Sicherheitslücken in Shopware vermeiden

Mittlerweile ist der E-Commerce einer der wichtigsten Einnahmequellen für viele Unternehmen. Online-Shop-Systeme, wie zum Beispiel Shopware, müssen aus diesem Grund robust und frei von Fehlern sein, denn jeder Ausfall bedeutet massive Umsatzeinbußen. Was aber noch schlimmer als ein "normaler" Ausfall ist, sind sicherheitsbedingte Ausfälle. Aber wobei geht es genau um Sicherheit? Es gibt drei Hauptziele (Informationssicherheit):

• Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden. Im E-Commerce bedeutet dies, dass wir sicherstellen müssen, dass unsere Kundendaten nicht in die falschen Hände geraten. Das kann passieren, wenn ein Angreifer direkten Zugriff auf die Datenbank erlangt oder auch wenn er Programmcode ausführen kann, der diesen Zugriff erlangt.

• Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden. Wir stellen uns dies wieder für den E-Commerce vor. Ein Angreifer verändert die Shopdaten und kann sich ggf. auf diese Art Rabatte oder kostenlose Produkte erschleichen. Was aber manchmal noch schlimmer ist, dass er peu á peu alle Produkte und Kundendaten aus dem Shop rauslöscht. Klar hat man Backups, aber das Einspielen kann häufig problemetisch sein oder sie sind veraltet.

• Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen. Über Verfügbarkeit von Online-Shops und Webseiten haben wir schon viel geschrieben. Bei sicherheitsbedingten Ausfällen ist es aber meist nicht so einfach den Server wieder zum Laufen zu bringen, da es häufig mit Schadcode auf den Festplatten zu tun hat und somit ein einfacher Reboot nicht den gewünschten Effekt haben wird.

Um Vertraulichkeit, Integrität und Verfügbarkeit in seinem Shopware-Shop zu gewährleisten, gibt es viele Best Practices, die man einhalten sollte. Dieser Artikel listet die wichtigsten auf.

Shopware aktuell halten

Wenn man Shopware nutzt, dann setzt man auf ein Standard-System, das von Haus aus schon sehr stabil ist. Das ist die gute Seite von Standards. Die schlechte Seite ist, dass man häufig durch standardisierte Vorgehen angegriffen werden kann. Dabei ist wichtig zu verstehen, dass der normale Angriff auf einen Online-Shop nicht durch Hacker passiert, die versuchen genau diesen einen Shop zu infiltrieren, sondern man nimmt einen Standard-Angriff und versucht diesen auf möglichst vielen Seiten auszuprobieren. Ein Shop wird schon dabei sein, bei dem es klappt.

Tools wie builtwith.com bieten dabei eine große Hilfe, weil sie Listen bereitstellen, in denen alle bekannten Shopware-Shops aufgelistet sind. Sowas ist natürlich für Angreifer Gold wert. Wir merken uns also: es ist gut auf Standards aufzubauen, aber das bedeutet auch Standard-Angriffen ausgesetzt zu sein.

Die Lösung hierfür ist aber meist relativ einfach. Haltet den Shop aktuell. Sicherheitslücken in Shopware werden durch die weite Verbreitung schnell gefunden und dann auch gefixt. Häufig noch bevor Hacker davon mitbekommen. Shopware 5 und Shopware 6 gehen sehr offensiv mit der Ankündigung von Updates um. Das ist auch wichtig, denn es ist nicht ratsam Versionen auszulassen.

Falls man das Pop-up, mit den Update-Infos am Anfang weggeklickt hat, dann kann man es immer unter Einstellunen > System > Shopware Update.

Shopware-Sicherheitslücken verfolgen

Das Shopsystem zu überwachen, kann auch heißen, dass man sich Informationen von außen beschaffen muss. Deswegen ist es nicht verkehrt den gängigsten Shopware-Kanälen zu folgen. Wenn es konkret um Sicherheit geht, dann ist da allen voran die Shopware-Seite zu empfehlen, da sie eine extra Rubrik für Sicherheitsupdates hat:

• Shopware 6 Sicherheitsupdates
• Shopware 5 Sicherheitsupdates

Neben dem offiziellen Kanal gibt es auch noch Portale, die sich auf Sicherheitslücken spezialisiert haben:

• CVE Details Shopware - Dieses Portal listet alle wichtigen Sicherheitslücken, die registriert wurden auf.
• CVE Details Symfony - Da Shopware (6) komplett auf Symfony aufsetzt, kann es sinnvoll sein, auch dieses Projekt im Auge zu behalten. Das ist aber wirklich eher ein Profitipp und nicht für jeden machbar bzw. nützlich.

