Sicherheitsupdates: Sichern Sie ab was Ihnen lieb ist

 

WEB-Frühjahrsputz verpasst? Dann wird es höchste Zeit für essentielle Updates Ihrer Webseite oder Ihres Webshops. Web-Updates werden oft als unnötige Kosten abgetan und so fristen tausende Websites Ihre Existenz als potentielle Ziele für Hacker. Was die Website-Betreiber für ein Risiko eingehen ist ihnen oft nicht bewusst oder wird einfach ignoriert. Geben Sie in Google den Begriff „Hackerangriff“ ein und Sie werden sehen wie leicht sie Opfer einer Attacke sein können. Wir wollen mit unserem aktuellen Blogeintrag keine Angst schüren, sondern informieren weshalb Sie das Upgrade Symbol Ihrer Website oder Webshop nicht ignorieren sollten.

Bereits im Mai 2016 haben wir in unserem Blog über die hinterlistigen Angriffe von Ransomware berichtet. Auch hilfreiche Tipps für Maßnahmen, die im Vorfeld gegen einen Hackerangriff schützen können, haben wir damals in einem Artikel für unsere Leser zusammengefasst. Eine dieser Maßnahmen betraf das Thema „Sicherheitsupdates“. Aufgrund der steigenden Relevanz dieser Thematik veröffentlichte Google im Jahr 2017 im Rahmen seiner #NoHacked-Kampagne regelmäßig Studien zur Sicherheit von Webseiten und gab Anweisungen für deren sicheren Betrieb. Laut dieser Kampagne ist die Anzahl der gehackten Webseiten in den letzten Jahren rasant angestiegen und es ist längst kein Ende in Sicht. In Österreich wurden im Jahr 2018 rund 19.628 Fälle von Internetkriminalität bei der Polizei zur Anzeige gebracht. Der Anstieg von 16,8 Prozent gegenüber dem Vorjahr zeigt auch im Jahr 2018 eine steigende Tendenz der Anzeigen im Bereich Cybercrime. Die gute Nachricht -> Rund 37 Prozent der Fälle konnten aufgeklärt werden. (Quelle: Bundesministerium für Inneres Österreich

Cyberkriminalität beschreibt im weiteren Sinn die Gesamtheit illegaler Handlungen im Computer-und Telekommunikationsbereich zum Beispiel Datenmanipulation oder das widerrechtliches Eindringen in Systeme. Im Bereich Internetbetrug gab es 2018 den größten Anstieg der angezeigten Fälle im Zehnjahresvergleich.

Software von Menschen für Menschen

Generell kann man sagen das die Entwicklung einer Software nie zu Ende geht (solange die finanziellen Mittel gegeben sind), da man immer wieder Dinge finden wird die man besser machen kann oder sich Funktionen im Laufe der Zeit weiterentwickeln. Dies trifft auch bei CMS Systemen wie z.B. WordPress und TYPO3 zu oder auch im e-commerce Bereich für Webshop Systeme wie z.B. Magento oder Shopware.

Als professioneller Web-Dienstleister ist es unsere Pflicht auf die Notwendigkeit von Versionsupdates hinzuweisen. Im Bereich von TYPO3 betrifft dies Sicherheitsupdates der im Oktober 2018 erschienenen Version 9 LTS und allgemein empfohlene Versionsupdates der im März 2017 abgelaufenen Version 4.5. Diese Version ist seit Jänner 2011 auf dem Markt und somit schon 8 Jahre alt. Aufgrund der hohen Verbreitung wurde der Support dieser Version bereits zweimal verlängert. Mit März 2017 war dann endgültig Schluss. Neben Neuerungen im Backend und der Unterstützung von responsive View für Mobile Devices ist das Sicherheitsthema eines der wichtigsten Gründe für regelmäßige Aktualisierungen. Wo bis vor kurzem ein Update auf Version 6.5 der nächste logische Schritt gewesen ist, gilt dies aufgrund eines Technologiesprungs in der TYPO3 Struktur nicht mehr. Wir empfehlen nun bis auf Ausnahmen, ausschließlich den Sprung zur Version 9.5.5 (oder neuer wenn stabil).

