PCI Compliance die Erste

Die PCI Compliance (Payment Card Industry Data Security Standard) ist ein Regelwerk für den sicheren Zahlungsverkehr und Umgang mit Kreditkarteninformationen.

Unternehmen und Dienstleister die mit Kreditkarteninformationen in Berührung kommen müssen die PCI-Anforderungen zu 100% einhalten. Ist dies nicht der Fall kann die Verarbeitung von Kreditkartenzahlungen untersagt oder ein hohes Bußgeld verhängt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

1. Installation und Pflege einer Firewall zum Schutz der Daten
2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
7. Einschränken von Datenzugriffen auf das Notwendige
8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Quelle: wikipedia

Da wir hauptsächlich PCI Compliance taugliche Magento Online-Shops hosten und unseren Kunden größtmögliche Freiheit bieten wollten haben wir den Test gemacht. Das Ergebnis der Serversicherheit war sehr gut, lediglich unser Livechat-Script hatte eine kleine (nicht kritische) Sicherheitslücke. – Diese Lücke führte allerdings dazu, dass der Test nicht erfolgreich war.

Das Chatscript wurde deaktiviert, derzeit läuft die Einrichtung des neuen Livesupport-Scripts Livezilla. Neben einer sauberen Programmierung und einer schöneren Oberfläche bietet das System mehr nützliche Funktionen, welche in einem extra Beitrag ausführlich vorgestellt werden.

Die erneute Prüfung der Server werden wir in Kürze vornehmen.


Apache 2.2.10 und PHP 5.2.8 auf allen Systemen verfügbar

Im geplanten Wartungsfenster von 04:30h – 06:30h heute früh konnten alle System- und cPanel-Updates eingespielt werden. Bis auf einen kurzen Ausfall von ca. 5 Minuten verlief das Update problemlos. – Durch den erhöhten Ressourcenbedarf des Updateprozesses kam es zu leichten Verzögerungen bei der Seitenauslieferung.

Gleichzeitig wurden die Webserver- und Datenbankkonfigurationen weiter optimiert und an die wechselnden Anforderungen angepasst.


Update: WordPress Version 2.7.0

Soeben wurde die neue Version 2.7.0 von WordPress freigegeben. Die meisten Änderungen wurden im Backend vorgenommen, eine komplett Übersicht befindet sich hier.

Unser Blog läuft derzeit noch mit einer 2.6er Version, da nicht alle Module kompatibel zur neuen Version sind. – Auf jeden Fall sollte vor dem Update ein Backup erstellt werden.


Update: Magento Version 1.1.8

Soeben wurde ein kleines Bugfix-Release veröffentlicht. Die Liste der Korrekturen ist relativ kurz:

  • Fixed #8684: js error on configurable product view page in blank theme
  • Fixed generating URL for googleoptimizer export controller
  • Fixed shipping tablerates for regions with the same code
  • Fixed product information on review page
  • Fixed #8720: CMS Blocks not recognized on Newsletter Templates
  • Fixed #8729: Security warning in IE in admin under https on category management page
  • Fixed #8743: Security warning in MSIE 6 on checkout page in modern theme
  • Fixed #8722: Google Base API – Store URL incorrect
  • Fixed #8753: Add Store Code to Urls to Yes breaking Google Base (due to duplicate admin/admin in path)
  • Fixed #8727: mismatches in role resources list
  • Fixed checkout as guest on single page checkout
  • Fixed #8890: Fatal error on shipping estimate if session expired
  • Fixed js error in Google API configuration section
  • Fixed #8719: Google Base API – make destination country selectable (USA,DE,GB,…)
  • Fixed #8731: Wrong country sent to Google Base
  • Fixed #8772: configurable products are not editable
  • Fixed editing custom options in Safari
  • Fixed #8889: Flash 9 unable to upload image on MAC

Leider müssen die eigenen Templates wieder angepasst werden, so dass wir von einem direkten Update des Produktiv-Shops dringend abraten! – Backup anlegen!!!

s. Magento Update – so wird gemacht!

EDIT: Das Update unseres Demo-Shops verlief problemlos.


Sicherheitsupdate: WordPress Version 2.6.5

Heute wurde ein Sicherheitsupdate für WordPress veröffentlicht. Das Update schließt eine Lücke welche beim Betrieb eines IP-basierten virtuellen WordPress-Hosting mit Apache 2.x auftritt.

Eine Version 2.6.4 wurde übrigens nicht veröffentlicht, da eine gefälschte 2.6.4er Version im Umlauf war / ist. – Das Entwicklerteam hat sich entschlossen diese Version zu überspringen um größere Verwirrung zu vermeiden.


Entstörungsmeldung zum DDOS Angriff / Schlundtech

Soeben erhielten wir die offizielle Entstörungsmeldung von Schlundtech zum DDOS-Angriff. Der Vorfall hat gezeigt, dass selbst große Anbieter sich nur schwer gegen solche Angriffe schützen können… – Auch wenn wir in erster Linie von dem Angriff verschont wurden erhielten wir zahlreiche Anrufe und Anfragen, da z.B. eMails an andere Systeme nicht zugestellt werden konnten.

