lolloj - Fotolia

Rund 1000 deutsche Online-Shops von Online-Skimming betroffen

Nach Angaben des BSI können Cyberkriminelle aufgrund von Sicherheitslücken auf rund 1000 deutschen Online-Shops Zahlungsinformationen ausspähen.

Laut der Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind Online-Shops betroffen, die auf der Software Magento basieren. Eine veraltete Version der Shop-Software erlaube es Kriminellen Code einzuschleusen, mit dessen Hilfe sie dann beim Bestellvorgang die Zahlungsinformationen ausspähen könnten. Für den Nutzer sei weder der Code noch der damit verbundene Datenabfluss erkennbar. Bislang liegen dem BSI nach eigenen Angaben keine Informationen über den Umfang der abgeflossenen Zahlungsdaten vor.

Bereits im September 2016 habe eine Analyse eines Entwicklers von Sicherheitstools für Magento ergeben, dass mehrere hundert Shops infiziert seien. CERT-Bund habe daraufhin die jeweils zuständigen Netzbetreiber der Shops informiert. Nach aktuellen Erkenntnissen des BSI wurde diese Infektion von vielen Betreibern bis heute nicht entfernt, beziehungsweise es wurden Server erneut kompromittiert. So seien trotz vorhandener Softwareupdates die von den Angreifern ausgenutzten Sicherheitslücken in Magento offensichtlich nicht geschlossen worden. Damit sei es Angreifern weiterhin möglich Zahlungsdaten und weitere persönliche Informationen der Kunden auszuspähen. Die Anzahl der aktuell betroffenen Online-Shops sei damit auf mindestens 1000 angestiegen.

Tool für Shop-Betreiber

Das CERT-Bund des BSI habe die zuständigen Netzbetreiber erneut informiert und darum gebeten die Information an die Shop-Betreiber weiterzuleiten. Betreiber von Online-Shops könnten mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shopsystem betroffen ist. MageReport würde auch Anleitungen zur Beseitigung der gefundenen Probleme bereitstellen.

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“

Das BSI weist zudem darauf hin, dass die Betreiber von Online-Shops gemäß des Telemediengesetzes (§ 13, Absatz 7) dazu verpflichtet seien, ihre Systeme nach dem Stand der Technik vor Angriffen zu schützen (siehe auch Was Stand der Technik in der DSGVO bedeutet). Zudem betont das BSI, dass diese Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gelte. Darunter würden auch Websites von Vereinen oder Privatpersonen fallen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Im September 2016 hat das BSI einen Leitfaden zur Absicherung von Internet-Diensten veröffentlicht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

BSI veröffentlicht Leitfaden zur Absicherung von Internet-Diensten

IT-Sicherheitsgesetz: Konsequenzen für Betreiber von Websites und Online-Shops

Was Stand der Technik in der DSGVO bedeutet

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close