Jump to content
mcmannehan

veraltete Shopversion osC 2.2

Recommended Posts

Wer weiterhin osC 2.2 einsetzt, sollte sich darüber im klaren sein, das er damit 50.000,-- bis 100.000,-- Euro Strafe riskiert.

Mehr Info hier: https://www.estrategy-magazin.de/2015/it-sicherheit-neue-gesetzliche-pflichten-fuer-alle-website-und-onlineshop-betreiber.html#c6119


  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites

Uralter Artikel und Ist wohl nicht wirklich relevant für shopbetreiber. Das sind wohl keine kritische Infrastrukturen.  Da schlägt eher das neue Datenschutzgesetz rein ;) 
Gut bei Amazon vielleicht.;)

Und ich betreue  übrigends noch einen pre OSC ( Copyright (c) 2000,2001 The Exchange Project), der läuft inzwischen einwandfrei unter php7 und MariaDB...

Edited by Henri Schmidhuber

§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites

Hi Henri

Du täuscht Dich. Selbstverständlich ist das IT-Sicherheitsgesetz für jeden deutschen Onlineshop relevant. Das BSI hat Onlineshops auch explizit erwähnt. Es sind auch Bußgelder möglich, da die zweijährige Übergangszeit bereits vorbei ist. Die Wahrscheinlichkeit, dass man deshalb ein Bußgeld bezahlen muss, ist aber wohl eher gering. Da gibt es eher andere wirtschaftliche Risiken bei unterlassenen Updates.

Mit dem DSGVO kommen Dokumentationspflichten hinzu. Da ist die Bußgeld-Gefahr sicherlich höher. Da geht es aber auch um weit mehr als nur Updates. Verschärfte Meldepflichten usw.

Gruß
Stefan

Quote

BSI: Fragen und Antworten zum Inkrafttreten des IT-Sicherheitsgesetzes


Für Betreiber von Webangeboten wie zum Beispiel Online-Shops gelten mit Inkrafttreten ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.

Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern.

Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.

Edited by Stefan Kanitz

Share this post


Link to post
Share on other sites
vor 43 Minuten, Stefan Kanitz said:

Hi Henri

Du täuscht Dich. Selbstverständlich ist das IT-Sicherheitsgesetz für jeden deutschen Onlineshop relevant. Das BSI hat Onlineshops auch explizit erwähnt.

Echt? Wo, laut meinen Juristen nicht.
Wir reden von dem hier?
http://www.gesetze-im-internet.de/bsig_2009/index.html#BJNR282110009BJNE001401116

Hab das damals schon mal angeguckt. Ich sehe nur viele Ausnahmen ;)
http://www.gesetze-im-internet.de/bsig_2009/__8d.html
 

Quote

 Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet


Aber egal, wer Sicherheitslücken nicht absichert, hat den Shop eh nicht lange am laufen. Das alter des Systems ist da eher irrelevant ;)
Für was gibt es den Sicherheitsscanner / Pentests. Der TÜV ist da z.B sehr gut im Probleme finden und inzwischen sehr pingelig ;)
Nächste Woche kriege ich wohl wieder einen Report für ein von mir entwickeltes CMS. Wenn eine große Seite Deutschlands offline geht...:D

Wobei sich die Wordpressbetreiber da mehr drum kümmern sollten. Gehackte Wordpresse hatte ich defintiv mehr.

 


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites
vor 51 Minuten, Stefan Kanitz said:

Der Händlerbund bietet übrigens einen guten DSGVO-Leitfaden an

https://www.haendlerbund.de/de/news/aktuelles/rechtliches/2629-dsgvo-leitfaden-checkliste


Yepp, liest sich im ersten Blick gut...


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites

Moin


Wir reden von dem hier?


Nö, nicht vom BSIG. Das ist 2009. Es geht um das IT-Sicherheitsgesetz von 2015, dass sich in der Tat in erster Linie an Kritis wendet, aber halt nicht nur. 

Leider hat das BSI offenbar vor kurzem die Website umgestellt. Deshalb gehen die Links gerade nicht. Die hatten da eine FAQ zum IT-Sicherheitsgesetz, aus der ich den obigen Text kopiert habe.


