Events 14.7.2017

Magento-Stammtisch Aachen zu IT-Sicherheit

Bild vom Aachener Dom mit der Überschrift "Magento Stammtisch Aachen"

Am Montag, 03.07.2017 fand der 29. Magento-Stammtisch Aachen statt. An diesem Abend gab es einen ausgeprägten Sicherheitsfokus, denn alle Vorträge befassten sich intensiv mit dem Thema. Abweichend zu früheren Stammtischabenden hatten wir an diesem Tag drei Vorträge:

  • Gregor Bonney, Penetration Testing
  • Viktor Franz, Hack eines Magento-Shops
  • Christian Altrogge, PCI-DSS
Zuerst demonstrierte Gregor, wie man Schwachstellen ausnutzen kann. Nach der Live-Vorführung von SQL-Injections und Cross-Site Scripting, gab er, wie mit einfachen Mitteln schon viele Schwachstellen verbessert werden können. Eine davon ist der Secure Header, der diverse Angriffsarten blockiert, darunter zum Beispiel Session Fixation.

Anschließend zeigte Viktors Vortrag dann die Gefahr für einen Online-Shop, vor der sich jeder Nutzer des E-Commerce fürchtet: Wenn ein Shop gehackt und Kreditkartendaten entwendet werden. Viele Shop-Betreiber sind sich der Auswirkungen eines solchen Diebstahls nicht bewusst. Neben dem Imageverlust können auch die weiteren Folgen verheerend sein: Denn nach der notwendigen offiziellen Meldung des Sicherheitslecks bei den Aufsichtsbehörden können auch Bußgelder bis zu 300.000€ auf das Unternehmen zukommen.

Damit dieses Szenario gar nicht erst eintritt, sollten Online-Händler das Thema Datensicherheit gezielt angehen. Ein Punkt auf der Checkliste sollte dabei PCI-DSS sein. Die Buchstabenkolonne steht für Payment Card Industry Data Security Standard, der Datensicherheitsstandard der Kreditkartenorganisationen. Christian wies in seinem Beitrag darauf hin, dass die Anforderungen in 2018 strenger werden und gleichzeitig auf mehr Anbieter im Online-Handel ausgeweitet werden. Wer nun meint, ihn betreffe das nicht, weil er alle Kreditkartendaten über externe Dienstleister übertragen lässt, der irrt. Dieser Umstand grenzt nur ein, wie weitreichend die PCI-DSS-Regelungen erfüllt werden müssen - ein Teilbereich der Prüfung bleibt. Wenn die PCI-DSS-Compliance nicht erfüllt wird, drohen Strafzahlungen oder auch die Beendigung der Services des Acquirers (die Kreditkartenzahlungen akzeptierende Bank).

Mehr zu PCI-DSS: What 2018 Means for Your PCI DSS Assessment Leitfaden zur PCI DSS 3.2-Compliance: Checkliste der "Do's and Dont's"

Neben vielen bekannten Gesichtern waren auch einige neue Teilnehmer dabei, sowohl aus der internen IT eines Online-Shops als auch Magento-Agenturbetreiber und Projektmanager. Da passte es, dass auch die Vorträge von wenig bis sehr technisch variierten.

Stammtisch-Sommerpause

Nun genießen wir zunächst den Sommer in Aachen. Der nächste Stammtisch-Termin steht bereits fest:

Am 09.10.2017 melden wir uns aus der Sommerpause zurück.