Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Beim sogenannten Online-Skimming nutzen Kriminelle vorhandene Sicherheitslücken in veralteter Shopsoftware, um schädlichen Programmcode einzuschleusen.

MAGENTO SHOPS BETROFFEN

Der auf diesem Wege integrierte Code erkennt die Zahlungsinformationen der Kunden während dem Bestellvorgang und übermittelt sie an die Täter. Wie das BSI berichtet, ist der eingeschleuste Code und der damit verbundene Datenabfluss für Nutzer normalerweise auch nicht erkennbar. Betroffen sind dabei wohl Web-Shops, die auf dem beliebten Magento-System basieren.
Wie ein Entwickler von Sicherheitstools für Magento bereits im September 2016 in einer Analyse herausfand, waren zu diesem Zeitpunkt weltweit schon ca. 6.000 Online-Shops betroffen. Mehrere hundert davon in Deutschland. Zwar benachrichtigte daraufhin CERT-Bund die zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops, jedoch wurden nach aktuellen Erkenntnissen diese Infektion von vielen Betreibern bis heute entweder immer noch nicht entfernt oder die Server erneut kompromittiert. Das BSI berichtet: „Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.“

DIE BUNDESNETZAGENTUR REAGIERT

Das CERT-Bund des BSI hat nun erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet die Provider, die Informationen an die Shop-Betreiber weiterzuleiten. BSI-Präsident Arne Schönbohm dazu: „Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten. Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“
Die rechtliche Situation ist dabei ziemlich klar: So sind Betreiber von Online-Shops nach § 13 Absatz 7 TMG verpflichtet, sich dem Stand der Technik entsprechend gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist bekanntermaßen ein regelmäßiges Einspielen von Sicherheitsupdates.
Das BSI weist außerdem darauf hin, dass die Verpflichtung Systeme zu sichern nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Webseiten gilt. Das betrifft also auch Privatpersonen oder Vereine, wenn deren Seiten dauerhaft Einnahmen generiert sollen. Also schon dann, wenn bezahlte Werbung in Form von Bannern auf der Homepage platziert ist.

TESTEN SIE SELBST

Auf www.magereport.com können Betreiber von Online-Shops kostenfrei und schnell testen, ob ihr Magento-Shop die angesprochenen Sicherheitslücken vorweist und somit angreifbar ist. Sollte der Test hier Lücken finden, so werden dazu jeweils genaue Informationen und Lösungen vorgeschlagen.