Magento1 End of Life

Das offizielle Supportende (End of Life) von Magento1 mit Ende Juni 2020 ist angesichts des nahenden Ereignisses omnipräsent. E-Mails von Zahlungsdienstleistern wie PayPal weisen zur dringenden Umstellung an, um Zahlungen auch ab dem dritten Quartal abwickeln zu können. Durch ausbleibende Sicherheitsupdates seitens Magento/Adobe ist ein höheres Betriebsrisiko abzuleiten.

Auch wenn die nahende Deadline schon ausreichend lange bekannt ist, gibt es unterschiedliche Gründe warum im Juli 2020 voraussichtlich immer noch über 100.000 Shops unter Magento1 betrieben werden. (Quelle) Dazu zählen beispielsweise unzureichende Budgets oder aktive aber noch nicht abgeschlossene Migrationen.

Seit Inkrafttreten der DSGVO wurden Pflichten für Händler nochmals sensibilisiert – wenn auch nicht immer sonderlich konkret. Das Internet ist am Ende kein rechtsfreier Raum und Gewerbetreibende müssen ihrer Verantwortung nachkommen.

Was jetzt aber tun, wenn die Umstellung auf das neue System noch länger dauert?

Vorweg: Supportende bedeutet nicht zwingend Funktionsende

Optik und Funktionen des Webshops bleiben auch nach dem Supportende bestehen. Der zugrundeliegende Code wird nicht inkompatibel oder gesperrt, das gilt in der Regel auch für Module.

Was speziell geprüft werden muss, ist die künftige Unterstützung von Drittparteien. Allen voran von Zahlungsanbietern, welche laut Kundenanschreiben die weitere Unterstützung von Magento1 in Frage stellen.

Eine Übersicht können wir mangels durchgehend deckender und konkreten Aussagen nicht anbieten, aber: Es gibt Zahlungsanbieter, welche ihre Dienste weiterhin anbieten. Teils unter Nachweis erweiterter Maßnahmen sowie eines Plans zur Umstellung, teils mit bedingungslosen Übergangsfristen von bis zu einem Jahr. Diesbezüglich also am besten keine Zeit verlieren und Ihre Ansprechpartner um Auskunft bitten.

Sollte alles funktionieren, warum dann umstellen?

Weil Sie von neuen Funktionen profitieren können, gegebenenfalls ohnehin länger über einen größeren Umbau betreffend Design, Schnittstellen oder Co nachdenken oder auch einfach (und vor allem) Ihre objektive Pflichtwahrnehmung durch offiziellen Support erhöhen wollen. Ihr Webshop ist im Regelfall ein elementarer Umsatzkanal im Wachstumsmarkt E-Commerce, mit einem langfristigen Plan. Das Kaufverhalten von Konsumenten sowie Unternehmen verschiebt sich zunehmend auf digital Kanäle. Die Ansprüche steigen dabei in allen Belangen an die technische Lösung, das Fulfillment sowie den Händlerservice. Der Vorteil dabei: alles ist messbar und damit für Ihren Erfolg verwertbar.

Im Idealfall steht Ihr Projekt also nicht über Jahre still, es wird regelmäßig und erfolgsorientiert am Webshop justiert und Ihr ROI bestätigt Ihr Vorgehen. Große Bausteine wie Prozesse, das Design, Drittsystemintegrationen werden gerne mit größeren Umbauten wie einem Magento2 Relaunch verbunden.

Im Falle der Magento1 Enterprise Edition würden Sie außerdem weiterhin Lizenzgebühr für ein ungewartetes System zahlen zahlen.

Ok, wie gestalte ich nun meinen weiteren Magento1 Betrieb?

In erster Linie müssen die unveränderten Hausaufgaben erledigt sein, das System die aktuellsten Sicherheitsupdates beinhalten sowie grundlegende IT Security sichergestellt sein. Wenn von Sicherheitsupdates gesprochen wird, betrifft das nicht nur die bald eingestellten Magento Core Patches, sondern auch Erweiterungen, Integrationen sowie die Infrastruktur. Einige Modulanbieter versprechen die weitere Wartung ihrer Magento1 Module, pauschal kann davon aber nicht ausgegangen werden – speziell bei kleineren Anbietern. In allen Fällen sollte der weiterhin betriebene Magento1 Shop um verzichtbare Funktion reduziert werden.

