Die Sicherheit vieler Magento Shops ist durch eine neue Sicherheitslücke bedroht. Magento hat Bereits Sicherheitspatches und Updates bereitgestellt, dennoch sind viele Shops noch angreifbar. Ein Security Scan kann hier Klarheit bringen.

Tun wir genug dafür?

Wir alle kaufen heute vieles online. Bei Amazon, bei Zalando, Otto oder einem der zahlreichen anderen großen oder kleinen Onlineshops, die es im Internet zu finden gibt. Viele der Onlineshops sind dabei z.B. mit der Shopsoftware Magento entwickelt worden. Daneben gibt es mittlerweile auch eine Vielzahl von Shopsystemen die mit dem neuen Magento 2 realisiert worden sind.
Sie locken mit gesicherten Verbindungen über SSL, Siegeln und Logos von beispielsweise Trusted Shops oder dem TÜV und zeigen so, dass die Datenübertragung und Abwicklung von Bestellungen und Bezahlungen vertrauenswürdig sind. Durch sogenannte „Cookie-Banner“ wird auf einen DSGVO konformen Betrieb hingewiesen und eigentlich kann man sich hier rund um sicher fühlen, oder?

Sowohl Magento und auch Magento 2 ist ein Open-Source Shopsystem. Das bedeutet, dass der Quellcode für jeden frei zugänglich ist. Man kann ihn lesen, Codezeile für Codezeile, sich damit selber einen Shop aufbauen oder einfach nur etwas herumspielen.

Was ist eigentlich dieses Open-Source?

Das Konzept eines Open-Source Projektes ist sehr simpel: Viele Arbeiten an einer gemeinsamen Idee und dürfen über die gemeinsam geschaffenen Inhalte (je nach Lizenz) verfügen, sie benutzen und nach Belieben anpassen.
Das klingt erst einmal alles ganz gut, doch hat es auch seine Schattenseiten. Erfahrungsgemäß hat jedes System das entwickelt, betrieben oder betreut wird Bugs. kleine oder auch mal größerer Fehler in der Programmierung. Durch solche Fehler kommt es zu Abweichungen im gewünschten Verhalten. Ein frühes Problem bei Magento war beispielsweise die Berechnung der Mehrwertsteuer. Dort kam es durch die Rundung des Betrages öfter zu einer Differenz von 1 Cent. Wollte man nun mit PayPal bezahlen, wurde die Bestellung als Betrugsversuch eingestuft und der Prozess musste vom Betreiber manuell wieder aufgenommen werden.
Solche Bugs sind lästig, doch es kann auch schlimmer sein.

Magento 1 Shoplift-Bug

Im Februar 2015 veröffentliche Magento ein Sicherheits-Patch für den sogenannten „Shoplift Bug“. Dieser ermöglichte den Datenbankzugriff von außen. Unbefugte konnten so in aller Ruhe Daten aus der Datenbank auslesen. Im ersten Augenblick fragen sich vielleicht einige, was denn schlimm daran ist, wenn man Produktdaten ausliest. Nun daran ist vermutlich nichts schlimmes zu finden. Allerdings werden im Onlineshop auch Bestellungen und damit Namen, Anschriften oder auch Telefonnummern von Kunden gespeichert. Vielleicht sind sogar Kreditkartendaten oder andere sensible Informationen gespeichert.

Keiner kann nun sagen, wie lange Hacker bereits von dieser Lücke wussten oder sie womöglich bereits genutzt haben. Der Code steht jedem offen und so kann, theoretisch, auch jeder diese Lücken finden. Was derjenige damit macht weiß niemand. Wir können nur hoffen das er sie meldet.
Magento stellt in der Regel sehr zeitnah nach dem Bekanntwerden einer solchen Lücke ein Patch bereit, um diese Sicherheitslücke zu schließen. Doch anwenden muss es jeder Betreiber oder sein Dienstleister selber.
Wir haben damals noch lange Zeit nach der Veröffentlichung immer wieder Onlineshops gefunden, die diese Sicherheitslücke auswiesen.

Magento 2 und der PRODSEC-2198

Seit der neuen Datenschutzgrundverordnung sind die Strafen für solche Lücken noch mal deutlich erhöht worden. Man sollte meinen, das auch Betreiber und Agenturen nun mehr Sorgfalt walten lassen, um die Sicherheit ihres Shops und der Kundendaten zu schützen. Doch leider können wir diese Annahme nur in sehr begrenztem Maße bestätigen.
Wir haben im Rahmen eines kostenlosen Tests bei 75% der getesteten Onlineshops teils erschreckende Funde gemacht.

Selbst Monate nach Bekanntwerden des PRODSECBUG-2198 fanden wir viele Shops, in denen diese Sicherheitslücke noch besteht.

Wie es bei den nicht geprüften Systemen aussieht, können wir nur mutmaßen. Fest steht, dass über 70% der uns bekannte Magento2 Systeme noch mit einer veralteten Version arbeiten. Es ist zwar lediglich ein Anhaltspunkt, jedoch ein besorgniserregender. Die aktuelle Version des beliebten Onlineshop-Systems Magento ist 2.3.1 inkl. des Sicherheits-Patches PRODSECBUG-2198, trotzdem konnten wir Systeme finden, die noch mit einer 2.2.6 betrieben werden. Ob diese Systeme mit dem PRODSECBUG-2198 Patch ausgestattet wurden bleibt offen.

Erschreckendes Ergebnis

Zusammenfassend bleibt die Erkenntnis, die wir im Rahmen unserer kostenlosen Prüfung erlangt haben, sehr erschreckend. Kunden kaufen voller Vertrauen in Onlineshops ein und einige dieser Betreiber unternehmen keine ausreichenden Maßnahmen zum Schutz dieser Daten. Das „warum“ können sie nur selber beantworten, doch durch die neuen Gesetzte zum Schutz der persönlichen Daten drohen empfindliche Strafen.
Dabei verhält es ähnlich mit einer Versicherung. Hat man sie und braucht sie nicht, ärgert man sich über die Kosten. Hat man sie nicht und braucht eine, wünschte man, man hätte eine abgeschlossen.
Da ein Patch des System in wenigen Stunden zu erledigen ist, fehlt mir jegliches Verständnis für den Unwillen einiger Betreiber.