Automatische Malware-Scans für mehr Sicherheit

Übersicht

ShopSecurity ist ein leistungsstarkes Sicherheitswerkzeug von maxcluster zur umfassenden Prüfung von Shop-Installationen. Der Malware-Scan ist Teil dieses Tools und dient der frühzeitigen Erkennung von Schadsoftware in E-Commerce-Umgebungen. Er basiert auf der eComscan-Technologie von Sansec und ist speziell für Hyvä-, Magento-, Shopware- und WooCommerce-Shops optimiert.

Mit ShopSecurity erhalten Sie ausführliche Reports mit konkreten Handlungsempfehlungen, 

Warum Malware-Scans?

Jeder 5. Online-Shop ist jedes Jahr von einem Malware-Angriff betroffen. Der Malware-Scan hilft dabei, kritische Sicherheitsvorfälle frühzeitig zu erkennen, bevor sie für Ihren Shop zum Problem werden.

Konkret bedeutet das:

• Erkennung von Malware, bevor Datenschutzvorfälle meldepflichtig werden
  
• Schutz vor Image- und Vertrauensverlust durch unentdeckte Angriffe
• Automatische, tägliche Scans – kein manueller Aufwand
• Speziell für E-Commerce-Shops (Magento, Shopware, WooCommerce)

Kurz: Früher erkennen. Risiken begrenzen. Aufwand sparen.

Warum das relevant ist:
Ein Großteil der Malware bleibt lange unentdeckt. Genau hier setzt der Scan an.

Verfügbarkeit & Kosten

Aktuelle Regelung (bis 31.12.2026)

Der Malware-Scan ist aktuell kostenfrei verfügbar:

• Business & Enterprise SLA: dauerhaft im SLA enthalten
• Basic SLA: kostenfrei bis 31.12.2026
  
  

Der reguläre Marktpreis (z.B. direkt bei Sansec) liegt bei ca. 129 € pro Monat.

Kosten ab 01.01.2027

SLA-Level	Preis
Dev oder Basic SLA	100 € pro Monat
Business oder Enterprise	0 € pro Monat (im SLA enthalten)

Unterstützte Plattformen

Der Malware Scan ist spezialisiert auf:

• Hyvä Shops
• Magento 
• Shopware 
• WooCommerce

Durch diese Spezialisierung werden auch shopspezifische Manipulationen erkannt, die generische Virenscanner häufig übersehen.

Funktionsweise "Globaler Malware-Scan" 

Der globale Malware-Scan überprüft das gesamte Dateisystem und die Datenbank auf verdächtige Muster und bekannte Malware.

Technische Basis:

• Basierend auf der umfangreichen Signatur-Datenbank von eComscan
• Abgleich mit über 50.000 bekannten Malware-Signaturen

Erkennungsmethoden

Signaturbasierte Erkennung

• Identifizierung bekannter Malware-Muster
• Abgleich mit aktueller Bedrohungsdatenbank

Heuristische Prüfungen

• Erkennung auffälliger Code-Strukturen
• Analyse verdächtiger Verhaltensmuster
• Entdeckung auch neuer, bisher unbekannter Malware

Geprüfte Bereiche:

• Gesamtes Dateisystem
• Datenbank-Inhalte
• PHP- und JavaScript-Dateien
• Konfigurationsdateien
• Shop-Core, Plugins und Themes
• Erfahrungsgemäß angriffsgefährdete Verzeichnisse

• Empfehlungen zur sicheren Kommunikation zwischen Browser und Server

Erkannte Bedrohungen

Der Malware-Scan identifiziert verschiedene Sicherheitsrisiken und stuft diese nach Dringlichkeit ein.

