Datensicherheit ist eines der wichtigsten Themen für Shop-Betreiber. Sensible Kundendaten, Produkt- und Unternehmensinformationen müssen so sicher wie möglich sein, vor allem wenn sie auf einem externen Server bereitgestellt werden.
Sicherheit ist gerade im E-Commerce ein heikles Thema
Sicherheit im E-Commerce ist auch Jahr 2020 eines der Topthemen – das zeigen ferner Markt-Studien, in denen viele Unternehmen angeben, mehr in Sicherheit investieren zu wollen. Trotzdem sind Shopbetreiber vor Hackerangriffen nie vollends geschützt – und alle Schutzmechanismen auf Serverseite bringen nichts, wenn es andere Lücken gibt.
Im Fall des E-Commerce-Systems Magento zum Beispiel, können Mitarbeiter, die einen Zugang zum Magento Backend System des Unternehmens haben – wie z.B. aus dem Kundenservice – auf sensible Daten der Kunden und Bestellungen zugreifen. Wenn diese Zugänge mit einem einfachen Passwort versehen sind, ist das Potential eines Hackerangriffs hoch und diese sensiblen Daten sind nicht ausreichend geschützt.
Zweifache Absicherung sollte der Standard sein
Ein wichtiger und sinnvoller Weg, das Magento Admin-Backend besser zu schützen ist die 2-Faktor Authentisierung, die Magento seit der Version 2.3. im Standard mitbringt. Zwei-Faktor-Authentisierung – oder auch Zwei-Faktor Authentifizierung (kurz 2FA) werden Sicherheitsüberprüfungen bezeichnet, bei denen aus zwei unterschiedlichen Quellen eine Autorisierung erfolgen muss, für einen erfolgreichen Login.
Diese zweistufige Überprüfung des Nutzers erweitert die Absicherung des Magento-Backend durch die normale Passworteingabe um eine Identifikation durch ein weiteres System. Die Zwei-Faktor Authentifizierung ist kein unbekannter Ansatz – vielen Nutzern ist diese Methode vor allem durch Online-Zahlungen bekannt. Dort wird zum Beispiel neben der Kreditkartennummer oder des Sicherheitscodes auf der Rückseite der Karte, zusätzlich eine einmalige PIN, die auf das Handy des Nutzers geschickt wird, abgefragt.
Dedizierte Hardware als unüberwindbare Sicherheitsbarriere
Natürlich gibt es beim Thema Zwei-Faktor Authentifizierung viele verschiedene Anbieter und Abfrage-Möglichkeiten. Magento bietet hier vier verschiedene Anbieter an:
- Google Authenticator
- U2F Devices (unter anderem Yubikey)
- Duo Security
- Authy
Die 2FA ist ganz einfach unter Stores > Configuration > General > Security > 2FA konfigurierbar:
Die Absicherung mit einem U2F Key wie z.B. YubiKeys ist besonders interessant, da hier auch ein physisches Device eingesetzt wird. Nach der Passworteingabe muss durch Klicken auf den YubiKey die Identität bestätigt werden. So ist sichergestellt, dass niemand von einem anderen Rechner auf das eigene Konto zugreift, da zum Login auch immer den physischen Key benötigt wird. Die Keys bieten eine sehr sichere zwei-stufige Absicherung des Magento Admin-Backens und der Login geht zudem super schnell, was die Nutzer nicht weiter benachteiligt.
netz98 setzt die 2FA von Magento mit YubiKeys bereits für Administratoren bei Magento-Shops ein und gewährleisten so eine deutlich höhere Sicherheit der datenschutzrelevanten Daten.
Bilder: netz98, Magento
