MAGENTO Desaster 2.0 – ein Kommentar

Magento Cybercrime Attacke

Man kann es drehen und wenden wie man will, ob Opensource nun ganz toll ist oder nicht. Fakt ist und bleibt – und das stelle ich ganz ohne Häme fest – eine Opensource Lösung ist ein stetig dampfendes Pulverfass und je erfolgreicher die Opensource-Software ist, umso attraktiver ist diese für potentielle Angreifer, wie der aktuelle Skimming Zwischenfall bei Magento beweist.

Laut BSI wurden alleine 1.000 Magento Onlineshops in Deutschland lokalisiert, die kompromittiert wurden.

Im Klartext – 1.000 Webshops, die auf der Shopsoftware von Magento basieren, werden von Hackern, die den schadhaften Code eingeschleust haben, belauscht.

Dies betrifft sämtlichen Datenverkehr, der über den Onlinshop abgewickelt wird – also E-Mail Adressen, Privatanschriften und noch viel schlimmer – Bezahldaten wie z.B. Kreditkarten-Nummern. Weltweit sind davon 6.000 Onlineshops betroffen. Aus meiner Sicht ein Desaster und ein herber Rückschlag für den eCommerce, denn das Vertrauen in Onlineshop wird nachhaltig gestört – der Kunde hört ja nun nicht auf Online zu kaufen, aber wo macht er es dann? Bei Amazon oder eBay – Endstation eCommerce.

Da die Sicherheitslücke schon seit Monaten bekannt ist, könnte man den Shopbetreibern  Unwissen, Untätigkeit, Inkompetenz oder sonstigen Unbill an den Kopf werfen, schließlich sind sie ja nach § 13 Absatz 7 TMG dazu verpflichtet ihren Onlineshop dem Stand der Technik entsprechend zu aktualisieren und gegen Angriffe zu schützen – das ist richtig. Aber wer von den Damen und Herren ist als Händler nun wirklich ein IT Experte?

Wie funktioniert so ein Angriff eigentlich in der Praxis?

Das Verfahren ist relativ einfach. Angreifer lokalisieren bevorzugt in erfolgreichen Opensource Softwaresystemen Sicherheitslücken. Der Code der Softwaresysteme – so auch Magento oder einem 3rd Party Plugin steht jedem öffentlich zur Verfügung. Für die löchrige Software werden wiederum Programme erstellt, die die Server mit dieser Sicherheitslücke automatisiert aufspüren und im Falle eines Sucherfolges automatisiert eindringen. Man kann sich das so vorstellen wie einen Crawler, der sich Seite für Seite im Internet vornimmt und schaut, ob es sich um eine verletzliche Installation handelt – praktisch ein böser Google-Bot. Ist der Angreifer erst einmal im System eingedrungen, kann er in der Regel bis zu einem gewissen Grad damit machen, was er möchte (Daten abhören, Nutzung des Servers für Bot-Netze usw.) – also ein Albtraum für einen Shopbetreiber.

Wer ist nun eigentlich Schuld an dieser Misere?

Der Software-Hersteller? Die Internet-Agenturen, die den Händlern löchrige Softwaresysteme empfehlen? Oder am Ende doch der Händler? Aus meiner Sicht teilen sich diese zu je einem Drittel die Verantwortung:

  • 33,3% die Software-Hersteller wie z.B. Magento versprechen in ihren Marketingunterlagen ein Produkt, das offensichtlich löchrig ist wie ein schweizer Käse
  • 33,3% die Agenturen ignorieren dies – im Gegenteil, denn häufige Updates bedeuten für die Agenturen ein gutes Geschäft
  • 33,3% der Händler beschäftigt sich 0,0% mit dem Thema Internet-Sicherheit – dies müßte jedoch oberste Pflicht sein, denn ein Störfall der beschriebenen Art ist ein Gau, der zur Existenzvernichtung führen kann. Leider ist das eine Wunschvorstellung, die in der Praxis fernab der Realität liegt. Ein Händler hat besseres zu tun, als sich permanent über Security-Issues seines Onlineshop Systems zu kümmern

Fazit: liebe Händler schiebt die Verantwortung nicht auf die Agenturen ab, der Kadi wird sich in dem Fall, dass es strafrechtlich wird bei Euch anmelden – nicht beim Softwarehersteller und auch nicht bei Eurer Agentur.

