netz98 Blog
Der E-Commerce &
Magento Blog
Teaserbild PCI
26. Juni 2020 von in Magento News

Vorsicht vor Sicherheitslücken: Darum empfiehlt sich der Magento 2 Umstieg

Vor 5 Jahren hat Magento die Version 2 veröffentlicht. Da eine einfache Migration von Magento 1 auf Magento 2 nicht möglich ist – die Architektur hat sich maßgeblich verändert – halten einige Betreiber weiterhin an Magento 1 fest und schieben den Umzug auf. Beim Thema Sicherheit kann das langfristig zu Problemen führen.

Betreiber halten an alter Software fest

Die veränderte Architektur von Magento 2 führte dazu, dass es keine Abwärtskompatibilität zur Version 1 gab. Da sich viele Betreiber von Magento 1 Plattformen beschwerten, ließ sich Magento auf eine Verlängerung der Support- und Lizenz-Zeiträume der zu dieser Zeit aktuellsten Version, Magento 1.14, bis Juni 2020 ein. Nun befinden wir uns im besagten Monat und noch immer gibt es E-Commerce-Plattformen, die auf der Basis von Magento 1 laufen. Technisch gesehen ist das zwar in Ordnung, jedoch müssen einige wichtige Voraussetzungen gegeben sein, damit das Festhalten an der Vorgängerversion nicht zu Problemen führt.

 

Sicherheitspatches

Gerade das Thema Sicherheit rückt hierbei in den Fokus. Da Sicherheitspatches für die Magento 1 Version nicht mehr vom Hersteller gestellt werden, müssen eigene Patches entwickelt werden. Um die Sicherheit zu gewährleisten, muss sich ein Team, das sich mit den aktuellen Gegebenheiten und Risiken rund um die Thematik Security und Hacks auskennt, um alle verwendeten Komponenten kümmern. Dabei müssen sie unter anderem die eingesetzten Webserver, die MySQL-Datenbank, die PHP-Version sowie das Betriebssystem immer im Auge behalten und auch Systeme und Dienste wie REDIS Cache oder Varnish auf Sicherheitslücken und Schwachstellen überprüfen. Um die Sicherheit mit Hilfe von Patches zu garantieren, fordert Magento eine kontinuierliche Lizenz der aktuellen Version.

 

Payment

Auch beim Thema Payment kann es durch das Festhalten an Magento 1 zu erheblichen Sicherheitslücken kommen. PCI-DSS bedeutet „Payment Card Industry Data Security Standard“. Diese Standards werden von einer Gruppe namhafter Payment-Anbieter und Interessenvertreter entwickelt. Die Gruppe beschreibt sich selbst so: „Das PCI Security Standards Council ist ein internationales, offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten.“ Um PCI-DSS „ready“ oder im besten Fall sogar „compliant“ zu sein, müssen E-Commerce-Plattformen entsprechend abgesichert sein.

 

Adyen und Visa warnen vor Sicherheitsrisiko

Adyen, einer der größten Anbieter von Payment-Lösungen, hat das entstehende Sicherheitsrisiko frühzeitig erkannt und seine Kunden darauf hingewiesen, dass ihr Magento 1 Shop voraussichtlich nach Support-Ende im Juni 2020 nicht mehr PCI konform sein wird. Die Botschaft war klar: Wer trotzdem auf Magento 1 bleibt, wird die Payment Card Industry Data Security Standards nicht einhalten.

Auch VISA hat sich bezüglich des Support-Endes von Magento 1 klar positioniert. So veröffentlichte diese im April 2020 ein Handbuch mit dem Titel “Acquirer Advisory – Urgent Action Required – Magento 1 support to end after June 2020“. Darin heißt es: “Given the absence of security patches after the revised cut-off date, any sites that have failed to migrate will be vulnerable to security breaches and pose an increased risk to the security of payment card data.”

Thematisiert wird im Handbuch ebenfalls, dass Magento 1 die Standards der PCI-DSS nach Juni 2020 nicht mehr erfülllt: “PCI DSS Requirements 6.1 and 6.2 address the need to keep systems up to date with vendor-supplied security patches to protect systems from known vulnerabilities. Hence, failing to migrate a Magento 1 ecommerce website will cause merchants to fall out of PCI DSS compliance because no security patch will be available for new vulnerabilities after June 2020.” Das bedeutet konkret, wer keinen vom Hersteller bereitgestellten Sicherheitspatch erhält, wird hier ein Problem bekommen.

Auch bei der Open Source Version muss Verantwortung übernommen werden

Die Open Source Version von Magento 1 kann man zwar weiternutzen, jedoch war und ist das Unternehmen selbst verantwortlich für alle Sicherheitsthemen. Wer sich für die Open Source Version entschied, wählte von Anfang an die komplette Eigenverantwortung, auch wenn der Hersteller teilweise Open Source Patches veröffentlicht hat. Bislang konnte durch den Besitz der Magento 1 Lizenzversion ein Teil der Verantwortung beim Thema Sicherheit an Magento weitergereicht werden. Doch damit ist nun Schluss. Wer auf Nummer sicher gehen möchte, kommt um einen Wechsel auf Magento 2 nun nicht mehr herum.

Über den Autor / die Autorin

Comments (9)

  • Michael Leiss

    Im Artikel scheint immer wieder durch, dass der Wunsch den Kunden zum Wechsel zu drängen, der Vater des Gedanken ist. Weder werden Alternativen oder Lösungen aufgezeigt, die Gründe verkommen zur Polemik. Es gibt sicher viele Gründe, das in die Jahre gekommene Magento1 Projekt, je nach Ist-Situation, in den nächsten Monaten bis Jahren abzulösen. Triebfeder sollte aber nicht die Furcht vor Verletzung der PCI DSS Compliance sein, sondern je nach TCO und Break-Even Überlegungen, pragmatische Lösungen anzubieten. Sie verschweigen das Projekt mage-one.com und bieten Merchants, die aktuell vor Entscheidungen stehen, leider keinen echten Mehrwert. Sie schreiben, als ob man in der Vergangenheit nicht selbst für die Sicherheit der Plattform verantwortlich gewesen wäre. 95% der Entwicklung kam aus der Community. Bitte tarnen Sie künftig die Ziele besser oder gehen Sie, ohne zu verängstigen, in die Datails des Themas. Ich denke eine informative, zielgerichtete Kommunikation wirkt seriöser. Ein Blogbeitrag sollte nicht zum Selbstzweck verkommen.

    • netz98

      Hallo Herr Leiss,

      es tut uns leid, wenn ihnen der Artikel nicht weitergeholfen hat. Als reiner Magento-Dienstleister wollen wir natürlich auf jeden Faktor der Magento-1-Thematik aufmerksam machen. Den betroffenen Shobetreibern dabei Angst zu machen ist nicht das Ziel, sondern eine kritische Auseinandersetzung mit den Gegebenheiten.

Kommentar hinterlassen

*Pflichtfeld

netz98 flyin

Verpassen Sie nicht mehr das Neueste rund um E-Commerce- und Magento-Themen!

Mit der Anmeldung zu unserem Newsletter erhalten Sie regelmäßig wissenswerte und spannende Informationen, die IHR Online-Business nach vorne bringen.

Vielen Dank für Ihre Anmeldung! Bestätigen Sie nun Ihre E-Mail-Adresse in der E-Mail, die Sie in Ihrem Posteingang finden.

X