Home » AR » BruteForce, Zero-Day-Lücken & Co.: Wie sicher ist Magento?
Magento Security (Bild: Freepik)

BruteForce, Zero-Day-Lücken & Co.: Wie sicher ist Magento?

Leider liest und hört man immer wieder, dass Magento unsicher sei. Das E-Commerce-System würde diverse Schwachstellen besitzen, über die dann beispielsweise Hacker ganz leicht die persönlichen Daten abgreifen könnten. Stimmt das? Nein! Ganz im Gegenteil: Magento bietet in Sachen Sicherheit sogar eine hervorragende Basis.

Schlecht programmierte Extensions von Drittanbietern  als Ursache

Neusten Meldungen zufolge wurden in Magento mehrere Sicherheitslücken gefunden, über die Angreifer die Kreditkarten-Daten von Onlineshopping-Kunden klauen konnten. Doch das ist so nicht ganz korrek: Die Sicherheitslücken traten ausschließlich in einigen Magento-Add-Ons und -Extensions auf, die von Entwicklern aus der Magento Community angeboten werden. Für diese Module sind weder Magento selbst, noch die Agenturen die sie benutzen, verantwortlich, sondern ausschließlich die Drittanbieter, die diese Extensions entwickeln.

Beim Klau der Kreditkarten-Informationen wurden sogenannte Zero-Day-Lücken ausgenutzt. Dabei handelt es sich um aufgrund von fehlerhafter Programmierung entstehende Schwachstellen, die den Angreifern erlauben, die eingegebenen Informationen in Echtzeit abzurufen und für kriminelle Zwecke weiter zu verwenden. Unter dem Namen Magecart treibt eine Hacker-Gruppierung mit genau dieser Methode seit einigen Wochen ihr Unwesen. Magento selbst kann also nichts für die gefundenen Schwachstellen, auch wenn dies fälschlicherweise behauptet wird.

Was können Kunden nun gegen diese Schwachstellen tun? Der effektivste Weg wäre, die betroffene Extension sofort zu deaktivieren oder die Schwachstelle darin beheben zu lassen. Um solche Zwischenfälle auch in Zukunft zu vermeiden, müssen die Agenturen jede Extension, die sie für die Kunden einbinden, genauestens überprüfen. Onlineshop-Betreiber sind demnach angehalten, die Entwickler ihrer E-Commerce-Plattform in die Pflicht zu nehmen, alles auf Fehler durchzuchecken – idealerweise vor dem Go-Live.

Brute-Force-Attacken gegen Magento: Theorie und Praxis

Magento ist genauso sicher wie die E-Commerce-Software von anderen Anbietern. Zu den Hacks und Diebstählen kommt es meist, weil die Onlineshop-Verantwortlichen grundlegende Maßnahmen der IT-Security missachten. Zum Beispiel werden Patches und Updates zu spät oder gar nicht eingespielt.

Immer wieder gibt es auch Meldungen über sogenannte Brute-Force-Attacken, die sich gegen Magento-Onlineshops richten. Bei diesen Angriffen geht es nicht darum, (vermeintliche) Magento-Schwachstellen auszunutzen, sondern um etwas viel Simpleres: um die Login-Daten. Eine Brute-Force-Attacke versucht auf ein Zielsystem zuzugreifen, indem in kürzester Zeit abertausende Login-Versuche mit geratenen Passwörtern und Benutzernamen abgefeuert werden. Bedenkt man dabei, dass die meisten Systeme einen Benutzer namens „Admin“ oder „Administrator“ haben, werden häufig nur für solche Benutzernamen Millionen von Passwörtern aus Zufallsgeneratoren oder Wort-Bibliotheken ausprobiert.

Eine Brute-Force-Attacke ist somit keine typische Magento-Sicherheitslücke, sondern ein allgemeines Verfahren von Kriminellen, um Passwörter zu erraten. Derlei „Cyberattacken“ (um mal das Wort der Boulevardpresse zu verwenden) kommen auch bei Webseiten und Onlineshops vor, die auf WordPress, SAP Hybris oder Shopware basieren.

