2245415

BSI warnt: 1000 deutsche Online-Shops sind unsicher

11.01.2017 | 10:47 Uhr |

Bei mindestens 1000 deutschen Online-Shops können Cyber-Gangster die Bank- und Kreditkartendaten der Kunden während eines Einkaufs stehlen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Mindestens 1000 deutsche Online-Shops sollen derzeit unsicher sein. Die Online-Shops verwenden veraltete Versionen der Online-Shop-Software Magento. In dieser alten Magento-Version stecken Sicherheitslücken, die Angreifer ausnutzen können, um ihren Schadcode in das Content-Management-System einzuschleusen. Danach können die Cyber-Gangster die über den Online-Shop getätigten Bestellvorgänge ausspähen und die Bank- beziehungsweise Kreditkartendaten der Kunden abgreifen.

Online-Skimming

Das Abgreifen von EC- und Kreditkartendaten an einem Bankautomaten nennt man Skimming; passiert der Kartendaten-Diebstahl über Webshops, dann spricht man von Online-Skimming.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar, warnt das BSI. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI derzeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert.

Sicherheits-Updates ignoriert

Besonders ärgerlich: Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden, also an die Shop-Betreiber weiterzuleiten.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

So prüfen Magento-Nutzer sofort ihren Online-Shop

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt, verspricht das BSI.


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2245415