Wer sich aktuell mit Kunden und Lieferanten unterhält, wird sicher auch schon auf die ein oder andere Weise davon gehört haben, dass inzwischen immer öfter IT-Systeme von Unternehmen gehackt werden. Die Täter treibt dabei häufig die Aussicht um, durch Sicherheitslücken verhältnismäßig einfach an Unternehmensgeheimnisse zu kommen und diese weiterverkaufen zu können. Oder durch die Verschlüsselung von Daten oder Systemen, Lösegeld für die entsprechende Entschlüsselung zu erpressen.
Dass es wie beim gewöhnlichen Diebstahl den Tätern oft leider viel zu häufig viel zu einfach gemacht wird, zeigt auch der „Cardbleed-Hack“ vom Spätsommer 2020, wo an einem einzigen Wochenende rund 2.800 Webshops gehackt wurden.
In diesem Fall ging es den Tätern allerdings um etwas anderes. Durch einen sog. Zeroday Exploit war es ihnen gelungen, Zugriff auf die jeweiligen Shop-Server zu bekommen und so im Checkout Prozess des jeweiligen Shops Zahlungsdaten von Kunden abzugreifen.
Doch wie war das möglich? Wer oder was hat da versagt? Die Frage ist relativ einfach beantwortet. Alle betroffenen Shops benutzten als Shop Software Magento 1. Aber hätte der Hersteller nicht dafür sorgen müssen, dass die Lücke geschlossen wird? Klares nein! Magento respektive Adobe hatte seine Shop Software bereits weit zuvor per Juni 2020 als „End of Life“ abgekündigt und klar kommuniziert, dass ab diesem Zeitpunkt keine Sicherheit-Patches mehr zur Verfügung gestellt werden. Wohlgemerkt waren zum Zeitpunkt des Vorfalls immer noch über 95.000 Online-Shops mit Magento 1 am Netz.
Also sind die betroffenen Unternehmen selbst Schuld? Zum Teil. Ich bin mir sicher, dass jedes einzelne Unternehmen für sich gute Gründe hatte, warum der Umstieg auf Magento 2 oder andere Shop Lösungen noch nicht begonnen bzw. abgeschlossen war. Wir alle wissen, wie voll die Projekt-Pipelines sind. Wie komplex die vorhandenen Systeme in den eigenen Rechenzentren, die über Jahrzehnte aufgebaut wurden. Die Softwarelösungen, die da irgendwo noch in einem Randsystem schlummern, die eine Fachabteilung aber noch ganz, ganz dringend braucht und deshalb nur schwer abgelöst werden können.
Dazu kommt, dass für Updates oder Patches schon gar keine Zeit ist, weil diese wiederum Downtimes bzw. Wartungsfenster bedürfen, die dem Business erst wieder mühsam abgerungen werden müssen, denn Wartungsfenster verdienen ja kein Geld.
Und trotzdem, die Zeit tickt unerbittlich. Und das nächste End of Life steht bereits vor der Tür. SAP stellt den Support für Hybris im Laufe des Jahres 2023 ein. Berücksichtigt man die die üblichen Vorlauf- und Projektlaufzeiten und wirft einen Blick auf die aktuelle Ressourcen Situation bei den Dienstleistern, zeichnet sich hier bereits das nächste attraktive Ziel für Hacker ab. Also aller höchste Zeit, sich diesem Thema zu widmen.
Wenn Sie wissen möchten, wie wir Sie dabei unterstützen können und warum Ihnen eine Shop Software in der Cloud viele Sorgen und Probleme beim Thema IT-Sicherheit abnehmen kann, sprechen Sie mich gerne an.
Ihre Ansprechpartner
Florian Schad
Manager