BSI warnt vor Skimming bei deutschen Online-Shops mit veralteter Shop-Software

Security (Bild: Shutterstock)

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind mindestens 1000 Online-Shops in Deutschland betroffen. Sie haben einen vom Shop-Software-Anbeiter Magento im September ausgelieferten Patch nicht eingespielt. Die Lücke nutzen Kriminelle aus, um sich Daten von Kredit- und Bankkarten zu verschaffen.

Kriminelle nutzen Sicherheitslücken in veralteten Versionen von Magento aus, um darüber Schadcode in die weit verbreitete E-Commerce-Software einzuschleusen. Darüber sind ihnen dann sogennante Skimming-Attacken möglich. Sie könnn also Daten von Kredit- und Bankkarten ausspähen, die sie dann auf gefälschte Karten übertragen. Mit den Kartenkopien ist dann eine Abhebung oder Bezahlung zulasten des rechtmäßigen Karteninhabers möglich.

Früher griffen Kriminelle die Kartendaten durch Aufsätze an Geldautomaten ab. Nachdem die Öffentlichkeit diesbezüglich vorsichtiger geworden ist und die Geldinstitute Maßnahmen ergriffen haben, um das Anbringen der Scanner zu unterbinden, hatten Experten schon im vergangenen Jahr davor gewarnt, das sich die Kriminellen auf die für sie wesentlich ungefährlichere, effizientere und in größerem Stil durchführbaren Skimming-Angriffe auf Online-Shops verlegen könnten. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mitgeteilt hat, ist diese Befürchtung wahr geworden.

Bundesamt für Sicherheit in der Informationstechnik (Grafik: BSI)

Allerdings tragen dazu auch die Betreiber der Online-Shops bei. “Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten”, erklärt BSI-Präsident Arne Schönbohm. “Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.” Damit spielt Schönbohm auf § 13 Absatz 7 des Telemediengesetzes an. Demnach sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen.

Eine einfache, grundlegende und wirksame Maßnahme dazu ist das zügige Einspielen von verfügbaren Sicherheits-Updates. Genau daran hapert es aber. Magento hatte Shop-Betreiber bereits im September 2016 über die nun ausgenutzten Sicherheitslücken informiert und Updates bereitgestellt, mit denen die Lücken geschlossen werden. Laut BSI nehmen viele Shop-Betreiber ihre Verantwortung jedoch nicht wahr: Die Zahl deutscher Online-Shops, die über die Lücke angreifbar ist, liege bei über 1000.

Das CERT-Bund des BSI hat die Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, diese Information an ihre Kunden weiterzuleiten. Der kostenlose Dienst MageReport ermöglicht es zudem zu überprüfen, ob die von einem mit Magento-Software betriebenen Online-Shop verwendete Software bekannte Sicherheitslücken aufweist. Wird ein Problem erkannt, werden detaillierte Informationen bereitgestellt, wie es sich beheben lässt. Sofern ein Shop nicht mit Magento arbeitet, erfolgt ein entsprechender Hinweis.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de