Ratgeber

Vorsicht: Skimming-Attacken 1000 deutsche Online-Shops nicht sicher

Die Sicherheitslücke ist  von vielen Betreibern trotz Kenntnis bisher nicht entfernt worden.

Die Sicherheitslücke ist von vielen Betreibern trotz Kenntnis bisher nicht entfernt worden.

(Foto: imago/epd)

Keine guten Nachrichten: Bei mehr als 1000 deutschen Online-Shops haben Kriminelle leichtes Spiel und können während des Bestellvorgangs Kontodaten oder persönliche Angaben von Kunden abgreifen. Das Bundesamt für Sicherheit schlägt Alarm.

Kriminelle haben beim Ausspähen sensibler Daten von Kunden von mindestens 1000 Online-Shops in Deutschland leichtes Spiel, wie das Bundesamt für Sicherheit (BSI) warnt. Dabei nutzen die Cyber-Gauner Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcodes einzuschleusen (Skimming, englisch für Abschöpfen). Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren. Unbemerkt für Kunden übermittelt der Schadcode die Zahlungsinformationen an die Krimenellen. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI derzeit keine Erkenntnisse vor.

Bereits im September 2016 wurden basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse weltweit knapp 6000 von Skimming betroffene Online-Shops identifiziert, darunter auch mehrere 100 Shops deutscher Betreiber. Nach aktuellen Informationen wurde diese Infektion jedoch von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut infiziert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern." Laut Telemediengesetz seien die Betreiber aber dazu verpflichtet, ihre Systeme gegen Angriffe zu wappnen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates. Dies gilt im übrigen auch für Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen.

Laut BSI können Betreiber von Online-Shops auf Basis von Magento mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.

Betroffene Kunden dieser Gaunereien sollten unbedingt Anzeige bei der Polizei erstatten. Außerdem sollte die eigene Bank, Auskunfteien und das anspruchstellende Unternehmen über den Datendiebstahl informiert werden. Wiederholt sich der Datenmissbrauch, muss dieser erneut zur Anzeige gebracht werden. Denn nur durch die Vorlage der Anzeige können unberechtigte Forderungen erfolgreich zurückgewiesen werden.

Quelle: n-tv.de , awi

Mehr zum Thema