Magento: BSI-Warnung – Gefahr für die Reputation von Online-Printshops?

Knapp ein halbes Jahr nach der letzten Warnung durch das BSI zu einer Sicherheitslücke, folgte jetzt erneut die Meldung, dass auch in Deutschland einige Magento-basierte Online-Shops gefährdet sind. Was ist da los?

Bei der aktuellen Sicherheitsfrage wird von mehr als 1000 betroffenen Online-Shops alleine in Deutschland gesprochen. Nur wie kann es sein, dass die letzte Analyse wieder einmal gravierende Mängel bei einigen Magento-basierten Shops zutage fördern konnte? Wohlgemerkt: Die letzte Analyse fand im September 2016 statt, weshalb man hier bei den Shops aus eigenem Interesse – und wegen der umfangreichen Mitteilungen und Hilfestellungen seitens der Softwaredienstleister – normalerweise keine Angriffspunkte mehr finden dürfte. Klarzustellen ist deshalb schon mal, dass die Schuld nicht bei denjenigen zu suchen ist, die die Shopsysteme zur Verfügung stellen, sondern bei den Betreibern an sich. Das hat das BSI in seiner Pressemitteilung mehrfach betont. Konkret ging es bei den letzten Analysen um Skimming von Zahlungsdaten der Kunden, das durch die nachgewiesenen Mängel in den zum Teil auf alten Versionen basierenden Shops ermöglicht wurde.

Wie sieht es denn mit den Shops der deutschen Onlinedrucker aus, die auf Magento basieren? In Sachen IT-Sicherheit sind die meisten im Onlinedruck tätigen Magento-Nutzer sicherlich besser und aktueller aufgestellt als ein Großteil der Shop-Betreiber, die nicht im Medienumfeld tätig sind. Um aber für die Community und für uns im Team Klarheit zu schaffen, was die Softwaredienstleister zur Wiederherstellung bzw. zum Erhalt der Sicherheit auf den betreuten Websites unternehmen, haben ich bei Alexander Sperrfechter, Geschäftsführer bei rissc, nachgefragt. Bemerkenswerter Weise wollten andere Anbieter keine Stellungnahme abgeben.

Alexander Sperrfechter, Geschäftsführender Gesellschafter bei rissc solutions, zur aktuellen Sicherheitslage bei Magento-basierten Shops; Quelle: rissc

Bernd Zipper: Wie geht Ihr mit der aktuellen Sicherheitsproblematik um?
Alexander Sperrfechter: Wir geben unser Bestes hier immer schnellstmöglich zu reagieren und die von Magento zur Verfügung gestellten Sicherheitspatches einzuspielen.

Bernd Zipper: Gibt es schon eine Einschätzung dazu, wie viele Zahlungsdaten abgegriffen wurden?
Alexander Sperrfechter: Dies lässt sich nicht so einfach beantworten, da die betroffenen Online-Shops von dieser Attacke kaum etwas mitbekommen. Auch wenn der Shopbetreiber selbst keine Kreditkartendaten im Shop speichert, lassen sich durch Einschleusen von Quellcode Daten über Eingaben im Checkout vom Hacker abgreifen. Genau dies ist in dem vom BSI beschriebenen Fall passiert.

Bernd Zipper: Waren denn ausreichend Softwareupdates verfügbar?
Alexander Sperrfechter: Magento hat bereits im Oktober mit einem Secutiry Patch (SUPEE-8788) auf das Ausspähen von Kreditkartendaten reagiert. Zusätzlich wurden Benutzer per Newsletter und auch über die Administration von Magento über den Sicherheitsptach und die Dringlichkeit informiert.

Bernd Zipper: Zur Konsequenz aus dieser Angelegenheit: Wie wird in Zukunft mit Sicherheitsaspekten umgegangen
Alexander Sperrfechter: Generell gibt es hier unterschiedliche Möglichkeiten sein System zukünftig vor Angriffen zu schützen. Zum Standard gehören hier Verwendung von SSL oder den Zugang zur Administration durch IP-Restriktionen oder Zwei-Faktor-Authentifizierung zu erschweren. Bei der vom BSI angesprochenen Sicherheitslücke hätten diese Mechanismen aber leider nicht gegriffen, da der Angriff im Checkout stattgefunden hat. Hier ist es wichtig seinen Entwicklungsprozess so zu gestalten, dass Sicherheitsupdates immer mit sehr hoher Priorität zu behandeln sind.

„Schade, dass die Nachlässigkeit – teilweise sogar Ignoranz – einiger Shopbetreiber im Umgang mit den vorhandenen Updates dazu führt, dass der ein oder andere Kunde die Reputation von E-Commerce-Systemen infrage stellen mag. Denn im Endeffekt ist der Kunde derjenige, der persönlichen finanziellen Schaden nehmen kann.“ – Bernd Zipper

Und was kann ich als Onlinedrucker nun machen, um meinen Shop auf Sicherheitslücken zu überprüfen? Byte stellt aus gegebenem Anlass dazu ein Online-Prüftool zur Verfügung, mit dessen Hilfe die Sekurität der angegebenen Seite kontrolliert wird und bei Bedarf potentielle Abhilfemöglichkeiten angezeigt werden.

Live-Check via Hypernode von byte – damit können sich Shop-Betreiber ihrer Sicherheit vergewissern; Quelle: magereport.com

My Take: Selbst schuld, kann man da nur sagen. Zumindest was die Shop-Betreiber und deren Schaden angeht. Schade, muss man sagen, dass die Sorglosigkeit im Umgang mit sensiblen Daten von Kunden anscheinend noch immer weit verbreitet ist – das ist keine Magento-spezifische Angelegenheit! Dass ich mein E-Commerce-System ­– egal von welchem Anbieter es stammt – auch aus Sicherheitsgründen aktuell zu halten habe, ist eigentlich klar. Eigentlich – denn die Zeit zur Installation der Sicherheitspatches nehmen sich viele Shopbetreiber nicht und hantieren einfach mit veralteten Versionen weiter. Dazu verpflichtet sind sie laut Gesetzeslage (§13 TMG) aber schon. Bei der hohen Verbreitung von Magento kann das auch ein „schlechtes Licht“ auf Onlinedruck-Shops werfen, wenn der Online-Einkauf beim Kunden als weniger sicher gesehen wird… vor allem im B2B-Bereich.

2017-02-16T11:43:24+00:00 30.01.2017|Technik|0 Comments

Hinterlasse einen Kommentar

Mit Abschicken meines Kommentars erkläre ich mich mit den Nutzungsbedingungen einverstanden.

Send this to friend