Über unsMediaKontaktImpressum
10. Januar 2017

Online Skimming betrifft bereits 1.000 deutsche Online-Shops

Mindestens 1.000 deutsche Online-Shops sollen laut Bundesamt für Sicherheit und Informationstechnik (BSI) aktuell von Online-Skimming betroffen sein. 

Beim Online-Skimming nutzen Cyber-Kriminielle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser sammelt dann beim Bestellvorgang die Zahlungsinformationen der Kunden und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren. Für die Kunden ist der eingeschleuste Code und der damit verbundene Datenabfluss meistens nicht erkennbar. Noch liegen dem BSI keine Erkenntnisse über den Umfang der bereits abgeflossenen Zahlungsdaten durch diese Angriffe vor.

Laut einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse, wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. Die zuständigen Netzbetreiber in Deutschland wurden vom CERT-Bund über die betroffenen Online-Shops benachrichtigt. Aktuelle Erkenntnisse zeigen allerdings, dass diese Infektion von vielen Betreibern bis heute nicht entfernt wurde oder die Server erneut kompromittiert wurden. Die von den Cyber-Kriminellen ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Software-Updates offenbar nicht geschlossen. Dies ermöglicht den Angreifen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Kundendaten auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland soll dadurch auf mindestens 1.000 angestiegen sein.

Das CERT-Bund des BSI hat gestern erneut die jeweils zuständigen Netzbetreiber in Deutschland zu den betroffenen Online-Shops in ihren Netzen informiert und die Provider gebeten, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern." 

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme ist das regelmäßige und schnelle Einspielen von verfügbaren Sicherheitsupdates.

Das BSI hat an dieser Stelle auch darauf hingewiesen, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen beispielweise auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits angenommen, wenn auf den Websites bezahlte Werbung in Form von z.B. Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können kostenfrei mit MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden zusätzlich detaillierte Informationen zu dessen Behebung bereitgestellt. Mehr zu MageReport finden Sie Externer Linkhier.

LB

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.

botMessage_toctoc_comments_9210