Für was gibt es den Sicherheitsscanner / Pentests


Jedenfalls nicht für osCommerce ;-)

Gruß
Stefan

Share this post


Link to post
Share on other sites
vor 56 Minuten, Stefan Kanitz said:


Nö, nicht vom BSIG. Das ist 2009. Es geht um das IT-Sicherheitsgesetz von 2015, dass sich in der Tat in erster Linie an Kritis wendet, aber halt nicht nur. 

Ich glaube schon. Das wurde nur schon paar mal ergänzt ;)
 In der HTML Version steht:

Quote

"BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist"

https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%5B@attr_id='bgbl115s1324.pdf'%5D#__bgbl__%2F%2F*[%40attr_id%3D'bgbl115s1324.pdf']__1521056884426

vor 56 Minuten, Stefan Kanitz said:


Jedenfalls nicht für osCommerce ;-)

 

Warum sollten die osCommerce nicht scannen?
TÜV Pen-Tests / Zertifizierung auf alte osC habe ich schon durchgeführt. Und ja da gabs einiges zu tun ;)
 


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites

Toll, endlich mal wieder gute Infos und Kritik. So muss ein Forum sein.

Also, die osC 2.2 die ich betreue, wurden sehr wohl von "TÜV" geprüft und der osC 2.2 in seiner Grundstruktur (ohne Änderungen) entspricht nicht den Anforderungen und sollte nicht benutzt werden.

Sicherlich kann man die osC so modifizieren (sehr viel Arbeit) das er dem IT-Sicherheitsgesetz von 2015 und mehr entspricht.

vor 8 Stunden, Henri Schmidhuber said:

Warum sollten die osCommerce nicht scannen?

TÜV Pen-Tests / Zertifizierung auf alte osC habe ich schon durchgeführt. Und ja da gabs einiges zu tun ;)
 

Richtig, sehr vieles wäre zu tun, zu viel. :-). Diese Version https://github.com/gburton/Responsive-osCommerce von Burt aus dem englischen Forum entspricht zu fast 100% den Richtlinen. Es ist sicherlich sehr ratsam, die osC 2.2 nicht mehr zu verwenden oder benutzt noch jemand Windows 98? Im englischen Forum gibt es schon gar keine Hilfe mehr für osC 2.2.

Edited by mcmannehan

  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites

Moin


Das wurde nur schon paar mal ergänzt


ja, es wurde ergänzt. Ist meines Wissens trotzdem zweierlei. BSI: "Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt."

Also für uns eher Telemediengesetz und nicht BSIG. Es wurde 2015/2016 aber auch rauf und runter diskutiert. Von daher ist das Durcharbeiten von Gesetzestexten wohl eher nicht notwendig. Man darf manchmal der öffentlichen Meinung bzw Juristen glauben ;-)

https://www.recht-freundlich.de/it-sicherheitsgesetz/bsi-nimmt-stellung-zum-it-sicherheitsgesetz-faq
https://de.ryte.com/magazine/der-onlineshop-im-cyberkrieg-was-bringt-und-was-kostet-uns-das-neue-it-sicherheitsgesetz
https://www.it-recht-kanzlei.de/ssl-verschluesselung-online-shop.html
https://www.anwalt.de/rechtstipps/it-sicherheitsgesetz-onlineshops-und-blogs-betroffen_072573.html
usw


Warum sollten die osCommerce nicht scannen?


ja, ich meinte nur, dass es keine Schwachstellenscanner speziell für osCommerce gibt und wohl auch nicht geben wird. Also ähnlich

https://www.magereport.com/
https://wpscan.org/

Gruß
Stefan
 

Share this post


Link to post
Share on other sites
vor 2 Stunden, mcmannehan said:

Es ist sicherlich sehr ratsam, die osC 2.2 nicht mehr zu verwenden oder benutzt noch jemand Windows 98? Im englischen Forum gibt es schon gar keine Hilfe mehr für osC 2.2.

