6 Tipps für die Sicherheit Ihres Magento-Shops

Sicherheit für Magento ShopsLästig, aber nötig: die Beschäftigung mit dem Thema Sicherheit als Shop-Betreiber. Wie nötig, zeigt die letzte Welle von Angriffen auf – nicht gut abgesicherte und schlecht gepflegte – Magento-Shops. Wir zeigen Ihnen in diesem Artikel, wie Sie Ihren Magento-Shop sicher machen und schnell prüfen können, ob Ihr Shop sicher ist.

Reale Bedrohungslage

Wenn Sie als Shop-Betreiber ruhig schlafen wollen, führt kein Weg daran vorbei, sich mit dem Thema Sicherheit der eigenen IT-Umgebung, insbesondere dem Shop, zu widmen.

Wie real die Bedrohungslage ist, darauf hat gerade auch das BSI in seinem Bericht zur IT-Sicherheit in Deutschland 2015 hingewiesen. Darin heißt es: „Angesichts der dynamischen Gefährdungslage ist es für […] Unternehmen und Institutionen essentiell, IT-Sicherheit als Teil des unternehmerischen Risikomanagements zu betrachten.“ BSI-Präsident Michael Hange sagte: „Alle Unternehmen müssen sich darauf einstellen, dass Cyber-Angriffe durchgeführt werden und auch erfolgreich sind.“

Dass diese Einschätzung korrekt ist, hat man in 2015 an einer Vielzahl von Angriffsversuchen auf Magento-Shops miterleben können, Stichworte Guruincsite Attacke und Shoplift-Bug.

Für einen unruhigen Schlaf in dieser Hinsicht sorgt aber auch zunehmend der Gesetzgeber. Durch das im Sommer diesen Jahres erlassene IT Sicherheitsgesetz haben sich die Pflichten für Webseiten-Betreiber verschärft: Das Telemediengesetz (TMG) nimmt in § 13 Absatz 7 nun die Betreiber von Webseiten im Hinblick auf die Absicherung erheblich stärker in die Pflicht. Unter anderem kann sich daraus die Verpflichtung ergeben, für kontinuierliche Updates der verwendeten Technik – hier Online-Shops – zu sorgen.

So können Shop-Hacker Ihrem Unternehmen schaden

Grob lassen sich Hacker und ihre Ziele in zwei Gruppen unterteilen: Die erste – etwas harmlosere – will vor allem Chaos anrichten. Diese „Scriptkiddies“ nutzen Lücken in Software aus, um sie zum Absturz zu bringen oder das gekaperte System für eigene Zwecke zu missbrauchen – sei es zum Transport eigener Botschaften oder Daten. Die zweite, wesentlich gefährlichere Gruppe, hat knallharte finanzielle Interessen. Im Hinblick auf einen Shop haben sie es zumeist auf das Erbeuten von Kundendaten abgesehen. Haben sie sich diese ersteinmal besorgt, werden sie entweder verkauft oder für eigene Zwecke missbraucht.

Während die Machenschaften der Scriptkiddies durchaus zu ernsten Störungen im Shop-Betrieb führen können, können die Kriminellen der zweiten Gruppe substanziellen Schaden verursachen: Entwendete Kundendaten sind im Hinblick auf die Datenschutzbestimmungen der Super-GAU und ziehen nicht nur einen Image-Schaden nach sich, sondern können schnell auch den finanziellen Ruin bedeuten, insbesondere wenn Finanzdaten entwendet wurden.

So sorgen Sie für Sicherheit Ihres Magento-Shops

Damit Sie vor derartigen Unbillen verschont bleiben, gilt es, die Bedrohungspotenziale zu kennen und die richtigen Maßnahmen zu ergreifen.