Darüber hinaus empfehlen wir weiterführende Maßnahmen, beispielsweise wie nachfolgend angeführt.

1. Integration von Magento Patches durch Mage-One

Mage-One ist ein Unternehmen mit Sitz in Deutschland, bestehend aus mehreren Magento Professionisten, mit dem Ziel und Versprechen den Magento1 Core Security Support fortzuführen. Entgegen anderer Projekte, welche sich dasselbe oder ein ähnliches Ziel stecken, wird neben Eigenleistungen auf ein Bounty Programm zurückgegriffen und der Fokus ausschließlich auf die Sicherheit gelegt. Die Preise hängen vom Shopumsatz ab, die Patchintegration erfolgt durch die betreuende Agentur.

2. Malware & Vulnerability Scans durch Sansec

Sansec ist führender Anbieter bei der Erkennung von Malware und Schwachstellen in E-Commerce Systemen. Ihr „Flaggschiffprodukt“ eComscan unterstützt alle gängigen Plattformen (wie Magento) und scannt Dateien, Datenbanken und Komponenten von Drittanbietern. Sollte es also trotz weiterführender Maßnahmen zu einem Sicherheitsproblem kommen, haben Sie gute Chancen dieses unmittelbar erkennen und zu handeln – bevor größerer Schaden entsteht.

3. Vorschaltung einer Web Application Firewall (WAF)

Durch eine WAF können bösartige Absichten verhindert werden, bevor ein Einwirken auf die Applikation / den Magento1 Shops die Folge gewesen wäre. Die WAF untersucht alle eingehenden Anfragen und Antworten des Webservers. Damit können viele Versuche in Form von Injections, Cross-Site-Scripts etc. unterbunden werden. Einige Hoster bieten die Ergänzung um eine WAF an, ansonsten oder stattdessen kann auch auf spezialisierte Dienste wie zB von Cloudflare oder Sucuri zurückgegriffen werden.

Fragen, die Sie mit „Ja“ beantworten können müssen

  • Ist mein Magento1 Shop am aktuellsten Stand betreffend veröffentlicher Sicherheitsupdates?
  • Ist sichergestellt, dass meine Zahlungsmethoden weiterhin angeboten werden können?
  • Habe ich einen Langzeitplan, der auf einem offiziell gewarteten System beruht?
  • Kann ich weiterführende Maßnahmen zur Absicherung des Systems vorweisen (zB Web Application Firewall, Mage-One Patchintegrationen, Sansec Malware & Vulnerability Scan)?

Über uns sowie Information zur Maßnahmen-(Un)Sicherheit

Seit 10 Jahren entwickeln wir E-Commerce Lösungen auf Basis Magento, dabei seit 2016 ausschließlich unter Nutzung von Magento2. Unter etwa 100 Onlineshop Projekten seither, betreuen auch wir noch mehrere Kunden welche Magento1 aus unterschiedlichen Gründen nicht rechtzeitig ablösen werden.

Als Agentur mit hohem Verantwortungsbewusstsein unseren Kunden sowie uns selbst gegenüber, ist es nötig nach Lösungen für den wirtschaftlich oft notwendigen, weiteren Verbleib auf Magento1 zu suchen – unter möglichst sicheren Bedingungen. Dieses Vorgehen ist bitte dennoch nicht mit einer Empfehlung oder Gleichgültigkeit zu verwechseln, wir können keine Haftung für diese Entscheidung übernehmen, aber unsere Unterstützung zur Besserstellung des Status Quo anbieten.

Obenstehende Informationen stellen also mögliche Übergangsmaßnahmen nach bestem Gewissen dar, sofern Shops nach Supportende weiterhin betrieben werden. Wie sich der Umstand der Nutzung eines offiziell ungewarteten Systems auf eine mögliche Sicherheitslücke mit Konsequenzen wie Datendiebstahl oder ähnlich auswirkt, als Fahrlässigkeit gewertet wird – ist zu spekulieren aber nicht zu prognostizieren. Die einzige korrekte Empfehlung lautet daher: zeitnah umstellen, etwaige Übergangszeiten mit möglichst viel Engagement betreffend Sicherheit gestalten sowie bei gewünschter Rechtsberatung den juristischen Ansprechpartner Ihrer Wahl konsultieren. Bei inhaltlichen oder technischen Fragen stehen wir gerne zur Verfügung.

Jetzt unverbindlich anfragen!