Sicherheit und Vertrauen der Kundschaft sind seit jeher Prioritäten für Adobe. Cyber-Bedrohungen werden immer ausgeklügelter und Hacker suchen ständig nach neuen Wegen, Schwachstellen in ungepatchten Programmen auszunutzen.

Damit unsere Kundinnen und Kunden von Adobe Commerce diese Risiken effektiv minimieren können, haben wir eine Reihe proaktiver Methoden implementiert, mit denen kritische Sicherheits-Patches schnell und effizient bereitgestellt werden können. Diese Verbesserungen bei unserem Patching-Prozess unterstreichen das kontinuierliche Engagement von Adobe, die digitalen Umgebungen unserer Kundschaft zu schützen.

Einführung isolierter Patches für kritische Schwachstellen.

Adobe hat Sicherheits-Patches für jede unterstützte Release-Reihe der Adobe Commerce PHP-Kernanwendung. Patch-Releases bieten die Möglichkeit, die Kern-Code-Basis zu aktualisieren, damit eure Plattform sicher, zuverlässig und performant bleibt.

Seit Juni 2024 veröffentlicht Adobe Commerce isolierte Patches neben den standardmäßigen Veröffentlichungen von Sicherheits-Patches. Diese isolierten Patches sollen zeitkritische Sicherheitsschwachstellen schließen, damit Kundinnen und Kunden kritische Probleme sofort beheben können, ohne ein vollständiges Sicherheits-Update durchzuführen. So können sie sich zeitnah gegen aktuelle Bedrohungen schützen.

Bei der Entscheidung, ob isolierte Patches erforderlich sind, berücksichtigt Adobe vor allem drei wichtige Kriterien:

1. Kritische Schwachstellen: Isolierte Patches zielen auf Schwachstellen mit einem CVSS-Score (Common Vulnerability Scoring System) von mindestens 9,0 ab, was eine kritische Schwachstelle repräsentiert.
2. Storefront-Einfluss: Außerdem werden Patches für Schwachstellen veröffentlicht, die wahrscheinlich die Kernfunktionalität der Storefront beeinträchtigen, da diese direkte Auswirkungen auf Kundentransaktionen und die Integrität der Website insgesamt haben.
3. Schwachstellen mit erhöhtem Risiko: In manchen Fällen können Patches für Schwachstellen veröffentlicht werden, für die basierend auf den Ergebnissen der internen Sicherheits-Tools und Risikobewertungsprozesse von Adobe eine höhere Wahrscheinlichkeit besteht, dass sie ausgenutzt werden könnten.

Durch Veröffentlichung dieser isolierten Patches unterstützt Adobe Commerce die Kundinnen und Kunden dabei, schneller auf kritische Schwachstellen zu reagieren und das Zeitfenster zu verkleinern, in dem sie von in böswilliger Absicht handelnden Personen ausgenutzt werden könnten. Isolierte Patches für Adobe Commerce werden für jede unterstützte Version von Sicherheits-Patches der relevanten Release-Reihe bereitgestellt, damit Kundinnen und Kunden Zugang zu den aktuellen Problemlösungen erhalten. Weitere Informationen zu unterstützten Release-Reihen findet ihr in den Richtlinien zum Lebenszyklus von Adobe Commerce.

Auch wenn diese isolierten Patches die kritischeren Schwachstellen schließen, empfiehlt Adobe die Implementierung des vollständigen Sicherheits-Patches, sobald dieser zur Verfügung steht. Vollständige Sicherheits-Patches beheben nicht nur kritische Probleme, sondern behandeln auch allgemeinere Sicherheits- und Compliance-Aspekte, die den Status und die Integrität des Systems insgesamt beeinträchtigen könnten.

Schnelle und effiziente Patch-Implementierung mit Cloud-Patches für Commerce.

Neben herkömmlichen Patching-Methoden hat Adobe Commerce den Prozess durch das Angebot isolierter Patches über Cloud-Patches für Commerce weiter optimiert. Dieses Tool bietet Kundinnen und Kunden von Adobe Commerce direkt über die Cloud-Infrastruktur von Adobe Lösungen für Sicherheitsprobleme an, damit kritische Patches so schnell wie möglich implementiert werden. Anleitungen, wie ihr kritische Patches mithilfe von Cloud-Patches implementiert, findet ihr im Leitfaden zur Patch-Implementierung in Commerce in der Cloud.

WAF-Schutz (Web Application Firewall) für Cloud-Kundinnen und -Kunden.

Für Kundinnen und Kunden, die Adobe Commerce in der Cloud nutzen, stellen wir mit der Veröffentlichung von isolierten Patches WAF-Regeln als zusätzliche Sicherheitsschicht bereit, um eine weitere Ebene von Sicherheit zu implementieren, bevor die Kundinnen und Kunden Upgrades ihrer Instanzen durchführen. Diese WAF-Regeln sollen verhindern, dass die im isolierten Patch behandelten Schwachstellen in der Infrastruktur- oder der Programmschicht von Cyber-Kriminellen ausgenutzt werden.

Sicherheits-Patches für Kundinnen und Kunden von Adobe Commerce Managed Services.