Im Bereich von Magento hat sich mit dem Umstieg auf Version 2 so einiges in der Datenstruktur getan. Die erfolgreiche Onlineshop Software Magento wurde im März 2008 veröffentlich und immer weiter verbessert. Da sich die erste Version hoher Beliebtheit erfreut, wurde der Support bis November 2018 verlängert. 7 Monate später sind auch in diesem Bereich noch unzählige Shops mit veralteter Software online. Da es sich hier um ein komplexes System handelt, weisen viele Magento-Versionen Schlupflöcher für Schadcode auf und gefährden so Onlineshops. Dies ist auch der Grund weshalb in regelmäßigen Abständen abgesicherte Ausgaben erscheinen, welche die Schwachstellen der jeweiligen Version minimieren. Entscheidet man sich gegen ein Sicherheitsupdate, können Angreifer die zum Teil als “kritisch” eingestuften Sicherheitslücken ausnutzen und im schlimmsten Fall Shops komplett übernehmen.

Das höchste Risiko in Sachen „Cyberattacke“ liegt beim am weitest verbreiteten System „WordPress“. Aufgrund der niedrigen Anschaffungskosten entscheiden sich Kunden gerne für diese Website Lösung. Um Kosten zu sparen, wird bei der Grundinstallation wird oft nicht an das Thema „Sicherheit“ gedacht wodurch schon beim Launch eine große Lücke für Hacker entsteht. Eine solche Webseite ist ein gefundenes Fressen für Hacker und wird dementsprechend mit voller Härte angegriffen. Wir haben fast täglich mit der Beseitigung solcher Schäden zu tun wobei die Wiederherstellungskosten bei weitem jene eines Sicherheitsupdates übersteigen. Die Kosten/Nutzen Rechnung des Kunden geht dann in solch einem Fall nicht auf.

Generell kann man sagen dass das Thema „Versionsupdates“ für viele Kunden ein rotes Tuch ist, da einerseits zusätzliche Kosten und andererseits ein interner Arbeitsaufwand entstehen können. So wird dann oft aus „Gemütlichkeit“ auf ein Update verzichtet und das Risiko eines WEB-Angriffs in Kauf genommen. Dass man damit fahrlässig handelt und ein großes Sicherheitsrisiko für seine Kunden eingeht wird oft mit dem Motto: Wenn bisher nichts passiert ist, dann wird auch weiterhin nichts passieren, abgetan.

Gefahr für sensible Kundendaten

Werden auf der Webseite Kundendaten verwaltet, verstärkt sich das Risiko noch um ein Vielfaches. Gerade solche Seiten bieten für Hacker ein wahres Fest an „kostenlosen“ Informationen, welche über diverse illegale Foren weiterverkauft werden. Die Verantwortung im Umgang mit diesen Daten ist vielen Unternehmen oft gar nicht bewusst. Fahrlässiges Verhalten ist somit an der Tagesordnung. Speziell die Datenschutzgrundverordnung, welche ab dem 25.05.2018 in Kraft getreten ist, wird sich besonders um solche Fahrlässigkeiten „kümmern“.

Speziell dem Thema Sicherheitsupdates sollte ein besonders hohes Maß an Aufmerksamkeit geschenkt werden. Bei unseren Recherchen zu diesem Thema mussten wir leider feststellen, dass bei vier von fünf Webshops zumindest ein relevantes Sicherheitsupdate gefehlt hat. Das Interesse von Kunden in diesem Bereich etwas zu unternehmen war gering bis gar nicht vorhanden.

Sei es TYPO3, WordPress oder Magento -> Es werden regelmäßig kostenlose Updates angeboten um sensible Daten zu schützen. Diesen Vorteil sollte man sich als auf jeden Fall zu Nutze machen.
Fehlt einem die technische Expertise, dann stehen wir als kompetenter Partner im WEB Bereich gerne zur Verfügung.