Erkannte Bedrohungstypen

Der Malware-Scan erkennt folgende Sicherheitsrisiken:

Backdoors und Webshells

• Unbefugte Zugangspunkte zum System
• Versteckte Administrationsoberflächen
• Remote-Zugriffsmöglichkeiten für Angreifer

Manipulierte Dateien

• Veränderte Core-Dateien
• Kompromittierte Erweiterungen
• Modifizierte Shop-Komponenten

Magecart-Angriffe (Digital Skimming)

• Schadcode zur Vorbereitung von Payment-Skimming
• Versteckte JavaScript-Injektionen im Checkout-Bereich
• Code zum Abgriff von Zahlungsdaten

Datendiebstahl

• Code zur Datenabfrage oder -weiterleitung
• Exfiltration von Kundendaten
• Unberechtigte Datenzugriffe

Beispiel-Screenshot: Globaler Malware-Scan Report mit Dringlichkeitsstufen

Besonderer Fokus: Digital Skimming (Magecart)

Der Scan erkennt speziell Digital-Skimming-Angriffe, bei denen Zahlungsdaten im Checkout abgegriffen werden. Dies kann im schlimmsten Fall zu hohen Schadenersatzzahlungen führen und das Vertrauen der Kunden nachhaltig schädigen.

Scan-Reports und Handlungsempfehlungen

Aufbau der Reports

Nach jedem Scan erhalten Sie einen detaillierten Report im Managed Center mit:

Übersichtliche Darstellung

• Kategorisierung nach Dringlichkeitsstufen (kritisch / wichtig / empfohlen)
• Anzahl der gefundenen Probleme pro Kategorie
• Priorisierte Liste aller Befunde

Kontaktmöglichkeit

• Button "Service kontaktieren" in jedem Report
• Direkte Rückfragemöglichkeit zum spezifischen Scan
• Support durch maxcluster-Team

Wichtige Einschränkungen

⚠️ Nur Erkennung, keine Bereinigung

Der Malware-Scan ist ausschließlich ein Erkennungswerkzeug:

• Es erfolgt keine automatische Bereinigung gefundener Bedrohungen
• Die Analyse der Scan-Ergebnisse liegt beim Kunden und der Agentur
• Die Entfernung von Schadcode muss eigenständig durchgeführt werden
• Der maxcluster-Support kann im Rahmen des gebuchten SLAs unterstützen

Aktivierung und Support

Aktivierung

Der Malware-Scan kann aktiviert werden über:

• maxcluster-Support
• maxcluster-Beratung
• Direkt im Managed Center unter "ShopSecurity"

Support-Anfragen

Direkt aus dem Report:

• Button "Service kontaktieren" in jedem Scan-Report
• Rückfragen zum spezifischen Scan möglich
• Direkte Weiterleitung an das Support-Team

Allgemeiner Support:

Bei folgenden Themen wenden Sie sich bitte an den Support:

• Interpretation von Scan-Ergebnissen
• Einordnung gefundener Bedrohungen
• Fragen zur SLA-Zuordnung
• Unterstützung bei der Schadcode-Entfernung (im Rahmen des gebuchten SLAs)

Kontaktmöglichkeiten:

• Telefon: 05251/414130
• E-Mail: support@maxcluster.de
• Feedback zu ShopSecurity: shopsecurity@maxcluster.de

Zusammenfassung

Merkmal	Details
Produktname	ShopSecurity - Malware Scan
Technologie	eComscan von Sansec
Scan-Typen	Globaler Malware-Scan
Plattformen	Magento 1 und 2, Hyvä, Shopware 5 und 6, WooCommerce
Signaturen	Über 50.000 bekannte Malware-Muster
Dringlichkeitsstufen	Kritisch / Wichtig / Empfohlen
Verfügbarkeit	Alle maxcluster-Kunden
Kostenfrei bis	31.12.2026
Funktion	Erkennung mit Handlungsempfehlungen (keine automatische Bereinigung)
Compliance	Unterstützt PCI DSS 4.0
Support	Tel: 0 52 51/41 41 30, E-Mail: support@maxcluster.de

Häufig gestellte Fragen (FAQ)

Q: Was ist der Unterschied zwischen dem globalen Malware-Scan und dem Domain-Scan?
A: Der globale Malware-Scan überprüft das gesamte Dateisystem und die Datenbank auf Schadsoftware. Der Domain-Scan analysiert eine spezifische Domain und prüft Shop-Version, Sicherheitspatches, Konfiguration und TLS-Verschlüsselung.

