Waren Sie schon einmal von einem Datenleak betroffen? Falls Sie dies bejahen, können Sie sich immerhin damit trösten, dass Sie nicht alleine sind. Statistisch gesehen, macht jede 4. Person in Deutschland irgendwann diese Erfahrung im Onlinehandel. Eine erschreckend hohe Zahl und viele dieser Fälle wären vermeidbar und meist nicht einmal mit einem besonders hohen zeitlichen und finanziellen Aufwand verbunden.
Zu einfach und lukrativ ist das Geschäft mit ergaunerten Zahlungsdaten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) fand durch Penetrationstests zahlreicher Plattformen teils gravierende Sicherheitslücken. Schwachstellen hat ehrlicherweise jede Software doch es ist hinlänglich bekannt, dass unzureichende Passwortrichtlinien, verwundbare Bibliotheken und fehlende Updates Hackern Tür und Tor öffnen. Umso wichtiger ist es, dass man weiß wo sich die Sicherheitslücken befinden und wie man sie meidet. Dies gelingt natürlich umso besser, wenn man sich auf ein System konzentriert.
Laut BSI traten einige Sicherheitslücken in allen Shopsystemen in Erscheinung, während andere schlicht auf Fehler in der individuellen Entwicklung schließen lassen. Als kollektives Problem ermittelte das BSI unzureichende Passwortrichtlinien, welche beispielsweise durch eine Zwei-Faktor-Authentifizierung erheblich gemildert werden könnten.
Insgesamt eruierte das BSI 78 Sicherheitslücken 7 von 10 JavaScript Bibliotheken waren angreifbar 50% der eingesetzten Produkte erhielten vom Hersteller keine weiteren Sicherheitsupdates höchstes Sicherheitsrisiko: EOL (End of Life- Software, also nicht weiter unterstützte Herstellerprodukte)ohne Patches, Cross-Site-Request-Forgery (webseitenübergreifende Anfragenfälschung), RCE (remote code execution- meist serverseitige Schwachstelle bei der es Angreifern gelingt, aus der Ferne auf Computer und Endgeräte zuzugreifen und ggf. Schadsoftware einzuschleusen), XSS (cross site scripting; Angreifer schleusen Skripte über vermeintlich vertrauenswürdige Quellen ein) und wie in jedem anderen Kontext auch: Unsichere Dateiuploads. Die gesammelten Ergebnisse wurden den Herstellern bereits mitgeteilt und so wird es wohl zeitnah Sicherheitsupdates geben. Das nächste Magento-Update folgt Mitte März. In einem gesonderten Blogbeitrag werden wir über die konkreten Neuerungen berichten.
Welche Konsequenzen lassen sich aus den Ergebnissen ableiten?
Einige der gefundenen Sicherheitslücken wären durch bessere Konfiguration der Online-Shops vermeidbar gewesen. Doch oftmals ist dies aus Händlersicht schwer einzuschätzen und benötigt einer Prüfung durch externe Entwickler*innen, die sich wirklich mit Magento auskennen.
Sie sind nicht sicher, wie es um die Sicherheit ihres Shops steht? Rufen sie uns an!- Wir beraten Sie gerne.
Das BSI folgert aus den Ergebnissen, dass die Hersteller den Betreibern eine adäquate Handreichung zur Installation und Einrichtung der Shops zur Verfügung stellen sollte. Generell sind wir dem Vorschlag natürlich nicht abgeneigt, es löst jedoch keine Kompetenzprobleme.
Testing, Testing, Testing- und das am besten von allen Seiten
Die Hersteller testen bereits wärend der Produktentwicklung, doch mitunter fehlt die kontinuierliche Schwachstellenanalyse im Anschluss. Umso wichtiger ist es, dass die Entwicklerinnen Ihres Vertrauens Zeit ins Testing investieren und auch die Shopbetreiberinnen selbst regelmäßig ihren Testingaufgaben nachkommen. Vier Augen sehen schließlich besser als zwei.
Sie möchten überprüfen lassen, wie sicher ihr Store aufgestellt ist?- Rufen Sie uns hierzu gerne an.