Fazit

Während man im Internet von Informationen zu Sicherheitsrelevanten Themen beinahe erschlagen wird, halten sich die tatsächlich getroffenen Maßnahmen zur Vorbeugung von Hacker-Angriffen bei vielen Webseiten- und Webshop-Betreibern in Grenzen. Dabei fällt die regelmäßige Implementierung von Sicherheitsupdates oft günstiger aus als vermutet. Zusätzlich, kann man diese Gelegenheit nutzen die Inhalte seiner Webseite wieder mal zu überarbeiten und veraltetes zu aktualisieren oder gar zu entfernen. Entschließt man sich dagegen, muss man mit dem Worst Case rechnen: Neben den Kosten für die Wiederherstellung der gehackten Daten und der Tatsache, dass Ihre Webseite wohl eine Weile offline sein wird, ist nun auch das Vertrauen Ihrer Besucher in Gefahr. Erfahren Diese nämlich von einer Sicherheitsschwachstelle, wird sich auch der treuste User nochmal überlegen ob er Ihnen seine Bankdaten nun anvertrauen soll.

Mit der regelmäßigen Durchführung von Sicherheitsupdates, sowie einem gelegentlichen Versionsupgrade, schützen Sie sich und letztendlich Ihre Webseitenbesucher von Hacker-Angriffen und deren Konsequenzen.

Wollen Sie den Sicherheitsstand Ihrer Webseite oder IT Infrastruktur überprüfen lassen, helfen wir Ihnen natürlich auch gerne weiter. Senden Sie ein Mail an [email protected] oder rufen Sie uns an unter 01/ 581 01 30.

Firmen bietet die WKO Förderungen für Beratungen im Bereich von WEB und IT an. IXSOL als WKO zertifiziertes Unternehmen im IT & WEB Bereich, unterstützt Sie hier gerne.

Magento 2.0 – Alles zur Umstellung von Magento 1 auf Magento 2

magento 2 upgrade

Im März 2008 wurde die erste Version der Magento-Software für Onlineshops veröffentlicht. Seitdem ebnete sich Magento den Weg zu einem der weltweit beliebtesten Systeme für die Erstellung von Webshops. Nach rund 10 erfolgreichen Jahren endet heuer zwar die Weiterentwicklung von Magento 1, allerdings eröffnen sich mit der Nachfolgeversion Magento 2 vielfältige neue Möglichkeiten. Das ultimative Ende, gleichbedeutend mit dem Stop von Wartung und Support der ursprünglichen Version wurde für November 2018 angekündigt.

Bei Magento 2 handelt es sich nicht um ein gewöhnliches Update, bei dem sich binnen eines Knopfdrucks und ein bisschen Wartezeit sämtliche Aktualisierungen von selbst durchführen lassen. Es benötigt ein gewisses technisches Knowhow, um das Upgrade durchzuführen. Das liegt vor allem daran, dass der gesamte Programmcode einmal rundum angepasst werden muss.
Und weil man im Zuge dessen schon dabei ist, bietet sich eine komplette Neuprogrammierung und Neuinstallation an. Denn wie ein Frühjahrsputz am Jahresanfang eignet sich diese Durchführung hervorragend dazu, angestaute Altlasten zu entsorgen und das Programm einmal ordentlich aufzuarbeiten.

Angenehm aus Anwenderperspektive bei der Sache ist, dass die grundlegende Technologie dieselbe bleibt, das Erlernen neuer Anwendungs-Skills ist also glücklicherweise nicht notwendig.

Muss man zwingend umsteigen?

