Veröffentlicht am 05.08.2017

Abmahngefahr mit Shopware Demo-Daten Plugin?

UPDATE: Shopware hat hierzu zwischenzeitlich eine offizielle Stellungnahme abgegeben: https://forum.shopware.com/discussion/comment/207234#Comment_207234 – Unsere Hinweise und Handlungsempfehlungen in diesem Artikel bleiben aktuell.

Der Betreiber eines Testsystems mit Shopware-Demodaten wurde offenbar abgemahnt. Dieses Thema wird im Shopware Community Forum aktuell heiß diskutiert. Speziell geht es um ein Bild, welches nicht ohne erwerb der entsprechenden Nutzungsrechte verwendet werden darf. Der Fotograf hat eine Anwaltskanzlei beauftragt um seine Urheberrechte geltend zu machen. Laut Shopware-Forum-Nutzer ’silberfischershop‘ wurde das Bild im Rahmen eines für Testzwecke genutzten Shops eingesetzt. Dieser Shop war demnach außerdem für externe Zugriffe ohne Passwortschutz erreichbar. Diese Tatsache wurde vom Fotografen entsprechend bewertet und mit einem Gegenstandswert in Höhe von 7.500 EUR angesetzt; wie dem Forenbeitrag zu entnehmen ist.

Ist jeder Shopware Shop betroffen?

Nein. Die Shopware Demodaten werden in Form eines Plugins zur nachträglichen Installation für Test- und Evaluierungszwecke angeboten und sind nicht Bestandteil der Shopware Editionen. Die Demodaten enthalten für einen Test notwendige Daten für einen Shop: Demo-Artikel mit Texten und Bildern, Hersteller mit zugehörigen Logos, Einkaufswelten etc.

Das betreffende Foto ist laut Moritz Naczenski, Shopware AG, seit über einem Jahr nicht mehr in den Demodaten enthalten. Es wurde ursprünglich für den Launch von Shopware 5.0 im Jahr 2015 in die Demodaten aufgenommen.

Warum Shopware Demodaten nicht öffentlich genutzt werden dürfen

Die Shopware-Demodaten sind nicht für die öffentliche Nutzung gedacht, sondern sind von der Shopware AG nur für die Nutzung auf den Shopware Internetpräsenzen ordnungsgemäß lizenziert.
Die Nutzungsrechte umfassen daher nicht den Betrieb auf Shopsystemen von Dritten bzw. anderen Shops. Die Lizenzinformationen/Disclaimer zum Plugin weisen darauf auch hin.

Jeder Shopbetreiber bzw. Betreiber einer öffentlichen Internetpräsenz ist entsprechend des Urheberrechtes dazu verpflichtet sicherzustellen, dass die notwendigen Nutzungsrechte für die von ihm genutzten Inhalte vorliegen.

Testsysteme nur mit Passwortschutz

Wenn Sie ein Shopsystem mit Testdaten nutzen, sollten Sie grundsätzlich sicherstellen, dass dieses nur mit einem Passwortschutz erreichbar ist. Zum einen verhindern Sie dadurch, dass Google versehentlich Inhalte in den Index aufnimmt, welcher die Suchmaschinenoptimierung und mögliche Kunden stört. Zum anderen kann dann nicht jedermann den Entwicklungsfortschritt Ihres Shops beobachten.

Aber mein Shop-Entwickler/Dienstleister sagt, dass sie dann Funktion XY nicht testen können

Das ist so nicht pauschal richtig. Es ist korrekt, dass bestimmte Funktionen mit einer aktiven HTTP-Authentifizierung nicht mehr ohne weiteres genutzt werden können. Es gibt jedoch eine Vielzahl an Möglichkeiten, wie die Nutzung trotzdem möglich ist. Hierzu können explizite Ausnahmen definiert werden, anhand von Kriterien wie beispielsweise IP-Adresse, Request-URL etc., welche dann einen Zugriff unter bestimmten Bedingungen, aber nicht für die Öffentlichkeit erlauben.

