Jetzt installieren: Shopware Sicherheitsupdate 10/2016
Shopware hat in dieser Woche mitgeteilt, dass eine kritische Sicherheitslücke festgestellt worden ist, die umgehend mit einem Patch geschlossen werden sollte. Andernfalls kann möglicherweise durch Unbefugte schädlicher Code in das System eingeschleust werden. Wir erklären, worum es genau geht und was nun zu tun ist.
Worum genau geht es?
In Shopware ist eine kritische Sicherheitslücke entdeckt worden. Durch die Schwachstelle kann unautorisierter Fremdcode in Shopware ausgeführt werden, was negative Auswirkungen auf das Gesamtsystem zur Folge haben kann. Konkreter beschreibt Shopware das Gefahrenpotential bislang nicht. Betroffen sind alle Shopware Versionen von 4.0.0 bis 5.2.8. Daher ist es unbedingt erforderlich, das Sicherheitsupdate in jedem Shopware Onlineshop zu installieren – und zwar umgehend. Alternativ kann auch gleich ein Update auf die aktuelle Version 5.2.9 durchgeführt werden, die den Patch bereits enthält.
Hintergrund: Sind Sicherheitsupdates für Shopbetreiber verpflichtend?
Ja, in dieser Frage ist die Rechtslage eindeutig. Denn das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz enthält auch für Website- und Shopbetreiber wichtige Bestimmungen. Während in der öffentlichen Debatte im Zusammenhang mit diesem Gesetz zumeist allein von vorgeschriebenen Maßnahmen zum Schutz von „kritischer Infrastruktur“ die Rede war, gibt es nun auch für alle kommerziellen Web-Angebote gesetzlich bindende, anspruchsvolle Standards.
Im Wortlaut des Bundesamts für Sicherheit in der Informationstechnik heißt es dazu:
Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.
Wer sich nicht daran hält, kann zu einer Bußgeldzahlung von bis zu 50.000 Euro herangezogen werden. Und um die wenig konkrete Formulierung “Maßnahmen nach dem Stand der Technik” zu präzisieren, führt der Gesetzgeber im Hinblick auf Sicherheitsupdates ergänzend aus:
Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.
Was genau ist jetzt zu tun?
Die Betreiber von Shopware Onlineshops müssen nun also umgehend aktiv werden und in ihren Shops für Sicherheit sorgen. Dafür gibt es zunächst zwei Möglichkeiten. Entweder sie installieren das Sicherheitsupdate, oder sie entscheiden sich für das Update auf die Version 5.2.9. Die Installation des Sicherheitsupdates, die auch für die Betreiber von Shops die auf der Grundlage von Shopware 4.x laufen, möglich ist, kann wahlweise per Patch-Plugin oder als manueller Fix durchgeführt werden. Und das Update auf Shopware 5.2.9 kann – sofern der Shop die Anforderungen hierfür erfüllt – entweder per Auto-Updater oder von Hand heruntergeladen und installiert werden. Alle wichtigen Infos zu den technischen Details für das Schließen der jüngsten Sicherheitslücke in Shopware wurden in einem Wiki-Artikel zusammengestellt.