Magento 1 und PCI

Inhalt

Betreiber von Magento 1 Onlineshops, die noch nicht auf ein alternatives System umgestiegen sind, befinden sich von Juni 2020 in einer sehr prekären Lage. Nach dem End-of-Life für Magento 1 wird das Shopsystem nicht mehr weiterentwickelt und erhält auch keinerlei Sicherheitspatches mehr.

PCI: Eine Frage des Vertrauens

Gerade im E-Commerce ist das ein schwerwiegendes Problem. Immerhin spielt gegenseitiges Vertrauen zwischen Kunden, Händlern, Lieferdiensten und Paymentanbietern hier eine sehr große Rolle. An Magento 1 Shopbetreiber wurden daher Warnungen verschickt, die drohende Probleme mit der PCI-Konformität ihrer Shops voraussagen. Worum aber geht es dabei? Und welche Handlungsoptionen bieten Auswege aus dieser ernsten Problematik?

Wofür steht PCI und was ist das?

PCI steht für Payment Card Industry. Die US-Kreditkartenindustrie hat sich mit dem PCI Security Standards Council eine Einrichtung geschaffen, die Sicherheitsstandards für den weltweiten Zahlungsverkehr mit Kreditkarten definiert. Die Kreditkartenindustrie erwartet die Einhaltung dieser Standards von den an solchen Payment-Prozessen beteiligten Stakeholdern. Das gilt unter anderem für Anbieter von Software, in die kreditkartenbasierte Payment-Funktionalitäten integriert sind sowie die Nutzer solcher Software.

Die Zusammensetzung der vom PCI definierten Standards ist ausgesprochen komplex. So ist neben dem Software Security Standard Framework und dem Secure Software Lifecycle Standard insbesondere der Data Security Standard (PCI DSS) sehr wichtig. Für den Fall, dass Händler oder Dienstleister gegen die für sie relevanten Standards verstoßen, behält die PCI sich Sanktionen vor: Strafzahlungen, Beschränkungen und den Entzug der Erlaubnis für die Akzeptanz von Kreditkarten.

Welche Anforderungen stellt das PCI Security Standards Council an Software?

Die unterschiedlichen vom PCI Security Standards Council definierten Standards legen fest, dass und in welcher Weise Software, die funktional mit Kreditkartenzahlungen zusammenhängt, sicher designt, entwickelt und gewartet werden muss. Die entsprechenden Regelungen schreiben genau vor, welche Anforderungen Hersteller von Software erfüllen müssen, um Produkte anbieten zu können, die alle durch die PCI festgelegten Anforderungen erfüllen. Dazu zählt auch die regelmäßige Wartung im Hinblick auf Sicherheitsaspekte und das Bereitstellen entsprechender Updates. Das gelt selbstverständlich auch für Shopsoftware.

Welche Anforderungen stellt der PCI DSS an Anwender?

Der Payment Card Industry Data Security Standard (PCI DSS) nimmt auch Anwender in die Pflicht. Zum einen sind sie dazu verpflichtet, PCI-konforme Software einzusetzen, um selbst den PCI DSS erfüllen zu können. Zum anderen gilt: Der Einsatz von Software, die für das PCI Software Security Framework validiert worden ist, garantiert noch nicht, dass die Softwareumgebung des Anwenders eine mit PCI DSS konforme Instanz darstellt. Wer vom PCI validierte Software verwendet, sie jedoch nicht in geeigneter Weise implementiert oder aber im laufenden Betrieb nicht dafür sorgt, dass die Sicherheit durch stets rechtzeitig eingespielte Security-Updates dauerhaft gewährleistet bleibt, erfüllt den PCI DSS nicht mehr und kann entsprechend sanktioniert werden – Shopbtreiber zum Beispiel.

Wie ist die Situation für Magento 1 Shops?

Magento 1 Shops können nach dem Auslaufen des Supports für Magento 1 im Juni 2020 unmöglich weiter PCI-konform betrieben werden, worauf auch Magento in der Dokumentation zu Magento 1 hinweist. Das Problem: Da durch den Hersteller keine Sicherheitsupdates mehr entwickelt und bereitgestellt werden, stellt Magento 1 als Produkt nach dem End-of-Life ein potenzielles Sicherheitsrisiko dar. Wer weiterhin mit Magento 1 unterwegs ist, wird daher auf die kreditkartenbasierte Abwicklung von Zahlungen verzichten müssen.

Welche Lösungen gibt es für dieses Problem?

Mit Magento 1 ist dieses Problem nicht zu lösen. Wer noch auf Magento 1 setzt und als Händler im E-Commerce eine Zukunft haben will, muss daher auf ein anderes System umsteigen. Dafür gibt es drei unterschiedliche Szenarien.

1. Wechsel auf Magento 2

Aus der Sicht von Magento ist der natürliche Weg der Wechsel von Magento 1 zu Magento 2. Da ein Upgrade technisch nicht möglich ist und der Betrieb von Magento 2 mehr Ressourcen erfordert, wäre dieser Schritt für viele Shopbetreiber jedoch mit zu hohem finanziellem Aufwand verbunden.

Mehr über die Migration von Magento 1 zu Magento 2 

2. Wechsel auf ein anderes Shopsystem

Um dem Dilemma zwischen dem unsicher gewordenen Magento 1 und dem voraussetzungsreichen Magento 2 zu entkommen, haben Shopbetreiber die Möglichkeit, auf ein anderes Shopsystem zu wechseln. Je nach Umfang des Shops und Anforderungen an das System kommen dafür unterschiedliche Lösungen in Frage. Wir empfehlen Kunden unterschiedlicher Größenordnung das in Deutschland entwickelte, ausgesprochen leistungsfähige und hervorragend skalierbare System Shopware.

Mehr über den Wechsel von Magento 1 zu Shopware 

3. Wechsel auf OpenMage

OpenMage ist eine Abspaltung (Fork) des Quellcodes von Magento 1. Eine Initiative aus der Magento Community entwickelt OpenMage für den Betrieb in aktuellen Softwareumgebungen sowie mit neuen Features weiter und bietet unbeschränkten Long-Term-Support (LTS). Viele Betreiber von Magento 1 Shops sind inzwischen auf OpenMage umgestiegen, setzen also auf vertraute und bewährte Technik in neuem Gewand. Damit erhalten sie weiterhin dauerhaft Sicherheitsupdates durch den Hersteller – OpenMage – und sind im Hinblick auf PCI auf der sicheren Seite.

Mehr über den Wechsel von Magento 1 zu OpenMage