Werft Eure Opensource-Systeme über Bord und ersetzt diese durch leistungsfähige kommerzielle Software. Ihr baut doch Eure Ladengeschäfte auch nicht aus Wellpappe.

Was kann ein Shopbetreiber tun?

Meine Empfehlung lautet im ersten Schritt: Finger weg von Opensource-Produkten für enorm geschäftskritische Prozesse. Warum nutzen Kunden, die sich eine SAP R/3 leisten können noch eine Magento? Die Antwort ist einfach – das Marketing stimmt. Es gibt viele Agenturen, es gibt viele fertige Plugins, Templates – eine tolle, bunte eCommerce Welt, die man sich nach dem Baukasten-Prinzip zusammenstellen kann. Das dumme dabei ist – und das wissen viele Händler nicht oder sie ignorieren es – nicht ist aus einem Guss – viele Köche verderben den Brei – das ist keine neue Weisheit. Closed-Source Produkte, also kommerzielle Shopsysteme, sind auf den ersten Blick teurer, jedoch langfristig nachhaltiger, denn der Quellcode der Software ist nicht jedem Hacker-Bubi, der irgendwo auf der Welt sitzt uneingeschränkt zugänglich und die Kontrolle, wer an dem Produkt Software-Entwicklung betreiben darf, ist deutlich konsequenter.

Der zweite Level der Vorbeugung vor Kompromittierung ist die Auslagerung der Geschäftslogik in einen Bereich, der dem Angreifer nicht zugänglich ist. Vorzugsweise ist dies eine Applikation, die in einem netzwerktechnisch für den Angreifer nicht zugänglichen Bereich liegt – ein Intranet zum Beispiel. Diese Systeme haben nur minimale Geschäftslogik auf dem Server und dank minimaler Logik können auch nur minimale Angriffe auf Software erfolgen. Meinem Kenntnisstand entsprechend, können dies zwei Systeme:

Die Shopinhalte wie CMS und Shopseiten werden auf dem Applikationsserver gerendert und HTML erstellt, das auf dem Produktionsserver, der im Internet steht per FTP hochgeladen. Dies mag zwar etwas „oldschool“ klingen, hat aber in Bezug auf Performance und Sicherheit eindeutig Vorteile – dies wird mir jeder IT Experte bescheinigen.

Der dritte Level, um Angreifer aus seinem Webshop fern zu halten, ist permanente Überwachung und Aktualisierung sämtlicher Komponenten auf dem Hosting-Server des Onlineshop. Dies ist für erfolgreiches eCommerce unabdingbar und setze ich für jeden Onlineshop Betreiber grundlegend voraus. Prüft, ob Euer Provider wirklich hält, was er verspricht.

Ein völlig anderer Ansatz ist, ist die komplette Auslagerung der Applikation und dem verbundenen Frontend zu einen Cloud-Softwareanbieter

Diese Lösungen fallen auch unter den „Closed-Source“ Ansatz, denn niemand außer dem Hersteller hat Zugriff auf den Software-Core und das ist auch gut so. Hier haben sich in den letzten Jahren einige wenige gute Anbieter aufgetan, die es Wert sind, dass man den Umzug von einer verbastelten Software-Ruine zu einem Hersteller-gewarteten Softwaresystem auf sich nimmt:

  • Plentymarkets – am deutschsprachigen Markt eines der führenden SaaS Systeme, das die Warenwirtschaft und Multichannel Support beinhaltet
  • Shopify – ein junges Shopsystem aus den USA, das durch seine hohe Funktionalität sehr schnell Marktanteile gewinnen konnte. Shopify beinhaltet keine Warenwirtschaft
  • VersaCommerce – die deutsche Alternative zu Shopify. VersacCommerce versteht sich ebenfalls als Shopsystem, nicht als Warenwirtschaft
Avatar for Lars Denzer
Über Lars Denzer 60 Artikel
Geboren 01.09.1971, Studium an der TU-Kaiserslautern, Abschluss Dipl.-Biol. mit Abschluß in der Fachrichtung "neuronale Netzwerke", leitet Lars Denzer die technologische und strategische Entwicklung der omeco GmbH seit Gründung des Unternehmens. Zu den Schwerpunkten von Lars Denzer gehört die Beratung, Konzeption und Umsetzung von eCommerce Software (Shopsystem + Warenwirtschaftssystem).

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*