Leider liest und hört man immer wieder, dass Magento unsicher sei. Das E-Commerce-System würde diverse Schwachstellen besitzen, über die dann beispielsweise Hacker ganz leicht die persönlichen Daten abgreifen könnten. Stimmt das? Nein! Ganz im Gegenteil: Magento bietet in Sachen Sicherheit sogar eine hervorragende Basis.
Schlecht programmierte Extensions von Drittanbietern als Ursache
Neusten Meldungen zufolge wurden in Magento mehrere Sicherheitslücken gefunden, über die Angreifer die Kreditkarten-Daten von Onlineshopping-Kunden klauen konnten. Doch das ist so nicht ganz korrek: Die Sicherheitslücken traten ausschließlich in einigen Magento-Add-Ons und -Extensions auf, die von Entwicklern aus der Magento Community angeboten werden. Für diese Module sind weder Magento selbst, noch die Agenturen die sie benutzen, verantwortlich, sondern ausschließlich die Drittanbieter, die diese Extensions entwickeln.
Beim Klau der Kreditkarten-Informationen wurden sogenannte Zero-Day-Lücken ausgenutzt. Dabei handelt es sich um aufgrund von fehlerhafter Programmierung entstehende Schwachstellen, die den Angreifern erlauben, die eingegebenen Informationen in Echtzeit abzurufen und für kriminelle Zwecke weiter zu verwenden. Unter dem Namen Magecart treibt eine Hacker-Gruppierung mit genau dieser Methode seit einigen Wochen ihr Unwesen. Magento selbst kann also nichts für die gefundenen Schwachstellen, auch wenn dies fälschlicherweise behauptet wird.
Was können Kunden nun gegen diese Schwachstellen tun? Der effektivste Weg wäre, die betroffene Extension sofort zu deaktivieren oder die Schwachstelle darin beheben zu lassen. Um solche Zwischenfälle auch in Zukunft zu vermeiden, müssen die Agenturen jede Extension, die sie für die Kunden einbinden, genauestens überprüfen. Onlineshop-Betreiber sind demnach angehalten, die Entwickler ihrer E-Commerce-Plattform in die Pflicht zu nehmen, alles auf Fehler durchzuchecken – idealerweise vor dem Go-Live.
Brute-Force-Attacken gegen Magento: Theorie und Praxis
Magento ist genauso sicher wie die E-Commerce-Software von anderen Anbietern. Zu den Hacks und Diebstählen kommt es meist, weil die Onlineshop-Verantwortlichen grundlegende Maßnahmen der IT-Security missachten. Zum Beispiel werden Patches und Updates zu spät oder gar nicht eingespielt.
Immer wieder gibt es auch Meldungen über sogenannte Brute-Force-Attacken, die sich gegen Magento-Onlineshops richten. Bei diesen Angriffen geht es nicht darum, (vermeintliche) Magento-Schwachstellen auszunutzen, sondern um etwas viel Simpleres: um die Login-Daten. Eine Brute-Force-Attacke versucht auf ein Zielsystem zuzugreifen, indem in kürzester Zeit abertausende Login-Versuche mit geratenen Passwörtern und Benutzernamen abgefeuert werden. Bedenkt man dabei, dass die meisten Systeme einen Benutzer namens „Admin“ oder „Administrator“ haben, werden häufig nur für solche Benutzernamen Millionen von Passwörtern aus Zufallsgeneratoren oder Wort-Bibliotheken ausprobiert.
Eine Brute-Force-Attacke ist somit keine typische Magento-Sicherheitslücke, sondern ein allgemeines Verfahren von Kriminellen, um Passwörter zu erraten. Derlei „Cyberattacken“ (um mal das Wort der Boulevardpresse zu verwenden) kommen auch bei Webseiten und Onlineshops vor, die auf WordPress, SAP Hybris oder Shopware basieren.
Drei simple Tipps gegen Brute-Force-Attacken
- Wir raten unseren Kunden stets, die Administratorenumgebung nur von eigenen IP-Adressen und Netzen aus erreichbar zu machen.
- Es ist empfehlenswert, den üblichen Pfad wie www.beispielshop.de/admin in eine kryptische URL (zum Beispiel www.beispielshop.de/_4827adm436) zu ändern.
- Es hilft, keinen User namens „Admin“ oder „Administrator“ zu haben.
Damit Magento-Nutzer wissen, wie sie sich gegen Brute-Force-Angriffe besser schützen können, veröffentlichte Magento Inc. in seinem Blog kürzlich einen Ratgeber. Zudem gibt es unter magento.com/security/best-practices weitere hilfreiche Beiträge in Sachen Magento-Sicherheit.
