Art. 32 DSGVO für Magento 1 Shopbetreiber – was er bedeutet und warum es sich lohnt geeignete Maßnahmen zu ergreifen

Achtung Cyberangriff
Warnung: Cyber-Attacke (Bildquelle: geralt auf pixabay)

Datenschutz – 4 Jahre nach dem Inkrafttreten der DSGVO verspüren viele ein diffuses Unbehagen bei diesem Wort. Es ist ohne Zweifel ein viel diskutiertes Thema. Was jedoch konkret zu tun ist, ist häufig unklar.

Im Interview mit Simone Maader erklärt die TÜV-zertifizierte Datenschutzbeauftragtin Jasmin Lieffering wie das unbeliebte Thema DSGVO deshalb immer wieder verschoben wird und welche Risiken sich daraus ergeben. Viele Magento 1 Shopbetreiber wissen schlicht und ergreifend nicht, welche Maßnahmen aus dem etwas umständlich formulierten Art. 32 DSGVO abzuleiten sind.

Art. 32 DSGVO

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Schützen – WEN und WOVOR?

In der Vergangenheit gab es bereits mehrere Cyber-Angriffe auf Magento Shopsysteme. Im Februar meldete Adobe erneut einen Angriff auf die Shop-Systeme Commerce und Magento. Die Fachpresse berichtete und Datenschutzbehörden sind alarmiert. Magento ist ein in Deutschland weit verbreitetes Shop-System und daher besonders im Fokus von Angreifern. Ziel der Angriffe sind, die in den Shopsystemen gespeicherten sensiblen Kundendaten. 

Die Frage nach dem WIE?

Als Shopbetreiber ist man verantwortlich und muss bei Verstößen mit ernsthaften Konsequenzen wie Bußgeldern und Imageschäden rechnen. Datenschutzbehörden empfehlen:

“Es ist von Verantwortlichen stets zu kontrollieren, ob für die eigene Webseite neue Sicherheitsupdates des Herstellers verfügbar sind und eingespielt werden können. Zeitnahes Handeln ist hierbei äußerst wichtig, da das Zeitfenster vom Bekanntwerden einer Lücke bis zum Ausnutzen der selbigen nur wenige Stunden betragen kann.” Quelle: Landesamt für Datenschutzaufsicht

Sicherheitspatches schließen Angriffslücken. Nur wenn die neuesten Sicherheitsupdates regelmäßig eingespielt werden, kann der Schutz personenbezogener sensibler Daten gewährleistet und nachgewiesen werden. Mit diesem Sicherheitsnetz können die Datenschutzanforderungen gem. Art. 32 DSGVO erfüllt und Hacker-Angriffe verhindert werden.

End-Of-Life – keine Sicherheits-Updates vom Hersteller verfügbar?

Was tun wenn – wie bei  Magento 1 – ein Online-Shopsystem als End-Of-Life deklariert wurde und von Adobe keine Sicherheits-Patches mehr zur Verfügung gestellt werden? Laut Sicherheitsmeldung von Sansec werden von der Community bereitgestellte Patches für Magento 1 empfohlen. Entweder Open-Source über OpenMage  oder – wenn Sie nicht davon abhängig sein möchten, dass Entwickler genügend Freizeit haben um sich den Sicherheitslücken zu widmen –  mit garantiertem Support über Mage One.

Wer ist Mage One?

Hinter Mage One steht die Paddox GmbH, gegründet von Mitgliedern der Magento Community, die Magento 1 gerne noch eine Weile behalten möchten.

Was bietet Mage One?

Mage-One bietet seit Juni 2020 Support für Magento 1 an:

  • wir beheben Sicherheitslücken mit Security Patches
  • wir sorgen dafür, dass Ihr Magento 1 Shop auch in Zukunft mit der neuesten Software arbeiten kann. PHP 7.4 oder PHP 8? Für Sie kein Thema. Mit unseren Patches können Sie auf jede neue PHP Version wechseln
  • wir erstellen Updates auf neue Server- und MySQL-Versionen

Sie haben Fragen wie Sie in Zukunft Sicherheits- und Kompatibilitätspatches von  Mage One erhalten? Wir haben Antworten: FAQ Mage One