Natürlich sollten auch alle wichtigen "normalen" Kanäle verfolgt werden.

• Shopware News
• Shopware Twitter

Plugins aktuell halten

Ein veraltetes Shopware-System ist die größte Gefahrenquelle, nichtsdestotrotz spielen Plugins auch eine große Rolle. Sollte diesen nicht sicher sein, kann das Shopware-System an sich so aktuell sein wie es will, die Lücken existieren trotzdem.

Bei Plugins muss man in zwei Kategorien unterteilen. Zum einen haben wir die Plugins, die sehr häufig im Einsatz sind. Hier gilt eigentlich alles, was für Shopware allgemein gilt. Viele potenzielle Angreifer, aber auch viele, die sich um Updated kümmern. Viel updaten hilft also viel.

Die andere Plugin-Klasse beinhaltet dann die eher unbekannten Erweiterungen. Sicherheitstechnisch können sie gefährlich sein, weil man nicht weiß, ob sich jemand um Updates kümmert. Zum anderen sind sie häufig aber auch nicht so anfällig auf Standard-Angriffe. Hier muss man selbst entscheiden, welchen Weg man geht. Wir würden lieber den Platzhirsch wählen, auch wenn er vielleicht nicht alles beinhaltet, was man benötigt.

Für beide Klassen gilt aber eines. Wenn es ein Update gibt, dann sollte es auch installiert werden. Dabei kann koality.io helfen, denn dank des Plugins für Shopware 5 und Shopware 6 werden unsere Kunden alarmiert, sobald zu viele Plugins ein Update gebrauchen könnten. Im Normalfall sollte dies für jedes Plugin gelten.

Backups

Das Problem an Sicherheitslücken ist, dass man nicht sofort merken muss, dass man gehackt wurde. Manchmal werden solche Lücken genutzt, um Admin-Nutzer zu erstellen, die dann erst nach Wochen etwas machen, was sie nicht dürfen. Ziemlich gemein, aber effizient.

Aber warum macht man das? Ein Grund sind Backups. Die Idee ist es, erst dann anzugreifen, wenn der Schadcode schon die Backups erreicht hat, sodass ein einfaches Einspielen einer alten Version nicht mehr reicht. Die Lösung kann hier eine saubere Backup-Strategie sein.

• Häufige Backups: Je nachdem wie viele Kunden und Verkäufe man macht, sollte man auch Backups regelmäßig durchführen. Wir empfehlen im Stundentakt, täglich kann aber auch ausreichend sein.
• Mehrere Backups vorhalten: Wir bei koality.io halten 24 Stunden lang das stündliche Backup zur Verfügung, speichern uns täglich eins für einen Monat lang und dann noch mal eins für jeden Monat. Nach einem Jahr löschen wir es dann endgültig gelöscht. Das könnte für viele Shops auch ein einfaches Modell sein.

Es gibt viele Services, die sich spezialisiert haben auf Backups in Shopware. Da haben wir aber derzeit noch keine Erfahrungen gesammelt. Deswegen wollen wir auch keine Empfehlung aussprechen.

Passwörter sicher wählen

Da muss man eigentlich nicht viel zu sagen, weil es schon ganze viele andere vor uns gemacht haben. Trotzdem ist es wahrscheinlich der einfachste Angriff auf eine Webseite. Das Passwort ist zu einfach gewählt und jemand kommt in den Shop ohne, dass man überhaupt eine technische Sicherheitslücke zu haben. Also nur ganz kurz:

• Für jedes Portal ein neues Passwort wählen
• Sicheres Passwort wählen
• Password Manager nutzen
• Passwort deiner E-Mail-Adresse besonders sicher aussuchen

Fazit

Eine gute Grund-Sicherheit für seinen Shop zu erlangen, sollte jedem möglich sein, wenn man sich einmal die Zeit nimmt einen Prozess dazu aufzusetzen. Dieser muss dann aber auch eingehalten werden. Tools wie koality.io können aber beispielsweisen bei veralteten Plugins unterstützend wirken.