Magento bietet Sicherheit auf höchstem Niveau
Wie schon erwähnt, ist Magento von Haus aus ein sehr sicheres E-Commerce-System, da mehrere Standards und Features ineinandergreifen. Dazu zählen unter anderem SSL/TSL, PCI-DSS/PA-DSS, SHA256 und weitere Maßnahmen, die wir hier im Folgenden erklären.
SSL und TSL
Magento bietet bereits im Standard die Option einer SSL-Only-Strategie, so dass die gesamte Kommunikation immer über SSL eine verschlüsselte Verbindung zwischen dem Browser des Endnutzers und der Magento-Applikation erfolgt.
SSL steht für Secure Sockets Layer und basiert auf einem Sicherheitskonzept aus den Anfängen des World Wide Web. Inzwischen sind Schwachstellen im SSL bekannt, weshalb heute alle Webseiten und Server-Betreiber auf das Nachfolgeprotokoll TLS setzen.
TLS steht für Transport Layer Security und ist im Grunde eine nur leicht angepasste Version von SSL, die aber deutlich weniger Schwachstellen hat. Da der Wechsel von SSL auf TLS oberflächlich nicht sichtbar ist, sprechen heute noch alle von SSL-Verbindungen, auch wenn eigentlich TLS-Verbindungen gemeint sind.
Magento unterstützt SSL-Only-Strategien mit HTTPS Verbindungen auf Basis aktueller TLS-Protokolle und bietet damit eine sehr gute Basis für eine Digitalplattform.
PCI-DSS / PA-DSS
PCI-DSS steht für Payment Card Industry Data Security Standard. Dieser Standard bezieht sich auf Händler und deren Prozesse und Mitarbeiter, die in Kontakt zu bezahlrelevanten Kundendaten kommen können.
Der Payment Application Data Security Standard (PA-DSS) bezieht sich auf Magento. Der PA-DS-Standard ist eine Grundvoraussetzung, um ein sogenannter PCI-Compliant zu sein – also um bezahlrelevante Kundendaten managen zu dürfen.
Die wichtigsten Punkte hierfür sind:
- Der PCI-SAQ (Payment Card Industry – Self-Assessment Questionnaire) ist ein Fragebogen, der sich um die relevantesten Punkte zum Thema Sicherheit-Best-Practices dreht. Dieser Fragebogen ist die zwingende Voraussetzung, damit Onlinehändler Payment-Methoden mit Kreditkarten gemäß PCI anbieten können.
- Bezahlrelevante Kundendaten (zum Beispiel Kreditkartendaten) dürfen niemals unverschlüsselt gespeichert oder übermittelt werden.
- Es darf keine Situation geben, in denen Unberechtigte bezahlrelevante Kundendaten unverschlüsselt sehen können.
- Verschlüsselte, bezahlrelevante Kundendaten unterliegen trotz Verschlüsselung weiteren harten Sicherheitsregeln.
Alle diese Voraussetzungen werden von Magento erfüllt.
Patches
Magento Inc. veröffentlicht regelmäßig und unregelmäßig Patches für sein E-Commerce-System. Hierdurch werden Sicherheitslücken schnellstmöglich geschlossen, zudem erfolgt eine detaillierte Dokumentation der Änderungen. Und durch den offenen Quellcode kann die Effizienz und Sicherheit des Patches jederzeit von Fachkundigen analysiert und begutachtet werden.
Im Zusammenhang mit aktuellen Magento-Patches werden auch Security Alerts – Sicherheitswarnmeldungen an Kunden – rechtzeitig und mit genügend Informationen verteilt, um aktuellen Bedrohungen zuvorkommen zu können.
Desweiteren bietet Magento eigene Security-Dienste an (beispielsweise den Magento Security Scan), womit Onlineshop-Verantwortliche ihr System auf die wichtigsten Schwachstellen prüfen können.
OWASP Top-10
Eine gute Quelle für Informationen zu aktuell bekannten Schwachstellen ist die OWASP Top-10-Liste des Open Web Application Security Project. Magento nutzt die Informationen, um konsequent Sicherheitslücken zu schließen und die Entwicklungen im Bereich Sicherheit „up to date“ zu halten.
Verschlüsselung und Hashwerte
Magento nutzt zur Verschlüsselung der Daten den Rijndael_256 Algorithmus (benannt nach Vincent Rijmen und Joan Daemen ), der dem AES (Advanced Encryption Standard) entspricht, aber eine Blockgröße von 256 Bits hat. Diese Verschlüsselung gilt allgemein heute noch als unknackbar.
Zum Hashen nutzt Magento neben dem MD5 Hash auch alternativ den SHA256-Algorithmus, der als absolut sicher bewertet wird.
Bild: Freepik
