Skip to content
E-Commerce Beratung
Maßgeschneiderte E-Commerce Beratung im Rahmen eines individuell definierten Consulting Projekts.
E-Commerce Begleitung
Operatives E-Commerce- & Projekt-management als Projektleiter, Product Owner, Program Manager oder PMO.
Online-Shop & Strategie Audit
Deep Dive Analyse der E-Commerce Plattform bzw. Online-Shop, sowie Strategieanalyse & Bewertung.
System- & Anbieterauswahl
Unabhängige Auswahl der passenden E-Commerce Software, Anforderungs-management und Pitch Betreuung.
E-Commerce Optimierung 2.0
Ganzheitliche Optimierung & Weiterentwicklung Ihres Webshops auf Basis unseres CaaS Ansatzes.
E-Commerce Beirat
Kontinuierliche strategische Beratung im E-Commerce als Sparringspartner in Form eines externen Beirats.
Der perfekte E-Commerce
In über 22 Modulen erhalten Sie einen Ein- und Überblick in alle relevanten Themen des E-Commerce.
E-commerce Online-Kurse
Profitieren Sie von einer Vielzahl an Online-Kursen und E-Commerce Trainings zu den wichtigsten Themen.
TIPP: Erhalten Sie jetzt bis zu 50% finanzielle Förderung und Zuschüsse für Ihr E-Commerce Vorhaben.
Unternehmen
Erfahren Sie mehr über unser Unternehmen und unsere Mission im E-Commerce & Digitalen Vertrieb.
Mit uns arbeiten
Für Agenturen, Systemhersteller und Affiliates bieten wir spannende Kooperationsmöglichkeiten.
33 Gute Gründe
Überzeugen Sie sich von den Vorteilen einer gemeinsamen Zusammenarbeit. 33 gute Gründe, die dafür sprechen.
Karriere bei Steireif
Werden Sie Teil unserer Mission und helfen Sie uns den Vertrieb in Deutschland zu digitalisieren.
Partnernetzwerk
Starke und etablierte Partnerschaften helfen uns dabei, das für Sie beste Ergebnis zu erzielen.
Agentur vs. Beratung
Agentur vs. Beratung? Viel mehr ergänzen wir Leistungen von Online-Marketing & E-Commerce Agenturen.
Mediaroom
Innerhalb der Steireif Academy können Sie bequem auf unsere Trainings und Kurse zugreifen.
Steireif Academy
Innerhalb der Steireif Academy können Sie bequem auf unsere Trainings und Kurse zugreifen.
Ist Magento 2 eine sichere E-Commerce Lösung?
Alexander Steireif08.09.2018 10:58:473 Min. Lesezeit

Ist Magento 2 eine sichere E-Commerce Lösung?

Mitte der Woche erschien auf dem IT Nachrichtenportal heise.de ein Artikel über Angriffswellen auf Magento E-Commerce Systeme. Um Magento 2 Sicherheit wurde durch eine, meiner Meinung nach, unglückliche Formulierungen wieder umgehend eine Diskussion entfacht. Schnell wurde Magento in die Ecke der unsicheren E-Commerce Lösungen gerückt, was schlicht falsch ist. Wenn man sich die Statistik von Magento in den letzten Jahren ansieht, kam es noch nie zu wirklich kritischen Problemen.

Aufgrund der enorm hohen Verbreitung von Magento grenzt das schon fast an ein Wunder, haben doch andere weit verbreitete Systeme wie z.B. WordPress häufiger mit Sicherheitsproblemen zu kämpfen.

Magento 2 Sicherheit

Bevor nun ein falscher Eindruck über die Sicherheit von Magento entsteht, möchte ich Ihnen an dieser Stelle einen sachlichen Einblick in die Hintergründe der aktuellen Angriffswelle bieten und auch die Frage beantworten, ob Magento nun ein sicheres oder unsicheres System ist.

Was genau ist passiert?

Heise.de berichtete davon, dass Malware in Magento Systeme eingeschleust wurde. Bei Malware handelt es sich um Schadcode, der in eine Software injiziert wird, um beispielsweise an Inhalte der Datenbank zu gelangen, oder grundsätzlich das Verhalten der Software zu manipulieren. Im Fall der Angriffe auf die Magento Systeme wurde der Schadcode genutzt, um Kreditkartendaten abzugreifen bzw. um diese zu versenden.

