Aktuelles, Experten - geschrieben von dp am Montag, Januar 9, 2017 23:13 - noch keine Kommentare
BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen
Cyber-Kriminelle nutzen Sicherheitslücken in veralteten Versionen der Shop-Software
[datensicherheit.de, 09.01.2017] Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen nach eigenen Angaben Informationen vor, nach denen aktuell mindestens 1.000 deutsche Webshops von Online-Skimming betroffen sind. Dabei nutzten Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shop-Software, um schädlichen Programmcode einzuschleusen. Dieser spähe dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittele sie an die Täter. Betroffen seien Webshops, die auf der weit verbreiteten Software „Magento“ basieren.
Weltweit fast 6.000 betroffene Webshops identifiziert
Der eingeschleuste Code und der damit verbundene Datenabfluss sei für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten lägen dem BSI zur Zeit keine Erkenntnisse vor.
Basierend auf einer von einem Entwickler von Sicherheitstools für „Magento“ durchgeführten Analyse seien bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Webshops identifiziert worden, darunter auch mehrere Hundert deutscher Betreiber. Der CERT-Bund habe daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops benachrichtigt.
Trotz Software-Updates Sicherheitslücken offenbar nicht geschlossen
Aktuellen Erkenntnissen zufolge sei diese Infektion von vielen Betreibern bis heute jedoch nicht entfernt worden oder die Server seien erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in „Magento“ seien von den Shop-Betreibern trotz vorhandener Software-Updates offenbar nicht geschlossen worden. Dies ermögliche Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Webshops in Deutschland sei dadurch auf mindestens 1.000 angestiegen.
Das CERT-Bund des BSI habe am 9. Januar 2017 erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops in ihren Netzen informiert und rufe die Provider auf, die Informationen an die Shop-Betreiber weiterzuleiten.
Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden!
„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, so BSI-Präsident Arne Schönbohm.
Die Betreiber müssten ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern. Nach § 13 Absatz 7 TMG seien Betreiber von Webshops verpflichtet, ihre Systeme nach dem Stand der
Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu sei das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fielen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies werde bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.
Betreiber von Webshops auf Basis von „Magento“ könnten mit dem kostenfreien Dienst „MageReport“ überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem würden detaillierte Informationen zu dessen Behebung bereitgestellt.
Weitere Informationen zum Thema:
CERT-Bund, 13.10.2016
500+ #Magento Online-Shops in Deutschland von Online-Skimming betroffen
Bundesamt für Sicherheit in der Informationstechnik
Absicherung von Telemediendiensten nach Stand der Technik
datensicherheit.de, 14.12.2016
Drohende Nicht-Verfügbarkeit: Endspurt für Webshops mit SHA-1-Zertifikat
datensicherheit.de, 17.11.2016
Webshops im Weihnachtsmodus: Neben Performance Datensicherheit gefordert
datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras
Aktuelles, Experten, Studien - Apr 23, 2024 18:57 - noch keine Kommentare
Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
weitere Beiträge in Experten
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
Aktuelles, Branche - Apr 24, 2024 20:33 - noch keine Kommentare
DDoS-Attacken: Check Point warnt vor neue Wellen
weitere Beiträge in Branche
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
- KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren
- StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren