Augen auf beim Onlinekauf – Kundendaten vom Online-Shop ausgespäht

News

„Vielen Dank für Ihren Einkauf – Ihre Daten sind jetzt futsch!“ So oder so ähnlich könnte die Bestätigungs-E-Mail lauten, die die Kunden mancher Online-Shops erhalten sollten. Wie das BSI jüngst bekannt gegeben hat, sind zahlreiche deutsche Online-Shops vom sog. Online-Skimming betroffen.

Sicherheitslücken bei Online-Shop-Software Magento

Schuld daran sind Sicherheitslücken in der bei Online-Shops weit verbreiteten Software Magento. Diese Sicherheitslücken ermöglicht es Kriminellen, Schadcodes einzuschleusen. Laut Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wurde auf diese Weise unter anderem auch JavaScript-Code mit Skimming-Funktion in die Software eingebunden. Bereits über 1.000 deutsche Webshops sollen von diesem Angriff betroffen sein.

Nutzt ein Kunde einen dieser Webshops, werden seine Daten beim Bestellvorgang automatisch an die Täter übermittelt. Ohne seine Kenntnis gelangen dabei seine Adress- und Zahlungsdaten in die Hände von Kriminellen. Was diese mit den Daten anstellen, lässt sich wohl vermuten. Über den Umfang des durch den Datenabfluss bereits eingetretenen Schadens macht das BSI keine Angaben.

Veraltete Software betroffen

Aufgetreten sind die Sicherheitslücken bei veralteten Versionen der Shop-Software. Wer sich als Magento-Nutzer nicht sicher darüber ist, ob seine Software auf dem aktuellen Stand ist, kann durch einen Online-Check herausfinden, ob sein Shopsystem betroffen ist. Dabei erkennt das Tool sogar den von den Tätern verwendeten Skimming-Code. Auch eine Kurzanleitung zur Fehlerbehebung ist hier zu finden.

Gesetzliche Pflicht für Shopbetreiber zum Schutz vor Angriffen

Betreiber eines Online-Shops sind gesetzlich dazu verpflichtet, ihr Shopsystem gegen Angriffe zu schützen. Einen wichtigen Beitrag zum Schutz der Systeme bilden dabei die regelmäßigen Sicherheitsupdates der Hersteller, von denen der Betreiber daher unbedingt Gebrauch machen sollte. Leider lassen sich Angriffe auch durch das regelmäßige Aufspielen solcher Sicherheitspatches nicht vollständig vermeiden, ihre Erfolgsaussichten dadurch jedoch erheblich gemindert.

Keine Möglichkeit für Kunden zur Überprüfung

Für Kunden gibt es leider keine Möglichkeit herauszufinden, ob der von ihnen genutzte Online-Shop dem aktuellen Stand der Sicherheitstechnik entspricht. Hier kann unter Umständen ein genauer Blick auf den Gesamteindruck des Shops helfen. Handelt es sich um einen kleinen Shop eines unbekannten Betreibers, der nur mäßig gepflegt erscheint, sollten im Zweifel keine personenbezogenen Daten übermittelt werden.

Statt der Privatanschrift sollte hier die Adresse einer Packstation oder Post-Filiale angegeben und auf die Angabe von Zahlungsdaten ganz verzichtet werden. Auch eine gezielte Nachfrage beim Shop-Betreiber kann helfen. Lassen sich die Zweifel an der Zuverlässigkeit des Shopbetreibers auch hierdurch nicht zerstreuen, hilft im Zweifel nur: Finger weg!

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Warum wird nicht eine Liste der betroffenen Shops veröffentlicht. Oder, wenn es eine gibt, wäre ein Hinweis zur Fundstelle hilfreich.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.