Wie bereits erwähnt, werden die Betreiber den Support der ersten Version wohl wie angekündigt bis zum Jahresende gänzlich einstellen. Schon jetzt werden Extensionen nur noch für Magento 2 produziert, Innovationen werden folglich nur mehr in dieser Version erscheinen. Hinsichtlich der Sicherheit und auch, um neue Funktionen nutzen zu können, ist ein Wechsel also durchaus ratsam. Auf den ersten Blick fallen uns folgende Verbesserungen der Magento 2 Version auf:

  • Optimierte, übersichtlichere Benutzeroberfläche
  • Verbesserte Struktur mit mehr Geschwindigkeit für individuelle Anpassungsprozesse
  • Mehr Flexibilität für individuelle Anpassungen
  • Kostengünstigere, leichter integrierbare Updates
  • Bessere Performance (um die 20%)
  • Höheres Sicherheitsniveau hinsichtlich Hackern und Diebstahl von Daten

Bis Dato mag der Migrationsdruck nicht allzu groß erscheinen, auf lange Sicht ist eine Umstellung allerdings notwendig, um technisch auf dem neuesten Stand zu bleiben, sodass man sich gedanklich schon einmal auf das Update einstellen kann.

Ist das nicht ein guter Zeitpunkt nach einem neuen System Ausschau zu halten?

Natürlich bietet sich als Alternative zu einem Wechsel von Magento 1 auf Magento 2 die Möglichkeit an, gleich auf ein komplett anderes System umzusteigen.

Welche Alternativen gibt es zu Magento

Im Zentrum dieser Überlegung steht wohl die Frage, inwiefern man mit Magento im Allgemeinen zufrieden ist und wie viel Vertrauen man dem System entgegen bringt, sich auch in Form der neuen Version am Markt als Big Player durchzusetzen.

Ist man also bereits von der ersten Version nicht vollkommen überzeugt, kann man eventuell einen Seitenblick auf Mitbewerbersysteme werfen.

Allerdings ist zu bedenken, dass auch die zweite Version genau wie Magento 1 ein etabliertes und qualitativ hochwertiges System für erfolgreiches E-Commerce ist und nach einer Eingewöhnungsphase warten sicherlich vielversprechende Features auf die Nutzer.

Zudem ist es durch die tiefe Integration der Geschäftsprozesse in Magento wohl grundsätzlich umständlicher auf ein komplett neues System umzusteigen, als die Neuversion zu implementieren. Ein Anbieterwechsel sollte daher nicht ohne weiteres erfolgen. Besonders bei stark individuellen Anwendern ist ein kompletter Wechsel in eine neue Umgebung mit höheren Kosten und Aufwand verbunden.

Bis wann muss ich mich entscheiden?

Als Deadline und somit endgültiges Ende von Magento 1 wurde bisher der 1.11.2018 angekündigt. Ende von Magento 1
Bis zu diesem Datum sollte also eine Migration erfolgt sein, da danach die Sicherheit Ihres Webshops durch den Support vonseiten Magentos nicht mehr gewährleistet ist. Plant man als Shop-Betreiber größere Investi-tionen, dann ist es sinnvoll, die Umstellung gegebenenfalls früher  abzuschließen, um die neuen Features direkt auf die zukünftige Plattform zu integrieren. Ein weiteres Argument für einen frühen Umstieg ist, dass mit Näherkommen der Deadline wohl auch Dienstleister und Agenturen immer stärker ausgelastet sein werden. Je länger man wartet, desto eher muss man mit länger dauernder Bereitstellung und damit letztendlich höheren Kosten rechnen.

Allgemein ist die richtige Entscheidung genauso wie der richtige Zeitpunkt für eine Umstellung natürlich von vielen individuellen Faktoren abhängig und es gibt keine Goldformel, die zu jedem Anwender passt.
Zur besten Lösung gelangt man durch Teamwork. Shopbetreiber und E-Commerce-Verantwortliche an einem Tisch können zusammen mit einem erfahrenen Partner in einer Diskussion anhand des individuellen Geschäftsmodells und der gegebenen Infrastruktur bestmöglich entscheiden.

Magento Versionen im Vergleich: Magento 1 vs. Magento 2

Als Hilfestellung sind hier einige konkrete Änderungen angeführt, die bei der Entscheidung berücksichtigt werden sollten:

1.      Ladezeiten und Geschwindigkeit

Die Hardware von Magento 1 ist deutlich größer als die von Magento 2, wodurch die alte Version mit mehr Kosten, Aufwand und höherer Fehler-Risiko-Quote verknüpft ist. Mit der Entwicklung von Magento 2 ist es mithilfe einer neuen Softwarearchitektur gelungen, die Ladezeiten deutlich zu optimieren.

