netz98 Blog

Der E-Commerce &
Magento Blog

Magento Security (Bild: Freepik)
20. April 2018 von in Magento Howto

BruteForce & Co.: Wie sicher ist Magento?

Leider liest und hört man immer wieder, dass Magento unsicher sei. Das E-Commerce-System würde diverse Schwachstellen besitzen, über die dann beispielsweise Hacker ganz leicht die persönlichen Daten abgreifen könnten. Stimmt das? Nein! Ganz im Gegenteil: Magento bietet in Sachen Sicherheit sogar eine hervorragende Basis.

 

Brute-Force-Attacken gegen Magento: Theorie und Praxis

Magento ist genauso sicher wie die E-Commerce-Software von anderen Anbietern. Zu den Hacks und Diebstählen kommt es meist, weil die Onlineshop-Verantwortlichen grundlegende Maßnahmen der IT-Security missachten. Zum Beispiel werden Patches und Updates zu spät oder gar nicht eingespielt.

Aktuell gibt es Meldungen über sogenannte Brute-Force-Attacken, die sich gegen Magento-Onlineshops richten. Bei diesen Angriffen geht es nicht darum, (vermeintliche) Magento-Schwachstellen auszunutzen, sondern um etwas viel Simpleres: um die Login-Daten. Eine Brute-Force-Attacke versucht auf ein Zielsystem zuzugreifen, indem in kürzester Zeit abertausende Login-Versuche mit geratenen Passwörtern und Benutzernamen abgefeuert werden. Bedenkt man dabei, dass die meisten Systeme einen Benutzer namens „Admin“ oder „Administrator“ haben, werden häufig nur für solche Benutzernamen Millionen von Passwörtern aus Zufallsgeneratoren oder Wort-Bibliotheken ausprobiert.

Eine Brute-Force-Attacke ist somit keine typische Magento-Sicherheitslücke, sondern ein allgemeines Verfahren von Kriminellen, um Passwörter zu erraten. Derlei „Cyberattacken“ (um mal das Wort der Boulevardpresse zu verwenden) kommen auch bei Webseiten und Onlineshops vor, die auf WordPress, SAP Hybris oder Shopware basieren.

 


Drei simple Tipps gegen Brute-Force-Attacken



  1. Wir raten unseren Kunden stets, die Administratorenumgebung nur von eigenen IP-Adressen und Netzen aus erreichbar zu machen.

  2. Es ist empfehlenswert, den üblichen Pfad wie www.beispielshop.de/admin in eine kryptische URL (zum Beispiel www.beispielshop.de/_4827adm436) zu ändern.

  3. Es hilft, keinen User namens „Admin“ oder „Administrator“ zu haben.

 

Damit Magento-Nutzer wissen, wie sie sich gegen Brute-Force-Angriffe besser schützen können, veröffentlichte Magento Inc. in seinem Blog kürzlich einen Ratgeber. Zudem gibt es unter magento.com/security/best-practices weitere hilfreiche Beiträge in Sachen Magento-Sicherheit.

 

Magento bietet Sicherheit auf höchstem Niveau

Wie schon erwähnt, ist Magento von Haus aus ein sehr sicheres E-Commerce-System, da mehrere Standards und Features ineinandergreifen. Dazu zählen unter anderem SSL/TSL, PCI-DSS/PA-DSS, SHA256 und weitere Maßnahmen, die wir hier im Folgenden erklären.

 

SSL und TSL

Magento bietet bereits im Standard die Option einer SSL-Only-Strategie, so dass die gesamte Kommunikation immer über SSL eine verschlüsselte Verbindung zwischen dem Browser des Endnutzers und der Magento-Applikation erfolgt.

SSL steht für Secure Sockets Layer und basiert auf einem Sicherheitskonzept aus den Anfängen des World Wide Web. Inzwischen sind Schwachstellen im SSL bekannt, weshalb heute alle Webseiten und Server-Betreiber auf das Nachfolgeprotokoll TLS setzen.

TLS steht für Transport Layer Security und ist im Grunde eine nur leicht angepasste Version von SSL, die aber deutlich weniger Schwachstellen hat. Da der Wechsel von SSL auf TLS oberflächlich nicht sichtbar ist, sprechen heute noch alle von SSL-Verbindungen, auch wenn eigentlich TLS-Verbindungen gemeint sind.

