Sicherheitsrisiko für Online-Shops mit veralteter Shop-Software

Hackerangriffe sind ein Sicherheitsrisiko für Online-Shops, vor allem dann, wenn die Shop-Version nicht auf dem aktuellen Stand ist. Für Magento-Shops, die noch mit Magento 2.3 Versionen laufen, empfehlen wir dringend ein Update durchzuführen. Diese Version wird seitens Magento nicht mehr unterstützt, enthält keine Sicherheitsupdates und Patches mehr.
Nach dem Release der neuesten Magento-Version 2.4.6 am 14.3.23 führen wir vermehrt Gespräche mit Kunden, die den Aufwand für ein Update erfragen.

Hackerangriffe auf ältere Shop-Versionen sind keine Seltenheit

Vielleicht denken Sie, ein Hackerangriff passiert Ihnen und Ihrem Shop nicht, weil Ihr Unternehmen nicht relevant genug ist für Hacker. Leider können sich Online-Shop-Betreiber nicht darauf verlassen. Sicherheitsangriffe werden nicht nur gezielt gegen öffentliche Seiten der Regierung oder Global Player, wie Energiekonzerne durchgeführt. Unsere Erfahrung zeigt, dass es jeden treffen kann.

Hierzu ein kleiner Einblick in unseren Agentur-Alltag:

In den letzten 2 Monaten haben wir mehrfach Hilferufe erhalten von Shop-Betreibern, deren Magento-Shop gehackt wurde. Die Ursache bei allen: Veraltete Shop-Versionen.

In unseren Beispielen erfolgte der Angriff über eine Sicherheitslücke im Magento-System, die den Hackern ermöglichte, Dateien im Magento-Shop zu verändern. So erschien beispielsweise im Checkout für Kreditkartenzahler ein Bezahlformular, in das der Kunde seine Daten direkt eingeben musste. Auf diese Weise wurden datenschutzrechtlich sensible Daten unrechtmäßig an Dritte weitergeleitet.
Das Abgreifen von Kreditkarten-Daten ist ein erheblicher Sicherheitsvorfall und damit meldepflichtig!

Gesetzliche Meldepflicht bei Sicherheitsvorfällen für Online-Shop-Betreiber

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu “Für Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste) gilt die Meldepflicht auf Grundlage des § 8c Absatz 3 BSIG. Die Meldepflicht gilt für Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung digitaler Dienste haben, die innerhalb der Europäischen Union erbracht werden.

Hackerangriffe auf Onlineshops vermeiden, Shops updaten und Sicherheitslücken schliessen.

Der Schaden, der durch einen Hackerangriff verursacht wird, kann erhebliche Ausmaße annehmen.

Kurz zusammengefasst:

Nicht nur, dass Sie Ihre Kunden verprellen, denn diese müssen sich mit dem Sperren ihrer Kreditkartendaten herumärgern und haben womöglich auch finanzielle Einbußen, wenn sie den Vorfall zu spät realisieren, oder zu spät von Ihnen informiert werden. Hinzu kommt, dass der Online-Shop dann im Eiltempo bereinigt und aktualisiert werden muss und in der Regel erstmal offline ist, was einen erheblichen Schaden für Ihr Unternehmen verursacht. Zusätzlich kann es zu Bußgeldern seitens der Behörden kommen.

Die Herausforderungen für Online-Shop-Betreiber bei einem Sicherheitsangriff

Tatsächlich stehen Firmen vor einigen Herausforderungen im Zusammenhang mit einem Hackerangriff. Zunächst müssen Sie den Sicherheitsangriff identifizieren. Dann gilt es herauszufinden, was passiert ist. Welche Informationen und Daten wurden an Dritte weitergegeben, gestohlen, oder gelöscht? Welche Systeme und Netzwerke sind betroffen? Ebenfalls gilt es herauszufinden, wer den Angriff durchgeführt hat und warum? Sie sollten identifizieren, wie der Angriff passieren konnte, um zukünftig solche Attacken zu vermeiden. Und letztlich müssen Sie auch die Schäden für Ihr Unternehmen ermitteln.

Sicherheitslücken schließen und den Online-Shop up-to-date halten

Um Ärger, Geld und Zeit zu sparen, raten wir daher dringend dazu, auf die neueste Magento-Version umzusatteln. Mit mehr als 300 Qualitätsoptimierungen und Erweiterungen, sowie Behebungen von Sicherheitslücken bietet die Magento 2.4.6 Version nicht nur mehr Sicherheit für Online-Shops, sondern auch einige neue Features, die lohnend für Shop-Betreiber sind. Die Shop-Performance wurde deutlich optimiert, was das Einkaufserlebnis für Ihre Kunden verbessert. Lesen Sie hierzu unseren Blogbeitrag zum Magento 2.4.6 Update.

Sicherheitslücken bei Online-Shops schliessen mit aktueller Shop-Software

Security Patch installieren – Alternative zum sofortigen Update auf 2.4.6

Wenn Sie einen Magento-Shop mit den Versionen 2.4.4 oder 2.4.5 haben, die von Adobe noch bis 2025 supportet werden, können Sie alternativ auch die Security-only Patches für Magento 2.4.5-p2 und 2.4.4-p3 installieren. Damit erhält das System ausschließlich die sicherheitsrelevanten Änderungen. Magento erklärt im DevBlog, wie die Security-only Patches funktionieren.

Aktuelle und geplante Adobe Releases für Sicherheits- und Funktions-Patches

Wie bereits beim Release der neuen Magento 2.4.6 Version angekündigt, gibt es ab sofort 4 Sicherheits- und Funktions-Patches pro Jahr. Für das laufende Jahr 2023 sind drei weitere Patches im Juni, August und Oktober geplant, genaue Infos hierzu finden Sie im aktuellen Veröffentlichungszeitplan von Adobe Commerce

Generelle Adobe Supportlaufzeit für die Magento Versionen 2.4.4 bis 2.4.6

Der Support für die Version 2.4.4 läuft seit April 2022 und endet mit dem 24. April 2025. Auch der Support für die Magento Version 2.4.5 endet 2.025 , allerdings erst am 09. August. Die aktuellste Version Magento 2.4.6 wird bis 14. März 2026 volle Unterstützung seitens Adobe erhalten.

Unser Fazit:

Aus unserer täglichen Erfahrung als E-Commerce- Agentur raten wir Ihnen dringend, mögliche Sicherheitslücken durch veraltete Shop-Software zu schliessen. Wir empfehlen Ihnen ein Update auf die neueste Magento Version 2.4.6, oder wenigstens die Installation der Security-only Patches, wenn Ihr Shop bereits mit einer Version ab 2.4.4 läuft. Wir unterstützen Sie beim Update auf die aktuelle Magento 2.4.6 Version, dem Update der PHP Version auf PHP 8.X oder beim Installieren der Security-only Patches für Magento 2.4.5-p2 und 2.4.4-p3.

Autor

Erstellt

4. April 2023

Kategorien