Das ist soweit auch korrekt und definitiv ein sicherheitskritisches Problem, da der Diebstahl von Kreditkartendaten zu massiven Problemen führt.

Wie wurde der Schadcode eingeschleust?

Die gute Nachricht vorweg: Der Schadcode wurde nicht aufgrund einer Sicherheitslücke in Magento eingeschleust. Letztendlich handelte es sich um eine Brut-Force-Attacke auf das Magento Backend. Dabei wird automatisiert das Magento Backend aufgerufen und jede erdenkliche Art von Benutzername und Passwort Kombinationen getestet. Wurde, sozusagen per Zufall, die richtige Kombination von Benutzername und Passwort ermittelt, haben die Angreifer ein JavaScript Snippet in das Frontend von Magento implementiert.

Durch den Aufruf des Frontends durch einen Nutzer bzw. Kunden, wurde der Javascript Code auf dem Client ausgeführt und anschließend die Daten abgegriffen. Dies fand im Browser, jedoch nicht auf dem Server bzw. in Magento selbst statt.

Was genau bedeutet dies nun?

Anhand des Angriffs kann man erkennen, dass die Angriffe nicht durch eine Sicherheitslücke in Magento erfolgreich waren, sondern durch schlichtweg schwache Passwörter und Nutzernamen. Auch konnten die Kreditkartendaten nicht aus der Datenbank selbst ausgelesen werden (in 99% der Fälle werden diese sowieso beim Payment Service Provider gespeichert), ausschließlich bei neuen Einkäufen konnten Daten über den Javascript Code übermittelt werden.

Welche Features verhindern solche Angriffe?

Meiner Meinung nach ist es praktisch unmöglich, dass bei einem professionell betriebenen Magento System solche Angriffe zum Erfolg führen können. Umso mehr war auch ich verwundert, dass mehr als 7000 Systeme infiziert wurden. Das spricht weniger für Sicherheitsprobleme von Magento, sondern viel mehr für massive Know-How Probleme von Magento Dienstleistern bzw. Unternehmen, die Magento selbst betreiben.

Magento besitzt von Haus aus folgende Mechanismen, um genau solche Angriffe abzuwehren – vorausgesetzt, man macht von diesen Mechanismen gebrauch!

  • Magento vergibt nach der Installation eine zufällig erzeugte URL zum Backend, d.h. ein simpler Aufruf von /admin ist nicht möglich. Für Angreifer ist es, sofern dieses Feature genutzt wird, praktisch unmöglich die richtige Magento Backend URL zu identifizieren. Ohne Magento URL ist auch kein Login möglich.
  • Sofern gewünscht kann eine Captcha Funktionalität für den Login im Backend aktiviert werden. Diese schließt die meisten Bots direkt aus
  • Passwörter müssen grundsätzlich nach x Tagen neu vergeben werden. Dadurch entstehen sich ständig ändernde Backend Passwörter
  • Nach x fehlerhaften Login Versuchen wird der Account automatisch  für eine gewisse Zeit gesperrt
  • Magento prüft bei der Passwortvergabe auf sichere Muster

Das Problem besteht vor allem darin, dass Magento es erlaubt exakt diese Sicherheitsmechanismen zu deaktivieren. Dadurch können Sie Benutzernamen wie „admin“ mit dem Passwort „admin12345“ vergeben. Nur in solchen Fällen, ist ein Einbruch mittels Brute-Force-Attacke möglich.

Bewertung der heise.de Diskussion über Magento 2 Sicherheit

Ist Magento nun eine sichere oder unsichere E-Commerce Lösung? Meiner Meinung nach, das belegen zudem die Fakten, zählt Magento zu den sicheren Systemen. Die aktuelle Angriffswelle hat auch nur bei denjenigen Shops zum Erfolg geführt, die zum einen die Sicherheitsfeatures nicht nutzen und zudem unsichere Passwörter und Benutzername vergeben. Es handelte sich also um keine Lücke in der Software, sondern um Unachtsamkeit bei den Betreibern bzw. Magento Dienstleister.

Weitere Beiträge und Themen