Einfache HTTP-Authentifizierung für Apache mit htaccess einrichten

Eine einfache HTTP-Authentifizierung kann über eine htaccess-Konfiguration wie folgt eingerichtet werden:

1. Anlegen einer .htpasswd Datei

In der .htpasswd Datei werden die Zugangsdaten in gehashter Form gespeichert. Mit diesen vergleicht der Webserver die eingegebene Benutzer/Passwort-Kombination. Der Inhalt kann in der Linux-Shell mit dem Kommando htpasswd, oder über einen Online-Generator wie beispielsweise diesen erstellt werden: http://www.htaccesstools.com/htpasswd-generator/
Hinweis: geben Sie in einen Online-Generator niemals sensible Daten, wie beispielsweise Ihr Systempasswort ein. Für die Zugangsdaten einer Demoseite sollte die Sensibilität aber kein Proble darstellen. Nutzen Sie andernfalls das Konsolen-Tool.

Hier der Inhalt für Benutzername: demo und Passwort: shopwaredemo

[raw]
demo:$apr1$1Xr9Vi4y$rx5KjwHJjxqXlycH5Il3f/
[/raw]

2. Erweitern der .htaccess Datei von Shopware

Als nächstes erweitern Sie die .htaccess Datei im Shopware Hauptverzeichnis, und zwar direkt unter der RewriteBase Konfiguration (welche normalerweise auskommentiert ist):

[raw]

# –> Shopware Standard Datei beginnt hier

RewriteEngine on

#RewriteBase /shopware/

# –> Code hier einfügen

# Keinen Zugriff auf Passwortdatei erlauben
<Files „.htpasswd“>
# Apache 2.4+

Require all denied

# Apache 2.0-2.2

Deny from all

</Files>

# HTTP-Authentifizierung
AuthType Basic
AuthName ‚Testumgebung‘
AuthUserFile .htpasswd
Require valid-user

# –> Restliche Shopware Standard-.htaccess …
[/raw]

Vorsicht: Bilder und Texte auch unternehmensintern urheberrechtlich geschützt

Bei der vorliegenden Thematik ist zu beachten, dass die Nutzung von Inhalten wie Text- und Bildmaterial auch innerhalb eines Unternehmens nicht ohne entsprechende Nutzungsrechte erlaubt ist. Wenn die Testumgebung also nicht nur „mal eben kurz“ von einem Entwickler, sondern von mehreren Personen oder gar Abteilungen genutzt wird, ist es denkbar, dass der Urheber auch hier entsprechende Ansprüche geltend machen kann. Sie sollten daher sicherstellen, dass Sie möglichst frühzeitig auf eigene Inhalte umstellen bzw. Inhalte für welche Sie die entsprechenden Nutzungsrechte besitzen. Stock-Foto-Datenbanken stellen zu diesem Zweck beispielsweise Vorschaubilder in geringer Auflösung mit Wasserzeichen zur Verfügung.

Was ist mit Demoshops, welche auf der Shopware-Plattform erstellt wurden?

Diese Frage ist durchaus berechtigt, da diese Systeme öffentlich zugänglich sind und durch den Tester gegebenenfalls schon angepasst wurden. Nach unserem Kenntnisstand ist der Betreiber der Demoshops allerdings die Shopware AG, sodass hier die zugeteilten Nutzungsrechte entsprechend greifen dürften.

Demodaten in vielen Shops nicht vollständig entfernt

Achtung: Die Deinstallationsroutine der Shopware-Demodaten entfernt die Demodaten nicht vollständig! Sollten Sie in Ihrem Shop einmal das Demodaten-Plugin installiert haben, besteht die Gefahr, dass Ihr Shop beispielsweise Bilder immer noch zum Download anbietet — zwar versteckt, aber immerhin. Artikel und Bilder müssen manuell gelöscht werden. Das können Sie einfach direkt im Backend machen:

  • Artikel mit Artikelnummern beginnend mit SW…
  • Hersteller
  • Bilddaten über die Medienverwaltung löschen. Am besten stellen Sie die Ansicht auf tabellarisch um und zeigen über das Dropdown am unteren Fensterrand so viele Bilder wie möglich an. Diese können Sie dann einfach alle markieren und löschen

Weiterführende Links:

Weitere Beiträge

Kategorien

Kontaktdaten

MND Next GmbH
Am Filssteg 3
73035 Göppingen

E-Mail: info@mndnext.de
Telefon: 07161 / 304 889 - 0