Q: Werden gefundene Bedrohungen automatisch entfernt?
A: Nein, der Malware Scan ist ausschließlich ein Erkennungswerkzeug. Die Bereinigung muss manuell erfolgen. 

Q: Welche Shop-Systeme werden unterstützt?
A: Der globale Malware-Scan funktioniert für alle Systeme. Der Domain-Scan unterstützt Magento 1, Magento 2, Hyvä, Shopware 5, Shopware 6 und WooCommerce.

Q: Was bedeuten die Dringlichkeitsstufen?
A: Kritisch = sofortige Maßnahmen erforderlich, Wichtig = zeitnahe Behebung empfohlen, Empfohlen = Verbesserung der Sicherheit möglich.

Q: Kostet der Scan nach dem 31.12.2026 zusätzlich?
A: Bei Dev/Basic SLA: Ja (100 €/Monat). Bei Business/Enterprise SLA: Nein (im SLA enthalten).

Q: Kann der Scan alle Arten von Malware erkennen?
A: Der Scan ist auf E-Commerce-spezifische Bedrohungen spezialisiert und erkennt über 50.000 Signaturen sowie verdächtige Muster heuristisch. Durch die heuristische Analyse können auch neue, bisher unbekannte Malware-Varianten entdeckt werden.

Q: Wie kann ich Fragen zu einem Scan-Report stellen?
A: Über den Button "Service kontaktieren" direkt im Report oder über support@maxcluster.de bzw. telefonisch unter 05251/414130.

Q: Erkennt der Scan auch Magecart-Angriffe?
A: Ja, der Scan ist speziell auf die Erkennung von Digital-Skimming-Angriffen (Magecart) ausgelegt, bei denen Zahlungsdaten im Checkout abgegriffen werden.

Q: Wie oft sollte ich einen Scan durchführen?
A: Der automatische Scan wird nachts auf dem gesamten Dateisystem durchgeführt. Jede Datei wird auf Malware überprüft. Sofern Malware gefunden wird, wird eine Mail versendet. Bitte stellen Sie sicher, dass die Mail ankommt. 

Q: Wenn keine Domain im automatischen Scan angeklickt wird, werden dann alle gescannt oder gar keine?
A: Der Dialog zur Einrichtung automatischer Scans erlaubt es, sowohl Domain-Scans als auch den globalen Malware-Scan automatisiert ausführen zu lassen. Falls keine Domains ausgewählt werden, dann soll nur der globale Malware-Scan durchgeführt werden.

Der globale Malware-Scan berücksichtigt immer alle Dateien und Verzeichnisse unterhalb von /var/www/share auf dem jeweiligen Cluster, d.h. für diesen ist die Auswahl einzelner Domains nicht notwendig.

Q: Gilt der Schutz nur auf Magento, Hyvä, WooCommerce oder Shopware basierende Systeme?
A: Der (automatische) Malware-Scan im Modul "ShopSecurity" auf unseren Clustern enthält mehrere Komponenten:

1. Prüfung erkannter Shopsoftware auf speziell darin enthaltene Malware-Komponenten wie z. B. bösartiger JavaScript-Code in CMS-Blöcken oder Module/Erweiterungen mit bekannten Sicherheitslücken. Für diese Prüfung werden Dateien und Datenbankinhalte (vordefinierte Tabellen und Spalten) überprüft.
2. Prüfung bestimmter Dateitypen (Sourcecode-Dateien, HTML-Templates und ähnliche Formate) auf bekannte Malware-Muster.
3. Prüfung des laufenden Systems auf potenziell bösartige Hintergrundprozesse, verdächtige Cronjob-Einträge u. Ä.

