11.01.2017 Interview mit Josef Willkommer, Techdivision

Sichere Magento-Shops

Von: Robert Schindler

Magento-Experte Josef Willkommer erklärt im Interview die Sicherheitslücke, die laut BSI über 1.000 deutsche Online-Shops betrifft. Außerdem gibt er Tipps, wie Shop-Betreiber und Magento-Agenturen mehr für die Sicherheit tun können.

"Durch unsere langjährige Arbeit mit Magento und durch die von uns angebotenen Magento-Audits haben wir inzwischen bei einer Vielzahl von Shops "hinter die Kulissen" blicken können." Josef Willkommer, Techdivision

Aktuell warnt das BSI, dass in ca. 1.000 deutschen Online-Shops Kriminelle gerade Kundendaten und Zahlungsinformationen abgreifen. Wir sprachen über das Thema mit Josef Willkommer vom Webtechnologiedienstleister und Magento Enterprise Partner Techdivision.

ITM: Herr Willkommer, für wie akut halten Sie das Problem?
Josef Willkommer:
Das Problem ist aus unserer Sicht schon akut. Daher hat Magento nach dem Bekanntwerden im Herbst 2016 dazu auch umgehend alle bekannten Kunden und Partner umfangreich über die Sicherheitslücke informiert, entsprechende Patches zur Verfügung gestellt und schnellsmöglich Reaktion bzw. Bugfixing empfohlen. Je größer der Shop ist, desto gravierend kann sich das Ganze natürlich auch auswirken.

Allerdings handelt es sich nach Durchsicht einiger Stichproben betroffener Shops doch überwiegend um "Hobby- bzw. Testshops", die zum Teil auf Basis der Magento Standard-Installation laufen. Insofern hört sich die Meldung des BSI, dass in rund 1.000 deutschen Magento-Shops Kundendaten und Zahlungsinformationen abgegriffen werden können, sehr alamierend und reißerisch an.

>>>Hier erfahren Sie, welche Shops infiziert sind. >>> Die Liste stammt vom niederländische Sicherheitsexperte Willem de Groot.

ITM: Warum wurden Magento-Shops zum Angriffsziel?
Willkommer:
Magento ist seit 2008 weltweit mehr als 250.000 mal im Einsatz und hält damit einen globalen Marktanteil von annähernd 30% - in manchen Ländern sogar an die 50%. Damit gehört die Software zu den führenden Shopsystemen überhaupt. Durch die Bekanntheit und Verbreitung - die auch nicht von ungefähr kommt - ist eine Software wie Magento natürlich ein "lohnenderes" Ziel für Angreifer, als eine Nischenlösung.

Man muss auch ganz klar sagen, dass keine Software vor möglichen Angriffen vollständig geschützt ist. Es ist hier nur eine Frage des Aufwands. Insofern kann es auch in Zukunft wieder einmal zu Angriffen kommen - beim nächsten Mal ist es dann möglicherweise nicht mehr Magento, sondern eine andere Shop-Technologie. Wichtig ist hier, dass nach dem Bekanntwerden etwaiger Probleme schnellstmöglich reagiert wird. Im übrigen ist es auch unerheblich ob es sich bei der Software um eine Proprietäre Lösung oder Open-Source-Software handelt. Tendenziell ist Open Source Software häufig sogar sicherer bzw. wird hier bei etwaigen Probleme schneller reagiert.

ITM: Gibt es irgendwelche nachvollziehbaren Gründe, warum Shop-Betreiber ihre Magento-Versionen nicht aktualisieren? Viele sollen schon im Oktober auf das Problem hingewiesen worden sein.
Willkommer:
Wie bereits geschildert, ist es richtig, dass Magento unmittelbar nach Bekanntwerden Kunden und Partner informiert hat und auf den dringenden Handlungsbedarf mehrfach hingewiesen hat. Warum es nach wie vor Shops gibt, die nicht aktualisiert wurden, lässt sich pauschal kaum erklären.

Durch unsere langjährige Arbeit mit Magento und durch die von uns angebotenen Magento-Audits haben wir inzwischen bei einer Vielzahl von Shops "hinter die Kulissen" blicken können. Leider muss man hier feststellen - und dies ist aus unserer Erfahrung kein ausschließliches Magento-Problem - dass es mitunter gravierende Qualitätsunterschiede bei der Implementierung gibt. Es kann mitunter beim initialen Projekt-Setup natürlich einfacher und auch kostengünstiger sein, eine "Quick-and-Dirty-Variante" für die Implementierung zu wählen und beispielsweise sog. Core-Hacks anzuwenden, bei denen der Programmkern - quasi das Herz der Software - verändert wird. Ist dies der Fall, können im Worst-Case etwaige Updates oder Patches nicht mehr oder nur mit extrem hohem Aufwand durchgeführt werden. In solchen Fällen scheuen sich Shop-Betreiber dann schon mal vor den Kosten und belassen den Status-Quo. Solange dies gut geht, mag das okay sein, in Fällen wie dem jetzt nochmals aufgetauchten kann dieser Schuss aber auch nach hinten losgehen.

ITM: Können Kunden irgendwie erkennen, ob Sie gerade in einem gehackten Shop einkaufen?
Willkommer: Von außen und als Laie lässt sich normalerweise kaum erkennen, ob ein Shop gehackt wurde - insbesondere wenn der Hack "gut" gemacht wurde. Normalerweise besteht das Ziel eines Hackers ja auch darin möglichst unerkannt zu agieren und am Shop keine sichtbaren/offensichtlichen Änderungen vorzunehmen.

