Kriminelle nutzen Sicherheitslücken in veralteten Versionen von Magento aus, um darüber Schadcode in die weit verbreitete E-Commerce-Software einzuschleusen. Darüber sind ihnen dann sogennante Skimming-Attacken möglich. Sie könnn also Daten von Kredit- und Bankkarten ausspähen, die sie dann auf gefälschte Karten übertragen. Mit den Kartenkopien ist dann eine Abhebung oder Bezahlung zulasten des rechtmäßigen Karteninhabers möglich.
Früher griffen Kriminelle die Kartendaten durch Aufsätze an Geldautomaten ab. Nachdem die Öffentlichkeit diesbezüglich vorsichtiger geworden ist und die Geldinstitute Maßnahmen ergriffen haben, um das Anbringen der Scanner zu unterbinden, hatten Experten schon im vergangenen Jahr davor gewarnt, das sich die Kriminellen auf die für sie wesentlich ungefährlichere, effizientere und in größerem Stil durchführbaren Skimming-Angriffe auf Online-Shops verlegen könnten. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mitgeteilt hat, ist diese Befürchtung wahr geworden.
Allerdings tragen dazu auch die Betreiber der Online-Shops bei. “Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten”, erklärt BSI-Präsident Arne Schönbohm. “Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.” Damit spielt Schönbohm auf § 13 Absatz 7 des Telemediengesetzes an. Demnach sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen.
Eine einfache, grundlegende und wirksame Maßnahme dazu ist das zügige Einspielen von verfügbaren Sicherheits-Updates. Genau daran hapert es aber. Magento hatte Shop-Betreiber bereits im September 2016 über die nun ausgenutzten Sicherheitslücken informiert und Updates bereitgestellt, mit denen die Lücken geschlossen werden. Laut BSI nehmen viele Shop-Betreiber ihre Verantwortung jedoch nicht wahr: Die Zahl deutscher Online-Shops, die über die Lücke angreifbar ist, liege bei über 1000.
Das CERT-Bund des BSI hat die Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, diese Information an ihre Kunden weiterzuleiten. Der kostenlose Dienst MageReport ermöglicht es zudem zu überprüfen, ob die von einem mit Magento-Software betriebenen Online-Shop verwendete Software bekannte Sicherheitslücken aufweist. Wird ein Problem erkannt, werden detaillierte Informationen bereitgestellt, wie es sich beheben lässt. Sofern ein Shop nicht mit Magento arbeitet, erfolgt ein entsprechender Hinweis.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.