Verzeichnissen ausgeführt werden kann, die eigentlich überhaupt keinen Code enthalten sollten.

Auf diesen Seiten informiert Magento regelmäßig über aktuelle Sicherheitslücken und darüber, wie sie zu schließen sind.

Wie erkenne ich, ob mein Shop Sicherheitslücken aufweist?

Das Dumme ist, dass nicht jede Schwachstelle in Magento sofort entdeckt wird und dass es sogar passieren kann, dass sich fremder Code lange Zeit unbemerkt auf der Seite tummelt. Außerdem kann der Laie nicht wirklich überblicken, welche Unsicherheiten im Shop bestehen. Eine brauchbare Lösung für das Problem wurde in den Niederlanden entwickelt: Auf dieser Seite können Sie als Shopbetreiber Ihren Onlineshop auf kritische Daten prüfen. Der Security Scanner braucht nur wenige Sekunden, um dem Nutzer eine umfangreiche Übersicht der Sicherheitslücken zu liefern, die geschlossen werden sollten. Wenn Sie den Scanner nutzen, müssen Sie lediglich Ihre Shop-URL eingeben und erhalten dann eine Art To-do-Liste inklusive farblicher Markierung von Gelb bis Rot. Ich empfehle den Check auf jeden Fall.

Gibt es gute Alternativen zu Magento?

Ja. Mittlerweile sind einige gute Online-Shop-Systeme entstanden, die eine echte Alternative zum Magento-Shop darstellen. Vor allem Shopbetreiber, die immer noch mit den Einser-Versionen arbeiten und sich vor der umfassenden und eventuell nervenaufreibenden Installation von Magento 2.x scheuen, sollten über einen kompletten Systemwechsel nachdenken. Als Agentur mit langjähriger Erfahrung in der Entwicklung von Onlineshops setzen wir mittlerweile verstärkt auf das System Shopware, das sich binnen weniger Jahre zu einem sehr praktikablen und stabilen System (sowohl hinsichtlich Design als auch Funktion) gemausert hat. Mehr Infos zum aktuellen technischen Stand der Software lesen Sie hier. Was Shopware vor allem aus Kunden- und Betreibersicht attraktiv macht, haben wir in diesem Artikel zusammengefasst.

Appell an Shopbetreiber: Verantwortung für das eigene Geschäft übernehmen!

Als Händler übernehmen Sie Verantwortung. Ihre Kunden vertrauen Ihnen sensible Daten an. Auf deren Konten haben es die Cyber-Betrüger abgesehen. Ist der Schaden erst einmal entstanden, haben nicht nur Sie als Betreiber des Shops ein Problem, sondern auch die, die Ihr Unternehmen letztlich finanzieren. Aber nicht nur das. Sie sind laut Telemediengesetz auch rechtlich verpflichtet, Ihre Systeme nach dem aktuellen Stand der Technik abzusichern. Wenn Sie das notwendige Update also schon lange vor sich herschieben, geben Sie sich auch im Sinne Ihrer Kunden einen Ruck! Hier im Studio1® beantworten wir gerne Ihre Fragen zum Thema und unterstützen Sie beim Sichern Ihres Shops.

Fazit: Welche Vorkehrungen kann ich treffen, um meinen Shop sicherer zu machen?

Darauf gibt es eigentlich nur eine Antwort: Sie sollten sich regelmäßig über System-News, Sicherheitslücken und Updates informieren und entsprechend reagieren. Kein System ist zu 100 Prozent sicher – eine Garantie gibt es nie. Im Zuge der Weiterentwicklung der Systeme und der Technologien an sich kann es immer sein, dass Lücken auftreten und ungebetene Gäste hereinkommen. Daher den Webshop regelmäßig warten lassen, vakante Sicherheitslücken schließen, Plug-ins und Schnittstellen ebenfalls auf dem aktuellen Stand halten und einfach am Ball bleiben. 

Unser Profi der Woche: Markus Siebert, Teamleitung IT CMS E-Commerce

Bildquelle: AntonioGuillem/iStock