Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce Systeme Ein Online-Shop muss eine Vielzahl an Anforderungen erfüllen. Händler wollen möglichst viele Kunden gewinnen und Umsatz generieren. Oft stehen Business-Anforderungen über den sicherheitstechnischen Anforderungen, Security-Updates bleiben dann auf der Strecke oder werden erst sehr verzögert integriert. Während der technischen Entwicklung eines E-Commerce Systems gibt es eine Vielzahl an Maßnahmen und Aktionen die dazu dienen, die gesamte Sicherheit eines E-Commerce Systeme zu verbessern. Dazu gehört ein sicherer Software-Entwicklungszyklus der unter anderem ein Security Code-Review von eigenen und externen Modulen, ein sicheres Konfigurationsmanagement und die Durchführung von Security-Testing und Security-Scannern umfasst. Anna Völkl von der Agentur E-CONOMIX zeigte, wie man als Agentur nicht nur ein funktionierendes und performantes, sondern auch ein aktuelles und sicheres Shop-System bereitstellen kann.

1. Schnell, schön, sicher:
Technische Konzeption und Betrieb sicherer
E-Commerce Systeme
Ing. Anna Völkl, BSc MSc

2. Software Entwicklung seit 20 Jahren
E-Commerce mit Magento seit 10 Jahren
Ferdinand Porsche Fern-FH: E-Commerce Systeme, Software
Reengineering
Anna Völkl / @rescueAnn

3. WE ARE THE GROUP

4. SUCCESS STORIES

5. Quelle: Magento Nr.1 in stark fragmentiertem Markt (Statista, 2020)
https://de.statista.com/infografik/22209/weltweiter-marktanteil-von-e-commerce-plattform-anbietern-bei-onlineshops
E-Commerce Systeme

6. E-Commerce Schwachstellen
Quelle: Sansec
https://sansec.io

7. Agentur
Die Rolle der Agentur
Externe
Dienstleister
Hosting-Provider
Händler
Marketing
IT

8. Spannungsfelder
Funktionalität
Sicherheit
Usability/Design
Performance
ERP-Anbindung
Gutschein-Codes
Bezahlungsmethoden
PWA
Headless
Länder
Währungen
Preislisten
Schnellere Ladezeiten
Security Patches
Major Releases
Minor Releases
Bilder optimieren
Newsletter
Lagerstandsverwaltung
Sortimentswechsel
Drittanbietermodule
Server-Setup/Infrastruktur
Redesign
Tracking

9. Planung
Infrastruktur & Zugriffe klären
(Systeme, User,...)
Ablauf für Security Patches, Major- und
Minor-Versionen in der Angebotsphase
besprechen
Den Händler für Security sensibilisieren
- Vorbild sein!
Passwort-Sharing: One-Time Secret

10. Quelle: The State of PHP in 2017 (Zend)
https://www.zend.com/resources/state-php-2017
Verantwortung

11. Quelle: 2021 PHP Landscape Report (Zend)
https://www.zend.com/resources/2021-php-landscape-report
PHP Entwicklung - Prioritäten

12. Development Security Operations
DevSecOps
DevOps
Entwicklung

13. Release
Build & Test
(Very) Secure Defaults
Passwortmanager
Secure Coding & Code
Review
Dependency-Check
Plan & Develop
DevSecOps

14. Release
Static Application
Security Testing (SAST)
Dynamic Application
Security Testing
(DAST)
Coding Standards
Check
Secrets Detection
Build & Test
Plan & Develop
DevSecOps

15. Automated Security
Scanner
Web Application
Firewall
Security Audits
Release
Build & Test
Plan & Develop
DevSecOps

16. Modul-Hersteller fordern SSH + Webshop Admin Zugriff auf den
Live-Webshop an
Oft keine isolierten Test-Umgebungen, um Fehler zu reproduzieren
Live-Zugangsdaten via E-Mail/Plaintext
Third Party

17. Einen Schritt voraus

18. Ing. Anna Völkl, BSc MSc
Tech Lead
E-CONOMIX GmbH
+43 7242 677 00 95
voelkl@e-conomix.at
www.e-conomix.at
Stay in touch