"Sicherheit ist unser Geschäftsmodell"

Warum habt Ihr Mage One gegründet?

Ich bin, als Trainer und Mitglied des Certification Advisory Boards bei Adobe, schon seit vielen Jahren in der Magento Community aktiv und nachdem bekannt wurde, dass der Service für Magento 1 beendet werden soll, haben wir uns zusammengefunden und beschlossen, dass Magento 1 noch nicht sterben darf. Wir, das sind verschiedene Leute aus der Community, die Informationen und Fachwissen über Magento teilweise schon über zehn, zwölf Jahre angesammelt haben: Fabian Blechschmidt, Tobi Vogt & Ingo Hillebrand sowie Carmen Bremen und Tobias Klose. Unser Ziel bei allen Überlegungen war es, ab Juli 2020 den Händlern zu helfen, ihre Magento 1-Onlineshops weiterhin sicher zu betreiben, während sie genug Zeit haben, auf ein anderes Shopsystem zu migrieren. Denn auch wenn „Magento 2“ wie eine logische Fortsetzung von Magento 1 klingt, ist es doch eine komplett neue Basis und erfordert in fast allen Bereichen des Shops eine völlige Neuentwicklung, auch mit den damit verbundenen Kosten.

Wir waren und sind sicherlich nicht die Einzigen, die den Ansatz „Supportverlängerung“ verfolgt haben. Mage LTS von Open Mage ist beispielsweise eine Open Source Initiative von verschiedenen Community Mitgliedern, die Unterstützung anbieten. Diese ist jedoch vom freien Willen und dem Engagement der Community abhängig und ist für Händler nur bedingt eine Alternative, da rechtliche Themen wie PCI Compliance etc. nicht abgesichert sind und das Projekt jederzeit einschlafen kann. Daher haben wir uns zur Gründung einer GmbH entschlossen, sodass wir den Händlern die notwendige Rechtssicherheit bieten können. Unser Service ist deswegen auch nicht kostenlos und wir können durch das Kapital zusätzlich auch in anderen Bereichen flexibler agieren. So haben wir beispielsweise die Möglichkeit, ein anreizstarkes Bug Bounty-Programm für Hacker und Sicherheitsbegeisterte anzubieten. Da sicherheitsrelevante Fehler in Magento 1 mittlerweile natürlich schwieriger zu finden sind als bei Version 2, möchten wir hier die Preisgelder auch entsprechend hoch ausloben können. Sobald das Magento 1 Bug Bounty von Adobe auf HackerOne beendet wird, werden wir dort entsprechend einen Account eröffnen und alle Security Researcher können dann teilnehmen  natürlich geht aber auch der direkte Kontakt über unsere Website.

Mage One ist aber nicht aus Gewinnerzielungsabsicht gegründet worden – obwohl man das als Unternehmer vermutlich nicht sagen sollte –, sondern auch ein Stück weit aus Altruismus. Entsprechend baut sich auch unser Preismodell auf: Wir möchten auch den kleinsten Shops die Möglichkeit bieten, ihren Shop in der nun kommenden Zeit sicher zu betreiben und deswegen fängt unser Einstiegspreis bereits bei bei 29€ pro Monat an. Man kann sich denken, dass das nicht kostendeckend ist, aber wir verfolgen da den Community-Gedanken, dass die Großen den Kleinen helfen und umgekehrt. Alle bieten einen gewissen Mehrwert, nicht nur materiell, sondern beispielsweise auch, indem sie Lösungen Open Source zur Verfügung stellen.

Ihr bietet Support für mindestens 5 Jahre – länger, wenn nötig. Wer definiert die Notwendigkeit?

Letzten Endes bestimmt der Markt, wie lange wir unseren Support anbieten können. Unser Geschäftsmodell ist zwar nicht darauf ausgelegt, denn fünf Jahre sind schließlich im Bereich Softwareentwicklung und E-Commerce Äonen. Nichtsdestoweniger werden wir über eine Verlängerung unseres Angebotes nachdenken, sollten die Händler in vier Jahren noch immer ausreichendes Interesse bekunden. Ich persönlich glaube nicht, dass wir länger als fünf Jahre aktiv sein werden, denn wir stehen mit Agenturen, Kunden und Service-Providern in engem Kontakt und haben den Markt ganz gut im Blick, aber wir lassen uns diese Option natürlich trotzdem offen, um den besten Support bieten zu können.