2.      Optimierte Suche

Mit Magento 2 wurde die alte Suchmaske durch das neue Search Engine Elastic ersetzt. Wie wichtig das einfache Suchfeld auf der Startseite für die Besucher eines Onlineshops ist, ist kein Geheimnis mehr. Umso erfreulicher ist es, dass mit Elastic ein Suchtool verfügbar ist, welches zum einen Konfigurationsmöglichkeiten bietet und zum anderen eine deutlich unkompliziertere Implementierung erlaubt. Womit wir wieder beim alten Thema weniger Aufwand und weniger Kosten wären.

3.      Admin Table Filtering

Um in Magento 1 Produkte oder Kunden in der Listenansicht zu ändern, benötigt es einen Entwickler oder man spielt eigene Module ein. In der neuen Version lassen sich diese sowie weitere Funktionen wie das Ändern von Spalten, Zeilen oder Filterbedingungen ganz simpel und schnell vom Admin-Nutzer bearbeiten. Die angefertigten Listen können zudem gespeichert und auch anderen Backend-Nutzern zugänglich gemacht werden. Das Erstellen individueller Artikellisten und Auftragslisten sowie deren Bearbeitung im Team sind mit Magento 2 also ganz bequem möglich.

4.      Optimiertes Interface für die mobile Nutzung

Auch mobile Nutzer können nun ihren Webshop bequem am Handy oder Tablet administrieren. Schnelle Auftragsbearbeitung unterwegs oder eine rasche Grammatikkorrektur im Text ist mit dem optimierten mobilen Interface kein Problem mehr.

5.      Ajax Add-to-Cart

Wurde früher die Seite bei jeder Ablage eines Produktes in den Warenkorb neu geladen, so ist das mit der Ajax-Add-to-cart Funktion nicht mehr erforderlich. Dies bedeutet für den Kunden einen lästigen Zwischenschritt weniger bis zum Kaufabschluss und in der Folge weniger Kaufabbrüche im Webshop.

6.      Videos

Die Video-Implementierung in Magento 1 war bisher ziemlich mühsam und es erforderte einiges an Zeit und Geduld, bis das Video fehlerfrei und ordentlich integriert war. Mit der neuen Version ist das mit einer Verlinkung zum Video und Eingeben eines kurzen Titels erledigt und das Video wird ganz von selbst korrekt angezeigt.

Ein weiteres gelöstes Problem von Magento 1 war es, dass Admins und Besucher gleichzeitig auf dieselbe Datenbank zugriffen und es so zu langen Ladezeiten und verschlechterter Performance kam. Besonders wenn mehrere Admins gleichzeitig an datenbankintensiven Aufgaben arbeiten, braucht es eine stabile Datenbank. Das ist durch Magento 2 gewährleistet; das System unterstützt eine Aufteilung auf bis zu drei Datenbanken. Dadurch kann die Datenbelastung bei anspruchsvolleren Systemen sinnvoll auf unterschiedliche Nutzerkreise getrennt werden.

Können wir bei der Entscheidung behilflich sein?

In Zukunft werden neue, interessante Extensions wohl nur noch für dashilfe bei der migration zu magento 2 aktuelle Magento 2 released werden und das Knowhow der Community auch nur noch hier seinen Einsatz finden. Bis dieser Zeitpunkt gekommen ist, überlegen wir gerne gemeinsam mit unseren Kunden, ob ein Wechsel sinnvoll ist und beraten sie auch gerne, wann der geeignetste Zeitpunkt für eine Neuimplementierung ist.

Sie benötigen Unterstützung oder haben Fragen?

Firmen bietet die WKO Förderungen für Beratungen im Bereich von WEB und IT an. IXSOL als WKO zertifiziertes Unternehmen im IT & WEB Bereich, unterstützt Sie hier gerne.

Rufen Sie uns an unter 01 581 01 30 oder schreiben Sie uns eine Mail an [email protected]