Diese lassen sich vereinfacht in vier Bereiche unterteilen:

  • Systeme aktuell halten, also regelmäßige „Updates“ durchführen
  • Grundlegende Absicherung der Systeme vornehmen
  • Kontrolle und kontinuierliche Information
  • Plan in der Schublade für den Desaster-Fall

Übrigens sind viele Maßnahmen, die wir Ihnen hier in Form von Tipps präsentieren, nicht Magento-spezifisch, sondern gelten in ähnlicher Form für fast jede Form von Web-Applikation mit geschäftskritischen Daten.

Tipp 1: Bescheid wissen und aktuellen Zustand kennen

Wissen Sie aktuell Bescheid über Ihren Magento-Shop? Ob er gut abgesichert ist oder ob potenzielle Sicherheitslücken vorhanden sind? Ob es Maßnahmen gibt, die unbedingt ergriffen werden sollten?

Wenn nicht, dann sind Sie jetzt kurz davor, denn zum Glück gibt es ein sehr einfach zu bedienendes Tool: MageReport. Dieses gibt Ihnen im Handumdrehen einen schnellen und leicht verständlichen Überblick über den Zustand Ihres Magento-Systems.

  1. Rufen Sie https://www.magereport.com auf
  2. Geben Sie im Feld Shop-URL die Internet-Adresse Ihres Shops ein und klicken Sie Scan.
  3. Nach kurzer Zeit erscheint eine Übersicht über geprüfte Komponenten und ggf. gefundene Probleme, zusammen mit einer Risikoeinstufung („Risk Level“).

Sicherheitsstatus von Magento Shop prüfen mit MageReport

Bitte beachten Sie: Die gezeigten Informationen werden dabei zwangsläufig „von außen“ gesammelt und können somit nur eine kleine Zahl von Aspekten abdecken. Dieser Check kann daher keine gründliche Prüfung „von innen“ ersetzen. Sollten Sie sich bislang noch gar nicht mit dem Thema Sicherheit befasst haben, empfiehlt es sich, nach einem ersten Check eine gründliche Prüfung durch einen Experten durchführen zu lassen.

Tipp 2: Alle Update zeitnah durchführen!

Eigentlich eine Binsenweisheit, aber das Internet ist voll von Anwendungen und Magento-Shops, die nicht nur nicht aktuell, sondern teilweise steinalt sind. Und damit besonders angreifbar. So ist heute, zehn Monate, nachdem die Shoplift-Sicherheitslücke bekannt wurde, immer noch eine erkleckliche Zahl an Magento-Systemen da draußen, die weder die Sicherheitslücke geschlossen noch aktuelle Updates eingespielt haben. Und damit Opfer werden von Attacken, welche diese und andere Lücken gezielt ausnutzen.

Wichtig bei Magento zu wissen: es gibt Updates und es gibt Sicherheitspatches. Letztere werden als einzelne Pakete unter laufenden Nummern mit der Bezeichnung SUPEE-xxx herausgegeben. Mit ihnen kann man Sicherheitslücken schließen, ohne gleich ein ganzes Update durchführen zu müssen.

Besorgen Sie sich regelmäßig Informationen über Updates, Sicherheitspatches und bekannt gewordene Sicherheitslücken. Das Magento-Team macht es Ihnen leicht: Abonnieren Sie einfach den Magento Security Alert Newsletter. Updates und Sicherheitspatches werden zudem auf der Security News Seite bekannt gegeben.

Tipp 3: Sichern Sie Ihre Internet-Server ab

Was für Magento gilt, ist auch für die gesamte Umgebung, in der Ihr Shop betrieben wird, zu beachten: Das Betriebssystem (meist Linux) sowie alle darauf betriebenen Dienste (vom Webserver, über Maildienst und Datenbank bis hin zu technischen Komponenten wie PHP und OpenSSL) müssen aktuell gehalten werden. Sofern Sie ein geeignetes Hostingpaket gebucht haben, sollte sich Ihr Provider darum kümmern.