Was bietet Ihr genau an?

Wir bieten letztlich das an, was auch Adobe anbietet - nur schneller 😊. Bisher konnten nach der Meldung einer Sicherheitslücke schon etliche Wochen vergehen, bis Adobe einen entsprechenden Patch zur Verfügung gestellt hat. Wir haben uns zum Ziel gesetzt, Sicherheitslücken innerhalb von 30 Tagen nach Meldung zu stopfen.

Außerdem können Händler nahtlos mit Mage One weitermachen, wo Adobe Ende Juni aufhören wird - wenn es zu diesem Zeitpunkt Magento 1.9.4.6 ist, dann werden wir ab dieser Version weiterarbeiten und nicht wie Mage-LTS mit einer alternativen Version. Wir möchten so verhindern, dass es zu unerwünschten Nebeneffekten kommt und zudem sicherstellen, dass jemand, der Mage One nutzt, so weiterarbeiten kann wie bisher, ohne unnötigen Migrationsaufwand zu betreiben. Natürlich muss der Händler aber immer auf die aktuellste Version von Magento 1.9 aktualisieren. Dies sollte kein großer Aufwand für Händler und Agenturen sein, da die letzten Patches und Versionsupdates meist nahezu identisch waren und Änderungen somit gering.

Selbstverständlich patchen wir Magento auch hinsichtlich der jeweils neuesten Version von PHP, Apache, Nginx und MySQL, sodass die Server-Plattformen ebenfalls aktualisiert werden können, um auch darüber Sicherheit zu gewährleisten.

Was ist für Euch das Besondere von Magento 1, dass Ihr es so unterstützt? Und gibt es adäquate Alternativen?

Naja, ein Stück weit spielt hier sicherlich auch der Nostalgiegedanke mit rein. Die Magento 1-Community besteht teilweise schon seit vielen, vielen Jahren und es gibt Menschen, die kenne ich seit fast 12 Jahren, in denen wir unzählige emotionale Erfahrungen mit dem System gesammelt haben.

Doch das ist natürlich nicht der einzige Grund. Viele Agenturen haben schlichtweg nicht die personellen Ressourcen alle ihre betreuten Shops in der nun noch verbleibenden Zeit auf ein anderes Shopsystem zu migrieren. Zudem muss man sehen, dass die Technologieanforderungen von Magento 1 zu Magento 2 so hochgeschraubt worden sind, dass man schätzungsweise von einem zusätzlichen Kostenfaktor von 1,8 bis 2,5 ausgehen muss, um die Neuentwicklung durchführen zu können - und diese enormen Investitionssummen müssen sich für einen Händler auch erst einmal rentieren. Somit haben wir viele Kunden, die letztlich keine Alternative haben, und dringend eine Möglichkeit brauchen, die zeitliche und finanzielle Lücke zu überbrücken.

Nicht unterschätzen darf man auch die Tatsache, dass mit Magento 1 noch immer Shops jedweder Größe gut abgebildet werden könnten. Im deutschsprachigen Raum haben wir ein besonderes Phänomen, denn hier sind es tatsächlich viele kleine Shops, die darauf beruhen und deren Existenzgrundlage nicht einfach ausgetauscht werden kann. Natürlich gibt es viele andere Shop-Dienste, wie beispielsweise Shopify oder Jimdo, aber die sind teilweise recht eingeschränkt in ihrer Anpassbarkeit. Und interessanterweise sind die Shops vieler unserer Magento 1-Kunden sehr individuell, mit vielen Anpassungen beim Design und der Funktionalität, die man mit herkömmlichen Online-Shopdiensten kaum oder schlicht gar nicht abbilden kann.

