Jetzt installieren: Magento Security-Patch SUPEE-8788

Jetzt installieren: Magento Security-Patch SUPEE-8788

Nachdem in letzter Zeit gehäuft Fälle von Skimming – also dem Abschöpfen von Kreditkartendaten – in Magento Onlineshops aufgetreten sind, hat der Hersteller nun reagiert und den entsprechenden Security-Patch herausgegeben: SUPEE-8788. Damit werden eine ganze Reihe von kürzlich aufgespürten Sicherheitslücken geschlossen. Betreiber von Magento Shops sollten den Patch nun so schnell wie möglich installieren.

Was genau passiert in von Skimming betroffenen Shops?

Zunächst bleiben die Eindringlinge, die sich illegal Zugriff auf die Kundendaten verschaffen, völlig unbemerkt. Die betroffenen Shops schicken – vom Betreiber ebenfalls unbemerkt, oftmals monatelang – Kreditkartendaten an geheime Zielserver. Dann wird von Unbefugten mit den Kartendaten eingekauft, beziehungsweise die Daten werden verkauft. Erst wenn verdächtige Buchungen auf den Kreditkartenabrechnungen von mehreren Kunden eines Shops auftauchen, wenn es längst zu spät ist, tritt der Schaden schließlich zutage.

Wie groß ist das Problem – und wen betrifft es?

Die Zahl registrierter Fälle von Skimming ist in den vergangenen Monaten deutlich angestiegen. In seinem Blog-Beitrag zu diesem Thema gibt Willem de Groot einen Anstieg von 69 % im Verlauf des vergangenen Jahres an. Zudem beschreibt er anschaulich, inwieweit und inwiefern die für das Skimming eingeschleuste Malware durch intelligente Verschlüsselungsmethoden inzwischen enorm schwierig aufzuspüren ist. Es reicht mittlerweile längst nicht mehr aus, den Quellcode auf verdächtiges JavaScript hin zu untersuchen. Und auch der Einsatz von HTTPS oder externen Paymentdienstleistern bieten gegen solche Einbrüche in Onlineshops nicht den geringsten Schutz – entgegen den von de Groot erwähnten Überzeugungen mancher Shopbetreiber.

Auf den Punkt gebracht, lässt sich sagen, dass dieses Problem potentiell jeden Shopbetreiber betrifft, der Kreditkartenzahlungen akzeptiert. Dass auch und gerade Magento Shops betroffen sind liegt nicht etwa daran, dass Magento besonders unsicher wäre. Immer wieder berichten wir über Sicherheitslücken in Magento (zuletzt hier) – aber paradoxerweise liegt der Grund dafür gerade in der Stärke des Systems. Magento ist weltweit das verbreitetste Shopsystem und daher das bevorzugte Ziel von kriminellen Hackern im E-Commerce. Und da Kreditkarten ein internationales Zahlungsmittel sind, gilt das für europäische oder deutsche Shopbetreiber ebenso wie für ihre US-amerikanischen Kollegen. Als E-Commerce Profis mit zahlreichen Kunden, die Shops auf der Basis von Magento betreiben, können wir bestätigen: In letzter Zeit sind solche Datendiebstähle auch verstärkt im deutschsprachigen Raum zu beobachten.

Hintergrund: Sind Shopbetreiber zu Sicherheitsmaßnahmen verpflichtet?

Ja, die Rechtslage ist hier eindeutig. Das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz hat auch für die Betreiber von Websites und Onlineshops weitreichende Folgen. Denn während in der Öffentlichkeit in diesem Zusammenhang oftmals lediglich von verpflichtenden Maßnahmen zum Schutz „kritischer Infrastruktur“ die Rede war, gelten seither auch für alle kommerziellen Web-Angebote hohe Standards.

Das heißt im Wortlaut des Bundesamts für Sicherheit in der Informationstechnik:

Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Wer sich daran nicht hält, kann mit Bußgeldern bis zu 50.000 Euro belegt werden. Und der Gesetzgeber nimmt ganz konkret Bezug auf Sicherheitsupdates:

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.

Was ist nun zu tun?

Abhilfe gegen die jüngste Skimming-Welle in Magento Onlineshops soll der gerade veröffentlichte Security-Patch SUPEE-8788 schaffen, wobei die zweite Version des Patches SUPEE 8788 v2 zu wählen ist. Damit werden eine ganze Reihe von empfindlichen Sicherheitslücken in Magento geschlossen. Wie immer gilt auch bei diesem Sicherheits-Release: Wenn ein Patch zur Verfügung gestellt ist, können damit geschlossene und von Hackern bislang unentdeckte Sicherheitslücken zusätzlich in den Fokus krimineller Aufmerksamkeit rücken. Umso mehr ist nun also schnelles Handeln geboten. Als Alternative zur Installation von SUPEE-8788 kann auch ein Upgrade auf Enterprise Edition 1.14.3 beziehungsweise Community Edition 1.9.3 durchgeführt werden. Diese beiden Versionen enthalten bereits den Patch, der die aufgefundenen Schwachstellen im Zend Framework und im Payment zuverlässig verschließt, außerdem sicherstellt, dass Sessions nach dem Logout ungültig werden und weitere Verbesserungen in der Sicherheit von Magento 1.x Shops mitbringt, die in den offiziellen Informationen zu SUPEE-8788 von Magento detailliert nachvollzogen werden können. Wer ein Upgrade in Erwägung zieht, kann sich in den aktuellen Release Notes zu Magento Community Edition 1.9.3 beziehungsweise zu Magento Enterprise Edition 1.14.3 genauer informieren. Allerdings müssen wir ergänzend hinzufügen, dass das Upgrade auf Magento CE 1.9.3 noch nicht mit jedem Shop funktioniert.

Und Magento 2 Shops sind nicht betroffen?

Doch, auch Magento 2 Shops weisen offenbar entsprechende Sicherheitslücken auf. Wer also Magento 2 bereits einsetzt, muss seinen Shop umgehend upgraden. Detaillierte Informationen darüber, von welcher Version aus welches Upgrade durchgeführt werden sollte, hat Magento auf einer Seite über die aktuellen Updates für Magento 2 zusammengefasst.

In einem Satz

Da die aktuelle Skimming-Welle und andere kriminelle Aktivitäten potentiell jeden Betreiber eines Magento Shops treffen können und bereits viele durch Datendiebstähle geschädigt worden sind, muss die Installation des neuen Magento Security-Patches SUPEE-8788 beziehungsweise ein Upgrade auf die neueste Version des Systems nach geltendem Recht unbedingt und umgehend durchgeführt werden.

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.