Magento

Magento 1 und PCI-DSS – was hat das miteinander zu tun?

Disclaimer: Dies ist keine Rechtsberatung. Ich bin kein Anwalt und wer rechtliche Beratung sucht, sollte gerade zu den hier angesprochenen Themen mit einem Anwalt sprechen.

Es ist jetzt gut 5 Jahre her, das Magento mit der Version 2 seiner Software einen größeren Sprung gemacht hat. Die Architektur änderte sich maßgeblich, was dazu führte das es keine Abwärtskompatibilität von der Version Magento 2 zur Version 1 geben konnte.

Viele Betreiber von M1 Plattformen haben sich darüber damals schon sehr aufgeregt und so ließ sich Magento auf eine Verlängerung der Support und Lizenz-Zeiträume ein. Die damals aktuellste Version 1.14, welche 2014 veröffentlicht wurde, sollte einen Software Support bis Juni 2020 bekommen. Ursprünglich wäre im Jahr 2018 bereits EOL von Magento 1 gewesen.

Nun ist Juni 2020 nicht mehr wirklich lange hin und noch immer gibt es Plattformen, die auf der Magento Version 1 laufen.

Das ist technisch gesehen auch nicht weiter schlimm, solange einige wichtige Voraussetzungen gegeben sind. Da wäre das Thema Sicherheitspatches. Da diese nicht mehr vom Hersteller gestellt werden, muss man eigene Patches entwickeln und erstellen. Man braucht ein Team das sich mit aktuellen Security und Hack Themen rund um alle verwendeten Komponenten kümmert: Der eingesetzte Webserver, die MySQL Datenbank, die PHP Version, das Betriebssystem… Auch gefühlt weiter entfernte Systeme und Dienste müssen betrachtet werden: REDIS Cache, Varnish…und womit werden nochmal Dateien auf dem Server Verarbeitet? Gibt es Grafik-Bibliotheken im Einsatz?

Es ist eine schier endlose Liste an Diensten und Systemen die in Verbindung mit dem Betrieb der Plattform auf Sicherheitslücken und Schwachstellen gecheckt werden muss. Das ist der Grund, warum Magento eine kontinuierliche Lizenz fordert: Dafür bekommt man vom Hersteller Patches und Sicherheit.

Der nicht-technischen Sicht ist da schwer beizukommen. Da kommen wir beim Thema „Transaktionale Plattform“ schnell zum Thema Payment und das führt zu einer der gruseligsten Abkürzung im E-Commerce: PCI-DSS

PCI-DSS bedeutet “Payment Card Industry – Data Security Standard”. Diese Standards werden von einer Gruppe entwickelt und als quasi Industriestandard ausgegeben. Die Gruppe beschreibt sich selbst: „Das PCI Security Standards Council ist ein internationales, offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten.“ Hier in dieser Gruppe finden sich alle Namenhaften Payment Anbieter oder deren Interessenvertreter wieder. Und das letzte was diese Gruppe akzeptieren kann, ist auch nur der Verdacht eines Risikos bezüglich der Payment Daten ihrer Kunden.

Entsprechend streng sind die Richtlinien und Standards nach denen man seinen Online-Shop oder seine Plattform absichern muss um PCI-DSS „ready“ oder sogar „compliant“ zu sein.

Die Firma Adyen, einer der größten Anbieter von Payment Lösungen in der Welt, hat seine Kunden bereits sehr frühzeitig darauf hingewiesen, das ihr Magento 1 Shop voraussichtlich nicht mehr PCI konform sein wird. Sie haben alle Kunden angeschrieben und klar ausgedrückt: Wer auf Magento Version 1 bleibt wird die Payment Card Industry Data Security Standards nicht einhalten.

Auch Wirecard und Visa haben sich diesbezüglich bereits klar positioniert. Im April 2020 veröffentlichte VISA (hier) ein Handbuch mit dem eindringlichen Titel „Acquirer Advisory – Urgent Action Required – Magento 1 support to end after June 2020“. Darin heißt es ganz klar: „Given the absence of security patches after the revised cut-off date, any sites that have failed to migrate will be vulnerable to security breaches and pose an increased risk to the security of payment card data.”

Weiter heißt es “PCI DSS Requirements 6.1 and 6.2 address the need to keep systems up to date with vendor-supplied security patches to protect systems from known vulnerabilities. Hence, failing to migrate a Magento 1 ecommerce website will cause merchants to fall out of PCI DSS compliance because no security patch will be available for new vulnerabilities after June 2020.”

Das bedeutet, wer keinen „Vendor-Supplied Security Patch“ bekommen kann, wird hier ein Problem bekommen. Ein Unternehmen, welches unter diesen Bedingungen irgendwann mal zu einem Sicherheits-Thema oder einem Hack rechtfertigen muss, wird bestimmt massive Argumentationsprobleme haben.

Natürlich kommt jetzt hier der Einwurf „Aber bei der Open Source Version gab es nie einen Vendor! Da ist man doch weiter save!“. Ja, nein! Die Open Source Version von Magento 1 wurde unter der OSL 3 Lizenz veröffentlicht. Diese Software kann man also nutzen, und auch jetzt noch weiter nutzen, aber man war von Anfang an selbst verantwortlich für alle Themen rund um die Sicherheit. Es war schön, dass der Hersteller auch Open Source Patches veröffentlicht hat und darauf hat man sich verlassen. Aber das wird nun definitiv nicht mehr passieren.

Wer die Open Source Version wählte, wählte von Anfang an die komplette Eigenverantwortung. Wer die Lizenzversion hatte, konnte zumindest einen Teil der Verantwortung an Magento weiterreichen. Im schlimmsten aller Fälle vor einem Gericht sagen zu können „Wir hatten immer die neuste Version des Herstellers aufgespielt, mit allen Sicherheitspatches! Das war stets höchste Priorität in unserem Unternehmen!“ – ich bin kein Anwalt und kann und will hier keine Rechtsberatung leisten – aber das klingt für mich eher nach verantwortungsvollem Vorgehen und strafmilderndem Umstand für einen Richter (ließ: technischen Laien).