Was wir in den letzten Monaten im Hinblick auf Shopsysteme festgestellt haben ist, dass viele Magento-Entwickler in Richtung Shopware 6 schielen (Anm. d. Red.: dies war bereits ein Thema auf der letzten MageUC - mehr dazu im Blogartikel). Als System sicher interessant, da Shopware einfach sehr modern und schlank aufgebaut ist und trotzdem mit einem guten Feature Set aufwartet. Außerdem gibt es auch hier eine kostenfreie und eine kostenpflichtige Version. Und was ich persönlich sehr schön finde, ist, dass man das Gefühl und den Geist spürt, wie in der Anfangsphase von Magento 1. Man hat einen sehr engen Kontakt zu den Entwicklern und das Gefühl, sie hören einem zu. Bei Adobe ist es ja mittlerweile so, dass man rufen kann wie man will - selbst wenn man mit einem Megafon vor dem Haus steht…

Aber für welches Shopsystem man sich auch entscheidet, sollte man die Gelegenheit nutzen und genau schauen, welche Dinge im jetzigen Shop enthalten sind und sich fragen, ob man diese noch braucht, oder ob sich die Anforderungen an einen modernen und funktionalen Shop nicht mittlerweile geändert haben. Und bis zur fertigen Migration wird man dann nicht drum herumkommen, sich um Magento 1 zu kümmern.

Bietet Ihr Kunden, die auf ein anderes Shopsystem migrieren wollen, Eure Unterstützung an?

Nein, eine solche Dienstleistung bieten wir nicht an. Wir hosten nicht und wir betreuen auch keine Shops. Unser Kerngeschäft ist die Entwicklung von Sicherheitspatches und darauf konzentrieren wir uns, denn wir wären auch von der Manpower her nicht dazu in der Lage, international hunderte Magento 1 Shops komplett zu übernehmen.

Wer zu Shopware wechseln möchte, der kann die Vorteile unserer Kooperation mit dem Unternehmen nutzen: für Wechsler zu einer Enterprise- oder Professional-Version wird unser Dienst sechs Monate von Shopware übernommen, Wechsler zur Community Edition können sich über einen 10% Zuschuss freuen.

Wie viele und welche Shops sind Deiner Meinung nach von Magento 1 EOL betroffen?

Die Zahl der Shops geht natürlich stetig nach unten, aber zum Stichtag des EOL werden es sicherlich immer noch geschätzte 100.000 Shops weltweit sein, die auf Magento 1 laufen. Da werden sicherlich auch Test-Instanzen oder Lost Places bei sein, sodass man eine genaue Zahl nicht zuverlässig angeben kann.

Das Interessante dabei ist, dass deutlich mehr Enterprise-Kunden bei uns Unterstützung anfragen, als angenommen. Viele denken sogar über ein Downgrade von der Enterprise auf die Community Version nach, denn sie haben sich über Jahre eine solide Plattform aufgebaut und müssten jetzt komplett neu aufsetzen, da ja auch die technologische Basis bei Magento 2 anders ist. Grundlage für die Überlegungen ist die Tatsache, dass der Enterprise Source Code nicht frei verfügbar ist, und ihn Adobe auch nach Juni 2020 nicht freigeben will. Die Lizenzbedingungen verhindern aber, dass wir am Source Code arbeiten dürfen und deswegen können wir unsere Kunden in diesem Bereich nicht ausreichend unterstützen. Für Enterprise Kunden gibt es daher nur wenige Möglichkeiten mit diesem Dilemma umzugeben:

• Da die Enterprise Edition quasi eine Community Version mit zusätzlichen Modulen ist, könnte lediglich der Community Edition Teil gepatcht werden. Hinsichtlich des Anteils an Enterprise Edition Code ist die Wahrscheinlichkeit eines Angriffes relativ gering, da der Quelltext nicht allgemein öffentlich verfügbar ist – erhöhte Wachsamkeit ist trotzdem ratsam. Hier könnte man verstärkt mit Sicherheitsdienstleistern wie SanSec.io und Cerbero WatchDog sowie anderen Experten zusammenarbeiten.
• Der komplette Downgrade zur Community Version ist eine Möglichkeit, wenn man die Funktionen der Enterprise Edition eigentlich gar nicht nutzt, sie aber lizenzensiert hat, um dadurch Support von Magento zu erhalten.
• Man geht volles Risiko und hofft auf das Beste.

Ich gehe davon aus, dass die Angriffe auf Magento 1 ab Juli deutlich steigen werden, weil es natürlich ein lukratives Ziel ist. Von daher sollte man – auch als Enterprise Kunde – im Vorfeld eine Lösung für sich gefunden haben.