Die erste Funktion wird nur bei Erkennung einer unterstützten Shopsoftware ausgeführt, da die dafür notwendigen Kenntnisse z. B. der Datenbankstrukturen im Scanner vorhanden sein müssen. Unterstützt werden aktuell Magento, Shopware, WordPress/WooCommerce, Prestashop und OpenCart.

Die anderen beiden Funktionen können unabhängig von der verwendeten Software arbeiten und funktionieren daher immer.

Q: Wie funktioniert der Schutz im Detail? Werden hier Daten abgegriffen und an einen externen Dienstleister zur Prüfung gesendet?
A: Der ShopSecurity-Malware-Scan nutzt intern die Software "eComscan" von Sansec (https://sansec.io/#ecomscan). Diese Software arbeitet ähnlich wie ein Virenscanner mit vorab bezogenen Malware-Signaturen und führt auf dem Cluster eine lokale Prüfung gegen diese Signaturen durch. Dabei werden keine Daten, auch nicht über das Ergebnis des Scans, an den Anbieter übertragen (wir haben die Funktion, das Scan-Ergebnis im Web anzusehen, deaktiviert).

Q: Kosten uns die Prüfungen/Scans System-Performance auf den Instanzen?
Wenn ja, wie viel Prozent müssen wir hier einkalkulieren?
A: Der Scanner "eComscan" arbeitet mit einer effizienten Implementierung einer YARA-Engine, dem De-facto-Industriestandard für Pattern-Matching bei Malware-Mustern. Vor kurzem wurde zur Performance der Engine sogar ein Artikel veröffentlicht: https://sansec.io/research/yargo.

Wir versehen den Prozess, der den Malware-Scan durchführt, zusätzlich mit dem maximalen "Nice"-Wert, sodass er vom Prozess-Scheduler in Linux nur dann ausgeführt wird, wenn die Ressourcen (CPU, IO) ansonsten ungenutzt sind. Dadurch ist unter normalen Umständen keine Beeinträchtigung der Performance zu erwarten.

Q: Wird von dem Tool nur ein Bericht erstellt, oder werden hier auch Änderungen am Code vorgenommen? Bei Virenscannern wird ja z.B. gefundene Malware in Quarantäne verschoben.
A: Der Scanner führt keine automatischen Aktionen auf verdächtigen Dateien durch, es wird lediglich ein Bericht erstellt.

Q: Es muss sichergestellt sein, dass durch das Tool kein von uns erstellter Code an externe Dienstleister gesendet werden! Ist das der Fall hier?
A: Korrekt, der Scanner überträgt keine Daten außerhalb des Clusters. Auch das Scan-Ergebnis wird auf dem Cluster gespeichert und erst bei einem Abruf durch einen Benutzer im Managed Center an unsere Web-Frontend-Server übertragen.

Q: Wo kann man sich das Ergebnis der Scans ansehen?
A: Das Ergebnis eines Domain- oder Malware-Scans ist im Managed Center unter "ShopSecurity" einsehbar. Eine Kurzübersicht (Anzahl der Meldungen pro Stufe) über das Scan-Ergebnis wird per E-Mail versendet, wenn ein Scan abgeschlossen ist; in dieser E-Mail ist auch ein Link direkt zur Ansicht enthalten (Login notwendig).

Q: Sind die 100 EUR nach der kostenfreien Testphase pro System oder für all unsere Cluster zusammen?
A: Die Grundlage ist der einzelne Clustervertrag, d. h. die Buchung gilt dann für alle Server eines Clusters, aber nicht über mehrere Cluster hinweg.

Alternativ besteht die Möglichkeit, die SLA-Stufe eines Clusters auf mindestens "Business" anzuheben (Aufpreis im Vergleich zu "Basic" € 90,-/Monat), da im Business-Paket die automatischen Scans kostenfrei inkludiert sind.