„Vielen Dank für Ihren Einkauf – Ihre Daten sind jetzt futsch!“ So oder so ähnlich könnte die Bestätigungs-E-Mail lauten, die die Kunden mancher Online-Shops erhalten sollten. Wie das BSI jüngst bekannt gegeben hat, sind zahlreiche deutsche Online-Shops vom sog. Online-Skimming betroffen.
Der Inhalt im Überblick
Sicherheitslücken bei Online-Shop-Software Magento
Schuld daran sind Sicherheitslücken in der bei Online-Shops weit verbreiteten Software Magento. Diese Sicherheitslücken ermöglicht es Kriminellen, Schadcodes einzuschleusen. Laut Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wurde auf diese Weise unter anderem auch JavaScript-Code mit Skimming-Funktion in die Software eingebunden. Bereits über 1.000 deutsche Webshops sollen von diesem Angriff betroffen sein.
Nutzt ein Kunde einen dieser Webshops, werden seine Daten beim Bestellvorgang automatisch an die Täter übermittelt. Ohne seine Kenntnis gelangen dabei seine Adress- und Zahlungsdaten in die Hände von Kriminellen. Was diese mit den Daten anstellen, lässt sich wohl vermuten. Über den Umfang des durch den Datenabfluss bereits eingetretenen Schadens macht das BSI keine Angaben.
Veraltete Software betroffen
Aufgetreten sind die Sicherheitslücken bei veralteten Versionen der Shop-Software. Wer sich als Magento-Nutzer nicht sicher darüber ist, ob seine Software auf dem aktuellen Stand ist, kann durch einen Online-Check herausfinden, ob sein Shopsystem betroffen ist. Dabei erkennt das Tool sogar den von den Tätern verwendeten Skimming-Code. Auch eine Kurzanleitung zur Fehlerbehebung ist hier zu finden.
Gesetzliche Pflicht für Shopbetreiber zum Schutz vor Angriffen
Betreiber eines Online-Shops sind gesetzlich dazu verpflichtet, ihr Shopsystem gegen Angriffe zu schützen. Einen wichtigen Beitrag zum Schutz der Systeme bilden dabei die regelmäßigen Sicherheitsupdates der Hersteller, von denen der Betreiber daher unbedingt Gebrauch machen sollte. Leider lassen sich Angriffe auch durch das regelmäßige Aufspielen solcher Sicherheitspatches nicht vollständig vermeiden, ihre Erfolgsaussichten dadurch jedoch erheblich gemindert.
Keine Möglichkeit für Kunden zur Überprüfung
Für Kunden gibt es leider keine Möglichkeit herauszufinden, ob der von ihnen genutzte Online-Shop dem aktuellen Stand der Sicherheitstechnik entspricht. Hier kann unter Umständen ein genauer Blick auf den Gesamteindruck des Shops helfen. Handelt es sich um einen kleinen Shop eines unbekannten Betreibers, der nur mäßig gepflegt erscheint, sollten im Zweifel keine personenbezogenen Daten übermittelt werden.
Statt der Privatanschrift sollte hier die Adresse einer Packstation oder Post-Filiale angegeben und auf die Angabe von Zahlungsdaten ganz verzichtet werden. Auch eine gezielte Nachfrage beim Shop-Betreiber kann helfen. Lassen sich die Zweifel an der Zuverlässigkeit des Shopbetreibers auch hierdurch nicht zerstreuen, hilft im Zweifel nur: Finger weg!
Warum wird nicht eine Liste der betroffenen Shops veröffentlicht. Oder, wenn es eine gibt, wäre ein Hinweis zur Fundstelle hilfreich.
Eine Liste der betroffenen Online-Shops wurde vom BSI nicht veröffentlicht.