Wie siehst Du das Thema PWA als eine weitere Alternative?

Interessanterweise hatte ich erst vor kurzem ein Gespräch mit einem Shop-Betreiber, der mir sagte, dass er ja eigentlich auf Magento 2 wechseln müsste, weil er gerne das Thema PWA angehen will. Ich habe ihm dann erklärt, dass ein Wechsel nicht zwingend notwendig ist, da man eine Anwendung baut, für die es im Grunde irrelevant ist, was für ein System am Ende dahinter sitzt. Auch Magento 1 hat eine API, die man dafür nutzen kann (Anm. d. R.: GastroHero hat einen PWA-Shop mit Magento 1 entwickelt - mehr in diesem Blogbeitrag). Die ist zwar nicht besonders schnell, aber wenn man eine ausgeklügelte Logik in Magento 1 integriert, die das bereitstellt, was man in seiner JavaScript Applikation vorne braucht, dann kann man das ohne Probleme auch mit einem Magento 1 machen. Wenn man über Magento 2 spricht ist der API-Ansatz sicherlich ein wenig mehr im Vordergrund. Trotzdem ist es kein System, das nach dem API first-Ansatz entwickelt wurde und aufgrund des Aufbaus von Magento 2 hat man im Endeffekt gar keinen großen Vorteil davon, vor Entwicklung einer PWA erst zu migrieren.

Wenn man wirklich in den Bereich PWA einsteigen möchte, sollte man sich eine Software suchen, die API first gebaut wurde - also einen großen Kern, der eine API nach außen bereitstellt, d.h. technische Endpunkte, die mir strukturierte Daten zur Verfügung stellen. Hier kommen wir übrigens wieder auf das Thema Shopware 6: sowohl das Admin Panel als auch das Frontend sind dort komplett API getrieben und es ist egal, was für eine Frontend ich davor setzen. Ich könnte sogar Shopware 6 als Backend nehmen und Magento als Frontend 😊.

Welche drei nächsten Schritte empfiehlst Du Magento 1-Kunden?

Auf jeden Fall sollten sie als erstes Magento aktualisieren, heißt Patches aktualisieren und die aktuellste Version nutzen, denn Mage One wird nur mit der aktuellsten Version funktionieren. Der zweite Schritt sollte die Planung sein, wie man in den nächsten fünf Jahren mit seinem Onlineshop weitermachen möchte:

• Was ist meine Exit-Strategie?
• Möchte ich auf eine andere Plattform wechseln?
• Werde ich mein Geschäftsmodell ändern?
• Habe ich vielleicht die Möglichkeit Magento 1 komplett selber zu übernehmen und weiterzuentwickeln?

Und der dritte Schritt sollte die Suche nach den richtigen Partnern sein, die diese Pläne mit umsetzen und in der Umsetzungsphase für die Sicherheit meines Shops sorgen. Und damit meine ich nicht nur die eigentliche Server-Sicherheit, sondern auch jemanden, der aktiv verschiedene Komponenten und eingesetzte Dienste auf Lücken hin untersucht. Es ist für den Händler unabdingbar eine sichere Plattform für seine Kundendaten zu bieten, denn nicht erst seit der DSGVO vertraut der Kunde darauf, dass seine Daten beim Händler sicher sind - und nur wer vertraut, kauft auch. Wenn man all diese Punkte organisiert hat, kann man meiner Meinung nach in den nächsten fünf Jahren gut mit Magento 1 arbeiten und sich währenddessen auf einen Wechsel, ein Upgrade oder "irgendwas" vorbereiten. So bleibt auch genügend Zeit, sinnvolle und kosteneffiziente Entscheidungen zu treffen und dann eine wirklich gute Migration durchzuführen.

Wer sich mit Rico in Verbindung setzen will und Unterstützung mit seinem Magento 1-Shop benötigt, kann ihn über Büro 71a oder Mage One erreichen. Ihr möchtet einen Bug bei Magento 1 melden? Dann nehmt am Mage One-Bug Bounty Programm über das CVE Board oder direkt über Mage One teil.

Anmerkung: Dieses Interview wurde gekürzt wiedergegeben.