„Sehr geehrte Damen und Herren,

am Freitag, 21.11.08, ab 09:20 Uhr, wurde auf die Schlund Technologies
Infrastruktur ein massiver DDoS-Angriff gestartet. Auswertungen haben ergeben,
dass der Angriff im Besonderen dem Nameserverpool galt.

Mit einer gezielten DDoS(Distributed Denial of Service)-Attacke, also
einer dezentralen Angriffsstrategie, die ca. 40.000 infizierte Client- bzw.
Serversysteme zum gemeinsamen Angriff auf ein Ziel koordinierte, wurde ein
Peak in der Gesamtbandbreite von über 20 Gbit/s und ca. 800.000 Paketen pro
Sekunde erreicht. Dies schränkte diverse Backbonebetreiber in ihren freien
Ressourcen ein und führte zu temporären Störungen.

Die Angriffe wurden in Form von „UDP Fragmenten“ und reinen „UDP Floods“
geführt. Schlund Technologies hat in Zusammenarbeit mit zahlreichen Carriern
und oben genannten Backbonebetreibern gemeinsam eine Lösung bzw. komplexe
Regelwerke zur effizienten Filterung der Angriffe entwickelt und
seit Freitag, 21.11.2008, 15:48 Uhr, erfolgreich im Einsatz.

Wir möchten uns an dieser Stelle für etwaige Unannehmlichkeiten
entschuldigen und Ihnen für Ihr Verständnis danken.

Ihr Schlund Technologies Technik-Team“


Magento 1.1.7 1-Klick Installation steht bereit

Ab sofort kann über die Magento 1-Klick-Installation die aktuelle Magento Version 1.1.7 installiert werden. Neben der normalen Shop-Installation können auch die Beispieldaten installiert werden.

Für ein Update einer bereits bestehenden Installation verwenden Sie bitte den MagentoConnect Manager und unsere Magento Update-Anleitung aus einem früheren Beitrag.


Schlundtech down / DDOS Attacke

Derzeit ist der Domainanbieter Schlundtech einer schweren DDOS-Attacke ausgesetzt, daher können die Domains dort gehosteten Domains nicht aufgelöst bzw. aufgerufen werden. – Unsere Kunden sind primär nicht betroffen. Bei der Zustellung von eMails kommt es allerdings zu Problemen, da andere Server nicht erreichbar sind.

„Sehr geehrte Damen und Herren,

derzeit stehen der Nameserver 62.116.129.129 und diverse virtuelle Nameserver unter massiven DDOS Attacken. Dadurch wird die Erreichbarkeit eingeschränkt.

An einer Entstörung wird aktiv gearbeitet. Wir informieren Sie, sobald die Attacken nachlassen. Wir bitte Sie, die Unannehmlichkeiten zu entschuldigen und danken Ihnen für Ihr Verständnis.

Mit freundlichen Grüßen,
InterNetX Technik“

UPDATE: Soeben wurde auf Golem.de berichtet, dass der sehr aggressive Angriff weiter anhält.

„Die DDoS-Angriffe auf die InternetX-Infrastruktur halten weiter an. Durch Einsatz komplexer Regelwerke ist derzeit eine begrenzte Bandbreite verfügbar, teilt InternetX mit.

Das Unternehmen spricht von einem extrem aggressiven Angriff, der bereits Carrier in Mitleidenschaft gezogen und Backbonestörungen verursacht habe. Das Angriffsvolumen liegt derzeit bei rund 40.000 Hosts und einer Gesamtbandbreite von über 20 GBit/s.

InternetX arbeitet mit zahlreichen Backbonebetreibern an einer Lösung.“


Update: Magento Version 1.1.7

Wie vor einigen Tagen bereits angekündigt, wurde soeben eine neue Magento-Version freigegeben. – Neben 3 neuen Features wurden über 350 Bugs behoben.

  • Google Website Optimizer Integration
  • Google Base Integration
  • Option zur regelmäßigen Löschung der DB Logs

Leider müssen die eigenen Templates wieder angepasst werden, so dass wir von einem direkten Update des Produktiv-Shops dringend abraten! – Backup anlegen!!!

s. Magento Update – so wird gemacht!

EDIT: Das Update unseres Demo-Shops verlief problemlos.


Magento mit TYPO3, Drupal, Joomla oder anderen CMS verbinden

Wer des öfteren im Magento-Forum unterwegs ist weiß, dass viele User großes Interesse an einer Verbindung diverser CMS mit Magento haben. Varien hat diese Anfragen jetzt zum Anlass genommen ein HowTo zum Thema zu erstellen.

Wir haben dieses HowTo übersetzt und für unsere Kunden im Support-Forum hinterlegt: Magento mit TYPO3, Expression Engine, WordPress, Drupal oder Joomla verbinden