Das Thema Security hat im letzten Jahr ja bereits zu Recht deutlich an Fahrt aufgenommen und 2017 wird das Ganze nach unserer Meinung zu einem der Top-Themen werden. Mittlerweile gibt es sogar gesetzliche Pflichten zum Einspielen von Patches und Updates für Webseitenbetreiber, allerdings ist das Verständnis und die Bereitschaft für eine permantene Wartung und Pflechte von Webapplikationen – egal ob CMS, Online-Shop oder sonstiger Applikation und auch vollkommen unabhängig von der verwendeten Technologie – bei Unternehmen häufig nur begrenzt vorhanden. Aus unserer Sicht ist es absolut richtig, Dass Das Thema Datensicherheit immer stärker in den Fokus rückt – zumal Seitenbetreiber ja auch für die Sicherheit ihres Webangebotes verantwortlich sind. Dennoch scheint es hier aktuell noch eine „Zwei-Klassen-Gesellschaft“ zu geben: Die Einen haben das Thema mit entsprechender Priorität und proaktiv auf ihrer Agenda, die Anderen sehen das eher locker und unternehmen – wenn überhaupt – erst etwas, wenn echte Gefahr droht oder noch schlimmer, erst dann wenn etwas passiert ist. Aktuell geistern wieder diverse Meldungen über die Sicherheit von (Web-)Applikationen durch die Fachmedien. Zum Teil wird da mit recht reisserischen Überschriften hantiert ohne eine tiefergehenderen Blick auf die Fakten. Heute Magento und morgen die nächste Technologie Erst die Tage kam wieder eine Meldung, dass rund 1.000 deutsche Online-Shops durch eine Sicherheitslücke in der Shopsoftware – in diesem Fall handelte es sich um Magento – gehackt wurden und gleich lief dazu die PR-Maschine an. So wurde unter anderem auch immer wieder auf den „Hacked Website Report Q3 2016“ des IT-Security Unternehmen Sucuri verwiesen. Demnach führt das CMS WordPress dieses unrühmliche Ranking mit massivem Abstand an, gefolgt von Joomla und Magento. Warum WordPress hier so „dick“ dabei ist, lässt sich mit dem Marktanteil der Software erklären. Bei WordPress handelt es sich um das mit exorbitantem Abstand am weitesten verbreitete CMS weltweit. Glaubt man den Analysen und Daten von WordPress läuft rund ein Viertel aller Websites (!!!) auf WordPress. Die Zahlen kann man jetzt glauben oder nicht. Fakt ist, dass WordPress im Bereich Content Management Systeme extrem weit verbreitet ist. Von daher ist es auch nur logisch, dass bei einer derartigen Verbreitung – insbesondere im Hobby- und Semi-Professionellen-Bereich – auch die Wahrscheinlichkeit etwaiger Angriffe deutlich größer als bei anderen Systemen ausfällt, d.h. es besteht eine deutliche Korrelation zwischen der Anzahl an Installationen und möglichen Angriffen.   Mit Joomla und Drupal folgen weitere „echte“ CMS mit signifikantem Abstand. Dass Magento hier als CMS geführt wird, entzieht sich unserer Kenntnis da es doch gravierende Unterschiede zwischen einem klassischen CMS und einer Shopsoftware gibt. Magento ist das weltweit führende Shopsystem, das bei rund 250.000 Shops im Einsatz ist. Ein Online-Shop bildet dabei für Hacker in den meisten Fällen ein deutlich interessanteres Angriffsziel, als eine „normale“ Webseite, da hier Zahlungen und Zahlungsdaten transferiert werden – es geht also um Kohle und das häufig nicht zu knapp. Fehlende Updates als zentrales Problem Keine Software dieser Welt ist fehlerfrei und es ist immer nur eine Frage des Aufwands, um sich Zugang zu entsprechenden Daten zu verschaffen. Zukünftig wird dies tendenziell auch nicht weniger werden. Daher gibt es sowohl für Open Source- als auch Proprietäre Software Security Teams, die das Thema Datensicherheit bearbeiten und sich permanent um die Behebung auftauchender Sicherheitslücken kümmern. Die im Falle von Magento angesprochene Sicherheitslücke wurde bereits im September 2016 bekannt und Magento hat hier sehr schnell und professionell mit entsprechenden Patches und einer klaren Kommunikation reagiert. Wenn jetzt nach mehrere Monaten noch immer entsprechend viele Online-Shops nicht gepatcht wurde, muss man hier primär dem Shopbetreibern bzw. ggf. dem verantwortlichen Dienstleister den „schwarzen Peter“ zuschieben und hier massive Versäumnisse attestieren. Dass im aktuellen Magento-Fall genau dieses Szenario zum tragen kommt bzw. kam zeigt ein Blick auf betroffene Shops. Im überwiegenden Fall handelt es sich hier um kleinere Hobby- und Bastel-Shops die auf einer älteren Standard-Installationen basieren und zwischenzeitlich nicht auf den aktuellen Stand gebracht wurden. In der Analyse von Sucuri wird dies durch folgendes Chart auch nochmals verdeutlicht. Demnach waren 94% der betroffenen Magento-Shops nicht auf dem aktuellen Softwarestand.   Es betrifft alle Unternehmen und alle Technologien Der eine oder andere stellt sich anhand dieser Studie und der Tatsache, dass es sich hier jeweils um Open Source Software handelt möglicherweise die Frage: Ist Open Source Software denn nicht sicher bzw. unsicherer als proprietäre Lösungen?Hierzu gibt es diverse „prominente“ und auch recht aktuelle Beispiele von Unternehmen, die proprietäre oder individuell programmierte Software einsetzen und dennoch gehackt wurden: US Wahlkampf: Das Ganze ist derzeit noch nicht bestätigt aber es gibt wohl begründete „Vermutungen“, dass russische Hacker in den Wahlkampf eingegriffen haben. YAHOO: Erst im September 2016 musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten. Wendys: Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden. Anfangs ging man von weniger als 300 betroffenen Filialen aus, wobei am Ende dann doch rund 1.000 Filialen auf der Uhr standen. J.P. Morgan Chase: Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Dabei erbeuteten die Hacker rund 83 Millionen Datensätze von Kunden. ADOBE: Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen – darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. SONY Playstation: Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr, da das digitale Serviceportal gehackt wurde und Daten von rund 77 Mio. Kunden gestohlen wurden. Die Liste ließe sich dabei beliebig verlängern und nicht zuletzt die Geschehnisse bzw. Verdachtsmomente im letzten US-Wahlkampf zeigen doch recht deutlich, dass wir uns hier zukünftig noch auf einiges gefasst machen müssen. Der Bankräuber von heute stürmt nicht mehr bewaffnet in ein Gebäude. Häufig sitzt er inzwischen vor dem heimischen PC irgendwo auf der Welt und ist mitunter noch nicht mal Volljährig! Insofern muss man ganz klar argumentieren, dass es am Ende des Tages auch vollkommen egal ist, welche Tools und Technologien eingesetzt werden. Das Thema Datensicherheit betrifft […]

The post Datensicherheit von Online-Shops als eines der Top-Themen 2017 appeared first on Internet-News by TechDivision.