Keine Ahnung. Mir reicht muss unter IE8 unter XP laufen :wacko:
 


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites
vor 2 Stunden, Stefan Kanitz said:

Man darf manchmal der öffentlichen Meinung bzw Juristen glauben ;-)

 

drei Juristen - vier Meinungen :)
Einer hockt nen raum weiter und wird von mir bezahlt 


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites
vor 52 Minuten, Henri Schmidhuber said:

Keine Ahnung. Mir reicht muss unter IE8 unter XP laufen :wacko:
 

OMG, wer verwendet den noch WinXP oder IE8? :o


  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites
vor 51 Minuten, Henri Schmidhuber said:

drei Juristen - vier Meinungen :)
Einer hockt nen raum weiter und wird von mir bezahlt 

Hoffentlich ist dieser einer auch auf Online Recht spezialisiert. B)


  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites
vor 35 Minuten, mcmannehan said:

Hoffentlich ist dieser einer auch auf Online Recht spezialisiert. B)

Ne, wir machen keine echte Rechtsberatung. Ist Projektmanager im Online Bereich aber wohl fit drinnen ;)


§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites
vor 46 Minuten, mcmannehan said:

OMG, wer verwendet den noch WinXP oder IE8? :o

Viel zu viele große Firmen  / Organisationen :(
Da ist eine Update eine andere Herausforderung.
Zumindest hab ich kein PHP4 mehr im Einsatz. Mir reicht schon wenn mir php7 / php5.6 Features auf den Servern um die Ohren fliegen  :)

mir

Edited by Henri Schmidhuber

§ 1422-z StGB in der Fassung vom 12.4.2012:

Wer E-Mails verschlüsselt oder unlesbar macht oder sich verschlüsselte oder unlesbare E-Mails verschafft oder weiterverbreitet wird mit Gefängnis nicht unter 2 Jahren bestraft.

Der Versuch ist strafbar.

-> Supportanfragen via PM werden unbeantwortet gelöscht!

Share this post


Link to post
Share on other sites
vor 8 Minuten, Henri Schmidhuber said:

Viel zu viele große Firmen  / Organisationen :(
Da ist eine Update eine andere Herausforderung.
Zumindest hab ich kein PHP4 mehr im Einsatz. Mir reicht schon wenn mir php7 / php5.6 Features auf den Servern um die Ohren fliegen  :)

mir

Typisch große Firmen, wenn dann der Crash kommt ist das 'Geschreie' groß. Und die Sicherheit von Win XP lässt grüßen.Kenne dies seit Jahrzehnten. Die großen Firmen haben nur Geld für die 'Manager' aber für die IT bleibt nichts übrig. Der große Gau ist vorprogrammiert!

Habe nur noch PHP7.+ im Einsatz und funktioniert sehr gut. Überzeugungsarbeit ist eine schwierige Aufgabe, aber im Endeffekt haben alle was davon und sind langfristig gerüstet.

Edited by mcmannehan

  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites

Träume ich oder haben eben 2 Teammitglieder was geposted? *Armkneif*

Es geht ja nicht nur darum Gesetzeskonform zu sein oder um "schauen wir mal wie lange ich 2.2 verwenden kann" es geht auch darum osC endlich mal vorwärts zu bringen. Jeglicher Support um einen 2.2 auf derzeitgen Servern zum laufen zu bringen müsste verweigert werden egal ob der Shopbesitzer deswegen ne Kriese kriegt.

Team Members wie Ihr das seit sollten mit gutem Beispiel vorangehen und alles mögliche tun die noch 2.2er Shop zu überzeugen umzusteigen. Wenn nicht auf Burts Edge version dann halt zumindest auf Haralds 2.3.4.1 Version. Auch wenn diese nicht mehr up to date ist, aber sicher besser als 2.2, 2.3.1

Und nochwas anderes,.. was in diesem Forum in den letzten Tagen (Wochen? ) abgegangen ist, ist absolut unakzeptabel. Der Umgang unter 3 Mitgliedern hier ist weit unter die Gürtellinie gegangen und einen klappser auf die Hand reicht da nicht. Eine "sehr" starke Warnung wäre da schon zu erwarten. Oder sogar einen Rausschmiss aus dem Forum falls nötig.

Share this post


Link to post
Share on other sites

@Tsimi *kneif, kneif* Gespürt? Okay, ne Du träumst nicht. B)


  • The clever one learn from everything and from everybody
  • The normal one learn from his experience
  • The silly one knows everything better

[socrates, 412 before Christ]

Computers help us with the problems we wouldn't have without them!
99.9% of the bugs sit in front of the computer!
My programmed add-ons: WDW EasyTabs 1.0.3, WDW Facebook Like 1.0.0

if(isset($this) || !isset($this)){ // that's the question...

 

Share this post


Link to post
Share on other sites

×