Tipp 4: Machen Sie sich diese Verhaltensweisen zur Gewohnheit

  • Verwenden Sie immer „starke“ – also schwer zu erratende – Passworte, sowohl für Serverdienste als auch für das Magento-Backend.
  • Verwenden Sie für alle Zugriffe – sei es für Datenübertragung oder den Aufruf des Backends – sichere Protokolle wie SFTP, SSH, SCP oder HTTPS/SSL. Die Datenübertragung wird durch diese verschlüsselt, so dass z.B. auch Passwörter niemals unverschlüsselt über das Netz gehen. Weisen Sie bei Bedarf Ihren Provider an, Dienste die ohne Verschlüsselung arbeiten wie FTP oder Telnet zu deaktivieren.
  • Lassen Sie vom Provider Zugriffe auf Ihre Server nur von vorher festgelegten IP-Adressen einschränken (Whitelisting).
  • Sorgen Sie für regelmäßige Backups. Diese sollten unbedingt auf nicht direkt mit dem Server verbundenen Medien dauerhaft gespeichert werden.
  • Prüfen Sie Ihre Backups regelmäßig!

Weitere nützliche Hinweise gibt Magento mit den Security Best Practices – sehr zum Studium empfohlen.

Tipp 5: Führen Sie regelmäßige Kontrollen durch

Die grundlegende Absicherung ist die Basis für den sicheren Betrieb. Damit ist es aber nicht getan, denn Ihre Systeme verändern sich fortlaufend durch viele Faktoren: Updates, Patches, Zugriffe von Benutzern, neue Zugriffskonten, hochgeladene Daten usw.

Wenn Sie über wenig technisches Knowhow verfügen, überlassen Sie Ihrem Provider die regelmäßige Prüfung von Serverprotokollen, Dateisystem und Benutzerdatenbank, um verdächtiges Verhalten frühzeitig zu erkennen.

Sie selbst können im Magento-Backend von Zeit zu Zeit prüfen, ob alle berechtigten Benutzer noch den aktuellen Anforderungen entsprechen. Überflüssige Benutzer sollten Sie entfernen.

Zudem sollten Sie sich regelmäßig über Updates und Sicherheitspatches für Magento informieren – siehe oben.

Tipp 6: Planen Sie für den Ernstfall – bevor er eintritt

Für den Fall, dass Sie trotz guter Absicherung zum Opfer von Angriffen werden, sollten Sie in einer ruhigen Minute zusammen mit Ihrem Team und Ihrem Provider einen Maßnahmenplan erstellen. Denn wenn erst einmal ein Hacker zugeschlagen hat, ist Eile und gezieltes Handeln geboten. Ohne einen fertigen Plan jedoch kann es schnell zu übereilten und unzureichenden Maßnahmen kommen.

Hier einige Aspekte, die Sie in Ihrem Plan bedenken sollten:

  • Nehmen Sie nach einem Angriff die Website umgehend vom Netz, so dass keine weiteren Zugriffe mehr erfolgen können.
  • Sichern Sie den gesamten aktuellen  Stand als Komplettbackup für spätere forensische Analysen, aber auch um Bewegungsdaten wiederherstellen zu können.
  • Lassen Sie von Spezialisten ermitteln, welchen Umfang der Angriff hatte, welcher Schaden entstanden ist und welcher Angriffspfad (Lücke) genutzt wurde.
  • Erstellen Sie eine neue, saubere Installation – zum Beispiel durch Rücksichern eines sauberen Backups. Die Kollegen von Hypernode haben einen umfassenden Leitfaden für das Wiederherstellen gehackter Magento-Shops zusammengestellt.
  • Aktualisieren Sie die gesamte Technik, soweit erforderlich und spielen Sie alle verfügbaren Sicherheitspatches ein.
  • Informieren Sie ggf. Kunden sowie Drittanbieter wie z.B. die Payment Service Provider.

Weitere detaillierte Tipps gibt auch hier das Magento Security Best Services Papier.

Wieder ruhig schlafen – Fazit

Bedrohlich ja – aber mit dem richtigen Wissen und notwendigen Maßnahmen können Sie sich weiterhin sicher in der Welt des E-Commerce bewegen – und hoffentlich gut schlafen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.