Magento unterstützt SSL-Only-Strategien mit HTTPS Verbindungen auf Basis aktueller TLS-Protokolle und bietet damit eine sehr gute Basis für eine Digitalplattform.

 

PCI-DSS / PA-DSS

PCI-DSS steht für Payment Card Industry Data Security Standard. Dieser Standard bezieht sich auf Händler und deren Prozesse und Mitarbeiter, die in Kontakt zu bezahlrelevanten Kundendaten kommen können.

Der Payment Application Data Security Standard (PA-DSS) bezieht sich auf Magento. Der PA-DS-Standard ist eine Grundvoraussetzung, um ein sogenannter PCI-Compliant zu sein – also um bezahlrelevante Kundendaten managen zu dürfen.

Die wichtigsten Punkte hierfür sind:

  • Der PCI-SAQ (Payment Card Industry – Self-Assessment Questionnaire) ist ein Fragebogen, der sich um die relevantesten Punkte zum Thema Sicherheit-Best-Practices dreht. Dieser Fragebogen ist die zwingende Voraussetzung, damit Onlinehändler Payment-Methoden mit Kreditkarten gemäß PCI anbieten können.
  • Bezahlrelevante Kundendaten (zum Beispiel Kreditkartendaten) dürfen niemals unverschlüsselt gespeichert oder übermittelt werden.
  • Es darf keine Situation geben, in denen Unberechtigte bezahlrelevante Kundendaten unverschlüsselt sehen können.
  • Verschlüsselte, bezahlrelevante Kundendaten unterliegen trotz Verschlüsselung weiteren harten Sicherheitsregeln.

Alle diese Voraussetzungen werden von Magento erfüllt.

 

Patches

Magento Inc. veröffentlicht regelmäßig und unregelmäßig Patches für sein E-Commerce-System. Hierdurch werden Sicherheitslücken schnellstmöglich geschlossen, zudem erfolgt eine detaillierte Dokumentation der Änderungen. Und durch den offenen Quellcode kann die Effizienz und Sicherheit des Patches jederzeit von Fachkundigen analysiert und begutachtet werden.

Im Zusammenhang mit aktuellen Magento-Patches werden auch Security Alerts – Sicherheitswarnmeldungen an Kunden – rechtzeitig und mit genügend Informationen verteilt, um aktuellen Bedrohungen zuvorkommen zu können.

Desweiteren bietet Magento eigene Security-Dienste an (beispielsweise den Magento Security Scan), womit Onlineshop-Verantwortliche ihr System auf die wichtigsten Schwachstellen prüfen können.

 

OWASP Top-10

Eine gute Quelle für Informationen zu aktuell bekannten Schwachstellen ist die OWASP Top-10-Liste des Open Web Application Security Project. Magento nutzt die Informationen, um konsequent Sicherheitslücken zu schließen und die Entwicklungen im Bereich Sicherheit „up to date“ zu halten.

 

Verschlüsselung und Hashwerte

Magento nutzt zur Verschlüsselung der Daten den Rijndael_256 Algorithmus (benannt nach Vincent Rijmen und Joan Daemen ), der dem AES (Advanced Encryption Standard) entspricht, aber eine Blockgröße von 256 Bits hat. Diese Verschlüsselung gilt allgemein heute noch als unknackbar.

Zum Hashen nutzt Magento neben dem MD5 Hash auch alternativ den SHA256-Algorithmus, der als absolut sicher bewertet wird.

 

Bild: Freepik

Über den Autor / die Autorin

Kommentar hinterlassen

*Pflichtfeld

netz98 flyin

Verpassen Sie nicht mehr das Neueste rund um E-Commerce- und Magento-Themen!

Mit der Anmeldung zu unserem Newsletter erhalten Sie regelmäßig wissenswerte und spannende Informationen, die IHR Online-Business nach vorne bringen.

Vielen Dank für Ihre Anmeldung! Wir haben Ihnen soeben ein E-Mail gesendet. Bitte bestätigen Sie in der E-Mail Ihre Anmeldung.