Vor 5 Jahren hat Magento die Version 2 veröffentlicht. Da eine einfache Migration von Magento 1 auf Magento 2 nicht möglich ist – die Architektur hat sich maßgeblich verändert – halten einige Betreiber weiterhin an Magento 1 fest und schieben den Umzug auf. Beim Thema Sicherheit kann das langfristig zu Problemen führen.
Betreiber halten an alter Software fest
Die veränderte Architektur von Magento 2 führte dazu, dass es keine Abwärtskompatibilität zur Version 1 gab. Da sich viele Betreiber von Magento 1 Plattformen beschwerten, ließ sich Magento auf eine Verlängerung der Support- und Lizenz-Zeiträume der zu dieser Zeit aktuellsten Version, Magento 1.14, bis Juni 2020 ein. Nun befinden wir uns im besagten Monat und noch immer gibt es E-Commerce-Plattformen, die auf der Basis von Magento 1 laufen. Technisch gesehen ist das zwar in Ordnung, jedoch müssen einige wichtige Voraussetzungen gegeben sein, damit das Festhalten an der Vorgängerversion nicht zu Problemen führt.
Sicherheitspatches
Gerade das Thema Sicherheit rückt hierbei in den Fokus. Da Sicherheitspatches für die Magento 1 Version nicht mehr vom Hersteller gestellt werden, müssen eigene Patches entwickelt werden. Um die Sicherheit zu gewährleisten, muss sich ein Team, das sich mit den aktuellen Gegebenheiten und Risiken rund um die Thematik Security und Hacks auskennt, um alle verwendeten Komponenten kümmern. Dabei müssen sie unter anderem die eingesetzten Webserver, die MySQL-Datenbank, die PHP-Version sowie das Betriebssystem immer im Auge behalten und auch Systeme und Dienste wie REDIS Cache oder Varnish auf Sicherheitslücken und Schwachstellen überprüfen. Um die Sicherheit mit Hilfe von Patches zu garantieren, fordert Magento eine kontinuierliche Lizenz der aktuellen Version.
Payment
Auch beim Thema Payment kann es durch das Festhalten an Magento 1 zu erheblichen Sicherheitslücken kommen. PCI-DSS bedeutet „Payment Card Industry Data Security Standard“. Diese Standards werden von einer Gruppe namhafter Payment-Anbieter und Interessenvertreter entwickelt. Die Gruppe beschreibt sich selbst so: „Das PCI Security Standards Council ist ein internationales, offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten.“ Um PCI-DSS „ready“ oder im besten Fall sogar „compliant“ zu sein, müssen E-Commerce-Plattformen entsprechend abgesichert sein.
Adyen und Visa warnen vor Sicherheitsrisiko
Adyen, einer der größten Anbieter von Payment-Lösungen, hat das entstehende Sicherheitsrisiko frühzeitig erkannt und seine Kunden darauf hingewiesen, dass ihr Magento 1 Shop voraussichtlich nach Support-Ende im Juni 2020 nicht mehr PCI konform sein wird. Die Botschaft war klar: Wer trotzdem auf Magento 1 bleibt, wird die Payment Card Industry Data Security Standards nicht einhalten.
Auch VISA hat sich bezüglich des Support-Endes von Magento 1 klar positioniert. So veröffentlichte diese im April 2020 ein Handbuch mit dem Titel “Acquirer Advisory – Urgent Action Required – Magento 1 support to end after June 2020“. Darin heißt es: “Given the absence of security patches after the revised cut-off date, any sites that have failed to migrate will be vulnerable to security breaches and pose an increased risk to the security of payment card data.”
Thematisiert wird im Handbuch ebenfalls, dass Magento 1 die Standards der PCI-DSS nach Juni 2020 nicht mehr erfülllt: “PCI DSS Requirements 6.1 and 6.2 address the need to keep systems up to date with vendor-supplied security patches to protect systems from known vulnerabilities. Hence, failing to migrate a Magento 1 ecommerce website will cause merchants to fall out of PCI DSS compliance because no security patch will be available for new vulnerabilities after June 2020.” Das bedeutet konkret, wer keinen vom Hersteller bereitgestellten Sicherheitspatch erhält, wird hier ein Problem bekommen.
Auch bei der Open Source Version muss Verantwortung übernommen werden
Die Open Source Version von Magento 1 kann man zwar weiternutzen, jedoch war und ist das Unternehmen selbst verantwortlich für alle Sicherheitsthemen. Wer sich für die Open Source Version entschied, wählte von Anfang an die komplette Eigenverantwortung, auch wenn der Hersteller teilweise Open Source Patches veröffentlicht hat. Bislang konnte durch den Besitz der Magento 1 Lizenzversion ein Teil der Verantwortung beim Thema Sicherheit an Magento weitergereicht werden. Doch damit ist nun Schluss. Wer auf Nummer sicher gehen möchte, kommt um einen Wechsel auf Magento 2 nun nicht mehr herum.