Bei Kundinnen und Kunden von Adobe Commerce Managed Services gehen wir einen Schritt weiter und bieten ihnen während des Patching-Prozesses personalisierten Support an. Allen Kundinnen und Kunden von Managed Services wird ein dedizierter Customer Success Engineer (CSE) zugewiesen, der die Kundschaft bei der Entscheidung unterstützt, wann und wie die isolierten Patches implementiert werden sollen. Um Unterbrechungen auf ein Minimum zu reduzieren, validieren die CSEs die Patches in dedizierten Staging-Umgebungen gemeinsam mit den Kundinnen und Kunden, bevor sie in der Produktionsumgebung implementiert werden. Diese Tests verhindern, dass sich Patches negativ auf bestehende Workflows auswirken, und stellen sicher, dass die Problemlösungen korrekt angewendet werden.

Gestützt auf das Know-how des Teams von Adobe Commerce Managed Services kann die Kundschaft den Patching-Prozess effektiver und reibungsloser umsetzen und das Risiko von Sicherheitsproblemen und Systemausfallzeiten reduzieren.

Proaktive Kommunikation — Kundschaft auf dem Laufenden halten.

Wir bei Adobe wissen, dass eine zeitnahe Erkennung und Kommunikation unerlässlich beim Schutz vor Cyber-Bedrohungen ist. Angreifende richten sich oft gegen ungepatchte Systeme. Daher ist eine klare und proaktive Kommunikation von größter Bedeutung.

Unsere Kundinnen, Kunden und Partner werden von uns per E-Mail und mit Systembenachrichtigungen innerhalb von Adobe Commerce über bevorstehende Sicherheits-Updates benachrichtigt. Mit diesem Ansatz über zwei Kanäle sind Händler und Admins stets über die neuesten Patches informiert und können schnelle Maßnahmen zum Schutz der Sicherheit ihrer Shops treffen.

Beispiele für wichtige Elemente der sicherheitsrelevanten Kommunikation in Adobe Commerce:

• E-Mail-Warnhinweise: Die Kundschaft erhält detaillierte E-Mail-Benachrichtigungen zu kommenden Sicherheits-Patches und isolierten Patches, einschließlich wichtiger Informationen zu den behandelten Schwachstellen und Versionshinweisen. Die E-Mail wird am Veröffentlichungstag der Patches gemäß unserem Release-Zeitplan versendet.

• Benachrichtigungen im Produkt: Admins in Adobe Commerce erhalten Warnhinweise im Admin-Bereich des Produkts, damit sie keinesfalls wichtige Sicherheits-Updates verpassen.

• Sicherheitsbulletins: Jede Benachrichtigung enthält einen Link zu einem Sicherheitsbulletin und den Versionshinweisen, damit die Empfängerinnen und Empfänger umfassend über die behandelten Schwachstellen informiert sind. Kundinnen und Kunden können sich für einen Abodienst anmelden, damit Benachrichtigungen direkt an ihren Posteingang gesendet werden, sobald Adobe Updates und Sicherheitsbulletins veröffentlicht. Sicherheitsbulletins enthalten in der Regel folgende Informationen:

  • Betroffene und korrigierte Versionen von Adobe Commerce.
  • CVE-Referenzen (Common Vulnerabilities and Exposures) für die behandelten Sicherheitsprobleme.
  • Allgemeine Zusammenfassung zu jeder Schwachstelle, deren Schweregrad und den potenziellen Auswirkungen auf die Kundensysteme.

Die CVE-Details zu Adobe Commerce werden in öffentlichen Datenbanken wie MITRE und der National Vulnerability Database (NVD) veröffentlicht, damit sie von externen Sicherheitsexpertinnen und -experten sowie Nutzerinnen und Nutzern geprüft werden können und für diese transparent sind. Indem wir Kundinnen und Kunden über verfügbare Problemlösungen informieren, ermöglichen wir ihnen eine schnelle Reaktion und die Implementierung von Sicherheits-Patches zum frühestmöglichen Zeitpunkt.

Wir sind stets bestrebt, unserer Kundschaft sämtliche Tools, Ressourcen, Unterstützung und Kommunikation bereitzustellen, die sie für den Schutz vor künftigen Cyber-Bedrohungen benötigt. Mit der Implementierung unserer proaktiven Patching-Methoden möchten wir ein umfassendes Sicherheitsökosystem aufbauen, das die digitalen Storefronts unserer Kundinnen und Kunden gegen Bedrohungen und Sicherheitslücken schützt.

Smita Verma ist Senior Product Manager bei Adobe Commerce und bringt umfassende Erfahrung auf dem Feld der Cyber-Sicherheitslösungen und Compliance-Frameworks mit. Ihre Leidenschaft ist die Weiterbildung in der Cyber-Sicherheit und der Aufbau von Communities. Sie vereint ihre starken Kompetenzen im strategischen Produkt-Management und in der Sicherheit und entwickelt innovative Funktionen zur Stärkung der Unternehmenssicherheit ohne Beeinträchtigung der User Experience. Verma ist hervorragend darin, komplexe Sicherheitsanforderungen in intuitive, wirksame Lösungen zu transformieren, die in allen Unternehmensumgebungen den praktischen Mehrwert fördern.

https://business.adobe.com/fragments/resources/cards/thank-you-collections/commerce