Drei simple Tipps gegen Brute-Force-Attacken

  1. Wir raten unseren Kunden stets, die Administratorenumgebung nur von eigenen IP-Adressen und Netzen aus erreichbar zu machen.
  2. Es ist empfehlenswert, den üblichen Pfad wie www.beispielshop.de/admin in eine kryptische URL (zum Beispiel www.beispielshop.de/_4827adm436) zu ändern.
  3. Es hilft, keinen User namens „Admin“ oder „Administrator“ zu haben.

Damit Magento-Nutzer wissen, wie sie sich gegen Brute-Force-Angriffe besser schützen können, veröffentlichte Magento Inc. in seinem Blog kürzlich einen Ratgeber. Zudem gibt es unter magento.com/security/best-practices weitere hilfreiche Beiträge in Sachen Magento-Sicherheit.

Magento bietet Sicherheit auf höchstem Niveau

Wie schon erwähnt, ist Magento von Haus aus ein sehr sicheres E-Commerce-System, da mehrere Standards und Features ineinandergreifen. Dazu zählen unter anderem SSL/TSL, PCI-DSS/PA-DSS, SHA256 und weitere Maßnahmen, die wir hier im Folgenden erklären.

SSL und TSL

Magento bietet bereits im Standard die Option einer SSL-Only-Strategie, so dass die gesamte Kommunikation immer über SSL eine verschlüsselte Verbindung zwischen dem Browser des Endnutzers und der Magento-Applikation erfolgt.

SSL steht für Secure Sockets Layer und basiert auf einem Sicherheitskonzept aus den Anfängen des World Wide Web. Inzwischen sind Schwachstellen im SSL bekannt, weshalb heute alle Webseiten und Server-Betreiber auf das Nachfolgeprotokoll TLS setzen.

TLS steht für Transport Layer Security und ist im Grunde eine nur leicht angepasste Version von SSL, die aber deutlich weniger Schwachstellen hat. Da der Wechsel von SSL auf TLS oberflächlich nicht sichtbar ist, sprechen heute noch alle von SSL-Verbindungen, auch wenn eigentlich TLS-Verbindungen gemeint sind.

Magento unterstützt SSL-Only-Strategien mit HTTPS Verbindungen auf Basis aktueller TLS-Protokolle und bietet damit eine sehr gute Basis für eine Digitalplattform.

PCI-DSS / PA-DSS

PCI-DSS steht für Payment Card Industry Data Security Standard. Dieser Standard bezieht sich auf Händler und deren Prozesse und Mitarbeiter, die in Kontakt zu bezahlrelevanten Kundendaten kommen können.

Der Payment Application Data Security Standard (PA-DSS) bezieht sich auf Magento. Der PA-DS-Standard ist eine Grundvoraussetzung, um ein sogenannter PCI-Compliant zu sein – also um bezahlrelevante Kundendaten managen zu dürfen.

Die wichtigsten Punkte hierfür sind:

  • Der PCI-SAQ (Payment Card Industry – Self-Assessment Questionnaire) ist ein Fragebogen, der sich um die relevantesten Punkte zum Thema Sicherheit-Best-Practices dreht. Dieser Fragebogen ist die zwingende Voraussetzung, damit Onlinehändler Payment-Methoden mit Kreditkarten gemäß PCI anbieten können.
  • Bezahlrelevante Kundendaten (zum Beispiel Kreditkartendaten) dürfen niemals unverschlüsselt gespeichert oder übermittelt werden.
  • Es darf keine Situation geben, in denen Unberechtigte bezahlrelevante Kundendaten unverschlüsselt sehen können.
  • Verschlüsselte, bezahlrelevante Kundendaten unterliegen trotz Verschlüsselung weiteren harten Sicherheitsregeln.

Alle diese Voraussetzungen werden von Magento erfüllt.

Patches

Magento Inc. veröffentlicht regelmäßig und unregelmäßig Patches für sein E-Commerce-System. Hierdurch werden Sicherheitslücken schnellstmöglich geschlossen, zudem erfolgt eine detaillierte Dokumentation der Änderungen. Und durch den offenen Quellcode kann die Effizienz und Sicherheit des Patches jederzeit von Fachkundigen analysiert und begutachtet werden.