Mit den folgenden beiden Tools können aber durch Eingabe der Shop-URL einige Parameter (z.B. eingespielte Patches) geprüft werden, wobei die so erhaltenen Infos nur als erste grobe Orientierung dienen können und nicht auf die "Goldwaage" gelegt werden sollten: https://www.magereport.com sowie https://magescan.com

Was kann Magento Inc. tun, um für mehr Sicherheit zu sorgen? Wie intensiv wurde auf die sicherheitsrelevanten Updates hingewiesen?
Willkommer: Aus unserer Sicht hat Magento hier sehr schnell und professionell reagiert. Partner und Kunden wurden mehrfach in wiederkehrenden "Wellen" und unmissverständlich auf das Problem inkl. Lösungsansatz (Patches) per E-Mail und zum Teil direkt über Account-Manager hingewiesen. Darüberhinaus hat Magento unmittelbar nach dem Bekanntwerden einen entsprechenden Blogbeitrag verfasst. Etwaige Patches werden zudem auf einer Security-Listing-Page veröffentlicht (siehe: https://magento.com/security/patches).

Was können Magento-Agenturen tun, um für mehr Sicherheit zu sorgen?
Willkommer: Zum einen sollten man sich bei der Implementierung zwingend an den Vorgaben und Best-Practises des Herstellers orientieren und - trotz häufigem Kostendruck - keine Kompromisse bei der Qualität machen. Durch die Einführung von automatisierten Testverfahren während der Implementierung sowie durch automatisierte Build- und Deploymentprozesse kann eine solide Basis geschaffen werden.

Es gibt aber durchaus auch Fälle, bei denen einer Agentur die Hände gebunden sind weil das finale Deployment beispielsweise nur vom Kunden veranlasst werden kann. Nicht immer wird die Relevanz der Updates in allen Abteilungen gleichermaßen vertreten und erst recht nicht, wenn die entsprechenden Aufwände bezahlt werden müssen. Hier besteht die Aufgabe der Agenturen darin, auf die Notwendigkeit der Patches sowie auf etwaige Konsequenzen deutlich hinzuweisen.

"Hier besteht die Aufgabe der Agenturen darin, auf die Notwendigkeit der Patches sowie auf etwaige Konsequenzen deutlich hinzuweisen."

Bei der Übernahme eines bestehenden Magento-Shops verfahren wir immer so, dass wir zuerst eine genaue Bestandsaufnahme des bestehenden Shops machen. Hierzu zählt auch eine entsprechende Security-Prüfung. Abhängig vom Ergebnis eines solchen Audits wird dann ein individueller Maßnahmenkatalog unter Kosten-Nutzen-Aspekten erstellt und mit dem Kunden abgestimmt.

Wie können Händler, die in den E-Commerce einsteigen wollen, einer Agentur auch hinsichtlich der Sicherheitsfragen auf den Zahn fühlen? Gibt es Zertifikate? Welche Fragen sollte man stellen?
Willkommer: Speziell für Security-Patches gibt es keine Zertifikate - das wäre aber durchaus eine Überlegung wert. Die offiziellen Magento-Partner-Agenturen verfügen über entsprechend ausgebildete und zertifizierte Entwickler. Hier spielt das Thema Sicherheit natürlich auch eine Rolle. Magento hat hier bereits in der Vergangenheit großes Augenmerk auf entsprechende Ausbildung und Zertifizierung der Partner gelegt. Durch den Start von Magento 2 wurde bzw. wird dies noch weiter forciert.

Eine Checkliste gibt es hierfür nicht. Ganz allgemein sollte man als Händler einen genaueren Blick auf die Agentur, deren Referenzen sowie das Team werfen. Entsprechende Zertifizierungen sowie ein Status als offizieller Software-Partner können für eine erste Beurteilung hilfreich sein, wenngleich es natürlich auch Dienstleister gibt die ohne offizielle Badges gute Arbeit abliefern. Wir empfehlen hier nach Möglichkeit immer vorab einen Besuch und intensiven Austausch mit verantwortlichen Mitarbeitern beim entsprechenden Dienstleister vor Ort. Der erste Eindruck täuscht häufig nicht und wie sagt doch ein bekanntes Sprichwort: "Es gibt keinen zweiten ersten Eindruck!"

Bildquelle: Techdivision

* Über Techdivision:
Der Webtechnologiedienstleister und Magento Enterprise Partner Techdivision gehört im deutschsprachigen Raum zu den führenden Adressen für E-Commerce-Lösungen mit Magento sowie die Digitalisierung von Geschäftsprozessen auf Basis von Open-Source-Technologien. Das Leistungsspektrum von Techdivision reicht von Consultingleistungen über Konzept- und Designentwicklung sowie Implementierung und Betreuung bis hin zu Online-Marketing. Neben diversen mittelständischen Kunden vertrauen auch international agierende Unternehmen wie Allianz, Ritter-Sport, Zoro Tools, Salewa, Ferrero oder Cherry auf Techdivision. Aktuell verfügt Techdivision über zwei Standorte in Rosenheim/Kolbermoor und München und beschäftigt insgesamt mehr als 75 Mitarbeiter.

https://www.techdivision.com

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH