Läuft Ihr Online-Shop noch auf Magento 1? Dann könnte es sein, dass Sie dieser Tage den Brandbrief einer geschäftstüchtigen Magento-Agentur in Ihrem Briefkasten finden, der shopanbieter.de zugespielt wurde. „In wenigen Wochen wird der Support von Magento 1 eingestellt“ heißt es in dem Schreiben im Ton höchster Dringlichkeit. „Das heißt für Sie, dass künftige Sicherheitslücken nicht mehr geschlossen werden.“ Damit verbunden ist die eindringliche Warnung mit dem freundlichen Hinweis, dass es sich beim Absender um einen Experten für die Migration auf Magento 2 handele, der hiermit ergebenst seine Dienste anbietet. Natürlich ausschließlich im Sinne der Sicherheit. Doch was hat es mit diesem Brandbrief überhaupt auf sich?
Zunächst einmal geht es um Old News: 2015 kam das Branchengerücht auf, dass der End-of-Life (EOL)-Punkt – also jener Zeitpunkt, zu dem der Support für eine Software eingestellt wird – für Magento 1 zum 18. November 2018 kommen wird. Das wurde zwar niemals offiziell und schriftlich in einer Unternehmensmeldung bestätigt, aber in Vorträgen von Magento-Offiziellen tauchte das Datum immer mal wieder auf. Allerdings hat Magento diesen kolportierten EOL für Magento 1 Ende Mai 2017 offiziell revidiert. „Magento 1“, heißt es im Unternehmens-Blog, „wird für die voraussehbare Zukunft weiter unterstützt.“ Zudem verpflichtete sich Magento, den EOL, sollte er irgendwann doch kommen, weit im Voraus anzukündigen: 18 Monate vor Supportende wird eine entsprechende Information versendet werden – das ist bisher aber noch nicht passiert.
Natürlich geht es beim zitierten Brandbrief um Geld: Die deutliche Mehrheit der Magento-Installationen läuft trotz des etablierten Nachfolgersystems Magento 2 immer noch auf dessen Vorgänger. Vor allem, weil die Migration von Magento 1 auf Magento 2 alles andere als trivial ist – mindestens einen fünfstelligen Betrag müssten Shopbetreiber in den Umstieg investieren, schätzen Branchenexperten.
Dass Shopbetreiber diese Ausgabe so weit in die Zukunft schieben wollen wie möglich, ist klar – aber gefährden sie damit tatsächlich die Sicherheit ihres Shops, wie das Schreiben der geschäftstüchtigen Agentur andeutet? – Zitat aus dem Brandbrief: „Wir sind nicht die einzigen, die veraltete Systeme finden. Auch Hacker haben diese Möglichkeit.“
Wir haben jemanden gefragt, der es wissen muss –Simon Huck von der Magento-Agentur Cyberday. Auch er und sein Team können bei der Migration von Magento 1 auf Magento 2 helfen – und trotzdem sagt er: „Keine Panik!“
Simon, ist an dem Brandbrief, der aktuell an viele Shopbetreiber verschickt wird, etwas Wahres dran? Sind Magento 1-Shops unsicher – selbst wenn aktuell von einem Support-Ende noch keine Rede sein kann?
Simon Huck: Aktuell laufen noch sehr viele Shops, große wie kleine, auf Magento 1. Deshalb wird Magento 1 sicher in den nächsten Jahren noch weit verbreitet sein und auch weiter entwickelt werden. Ein Supportende ist also nicht in Sicht. Dazu kommt: Magento ist dank seiner starken Entwickler-Community nahezu fehlerfrei geworden. Viele Agenturen liefern Magento-Bugfixings, welche Magento dann in Releases verpackt und verteilt.
Selbst wenn Magento den Support einstellt, wird die Community weiter aktiv bleiben. Eine Ausnahme stellt hier natürlich die Enterprise-Edition dar, für deren Nutzung die Shopbetreiber zahlen. Sollte dafür der Support eingestellt werden, ist es auf jeden Fall an der Zeit, auf ein anderes System zu wechseln.
Also sind Magento 1-Shops sicher?
Huck: Hier muss man etwas differenzieren, denn auch wenn es Support gibt, heißt das ja nicht, dass Magento zwingend sicher ist. So tauchen immer noch neue Fehler und Probleme auf, die gefixt werden. Häufig sind Sicherheitslücken in den Modulen von Drittherstellern oder den Agenturen, die Magento weiter entwickeln. Oft wird auch über den Google Tagmanager schadhafter Code eingeschleust. Ein Sonderfall sind Eigenentwicklungen auf Basis von Magento 1. Hier kann der Support nur von der entwickelnden Agentur sichergestellt werden.
Wie können Händler prüfen, ob ihr System vor Sicherheitslücken geschützt ist?
Huck: Ein guter Startpunkt für eine Überprüfung sind Vulnerability Scans; mit ihnen wird geprüft, ob ein Shop angreifbar ist. Weiterführend können gezielte Penetration-Tests durchgeführt werden, um festzustellen, was passiert, wenn eine bestehende Sicherheitslücke ausgenutzt wird. Eine gute Anlaufstelle ist auch die Seite https://www.magereport.com/. Anhand derer kann man prüfen, ob aktuelle Patches eingespielt wurden.
Kommen Magento 1-Nutzer langfristig nicht um einen Wechsel zu Magento 2 herum?
Huck: Sollte sowieso ein Relaunch oder ein Systemwechsel anstehen, sollte man überlegen, ob Magento 1 noch die richtige Wahl ist, oder man lieber auf Magento 2, Shopware, Oxid, Hybris oder sonstige Systeme wechseln will. Aber wenn es bis zum Relaunch noch 2 oder 3 Jahre dauert, ist das aus meiner Sicht auch noch ausreichend. Grundlos aktuell das System zu wechseln, halte ich nicht für notwendig.