Im Zusammenhang mit aktuellen Magento-Patches werden auch Security Alerts – Sicherheitswarnmeldungen an Kunden – rechtzeitig und mit genügend Informationen verteilt, um aktuellen Bedrohungen zuvorkommen zu können.

Desweiteren bietet Magento eigene Security-Dienste an (beispielsweise den Magento Security Scan), womit Onlineshop-Verantwortliche ihr System auf die wichtigsten Schwachstellen prüfen können.

OWASP Top-10

Eine gute Quelle für Informationen zu aktuell bekannten Schwachstellen ist die OWASP Top-10-Liste des Open Web Application Security Project. Magento nutzt die Informationen, um konsequent Sicherheitslücken zu schließen und die Entwicklungen im Bereich Sicherheit „up to date“ zu halten.

Verschlüsselung und Hashwerte

Magento nutzt zur Verschlüsselung der Daten den Rijndael_256 Algorithmus (benannt nach Vincent Rijmen und Joan Daemen ), der dem AES (Advanced Encryption Standard) entspricht, aber eine Blockgröße von 256 Bits hat. Diese Verschlüsselung gilt allgemein heute noch als unknackbar.

Zum Hashen nutzt Magento neben dem MD5 Hash auch alternativ den SHA256-Algorithmus, der als absolut sicher bewertet wird.

Bild: Freepik

 

Ihr Kontakt

Hartwig Göttlicher
Hartwig Göttlicher
Head of Business Development
Intelligente Personalisierung mit Adobe Sensei
Hände malen einen Schuh individuell an, daneben Hinweis auf Blogreihe Teil "2/3" und Schriftzug "Personalisierung mit Adobe Sensei"

Entdecken Sie, wie Adobe Sensei die Personalisierung im E-Commerce optimiert und zu individuellen Kundenerlebnissen in Adobe Commerce beiträgt.

Zielgerichtete Personalisierung mit Magento
Hände malen einen Schuh individuell an, daneben Hinweis auf Blogreihe Teil "1/3" und Schriftzug "Personalisierung mit Adobe Commerce"

Entdecken Sie, wie Magento Personalisierung durch eine effiziente Kundensegmentierung ermöglicht und starten Sie mit einem zielgerichteten E-Commerce durch.

Magento Negotiable Quotes – ein Schlüssel zum Erfolg im B2B E-Commerce 
Adobe-Logo mit Schriftzug "How-to: Magento Negotiable Quotes" daneben

Entdecken Sie, wie Negotiable Quotes das Pricing im B2B E-Commerce effizienter macht. Verbessern Sie Ihren Kundenservice und erhöhen Sie Ihre Read more

Magento Reward Points: Kundenbindung über Treueprämien bei bosch Tiernahrung

bosch Tiernahrung nutzt Magento Reward Points für die Kundenbindung. Das netz98-Team hat seinem Kunden dafür ein Treueprogramm mit Prämien maßgeschneidert.

So funktioniert das B2B-Geschäft mit Adobe Commerce (Magento)
Adobe Commerce B2B

Onlineshops von B2B-Firmen sollten spezielle Branchen-Anforderungen erfüllen. Die Shopsoftware Adobe Commerce bietet dafür eine Palette flexibler Features.

So gelingt die SAP-Variantenkonfiguration in Adobe Commerce
SAP-Variantenkonfiguration

Shopbetreiber, die individuelle Produkt-Konfigurationen anbieten, können mit SAP und Adobe Commerce viel erreichen. Wir zeigen, wie die Kombination gelingt.

Headless Commerce: Der Game Changer des modernen E-Commerce?
Headless Commerce Gamechanger

Headless Commerce hat sich zu einer handfesten Revolution im E-Commerce entpuppt. Was ist der Status quo und wohin wird sich Read more

Der Vorteil erweiterter Kern-Features von Adobe Commerce

Adobe Commerce kann dank dedizierter Anpassungen an Kernfunktionen von Experten wie netz98 neue technologische Standards setzen.

Über den Autor