BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen

Cyber-Kriminelle nutzen Sicherheitslücken in veralteten Versionen der Shop-Software

[datensicherheit.de, 09.01.2017] Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen nach eigenen Angaben Informationen vor, nach denen aktuell mindestens 1.000 deutsche Webshops von Online-Skimming betroffen sind. Dabei nutzten Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shop-Software, um schädlichen Programmcode einzuschleusen. Dieser spähe dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittele sie an die Täter. Betroffen seien Webshops, die auf der weit verbreiteten Software „Magento“ basieren.

Weltweit fast 6.000 betroffene Webshops identifiziert

Der eingeschleuste Code und der damit verbundene Datenabfluss sei für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten lägen dem BSI zur Zeit keine Erkenntnisse vor.
Basierend auf einer von einem Entwickler von Sicherheitstools für „Magento“ durchgeführten Analyse seien bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Webshops identifiziert worden, darunter auch mehrere Hundert deutscher Betreiber. Der CERT-Bund habe daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops benachrichtigt.

Trotz Software-Updates Sicherheitslücken offenbar nicht geschlossen

Aktuellen Erkenntnissen zufolge sei diese Infektion von vielen Betreibern bis heute jedoch nicht entfernt worden oder die Server seien erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in „Magento“ seien von den Shop-Betreibern trotz vorhandener Software-Updates offenbar nicht geschlossen worden. Dies ermögliche Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Webshops in Deutschland sei dadurch auf mindestens 1.000 angestiegen.
Das CERT-Bund des BSI habe am 9. Januar 2017 erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops in ihren Netzen informiert und rufe die Provider auf, die Informationen an die Shop-Betreiber weiterzuleiten.

Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden!

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, so BSI-Präsident Arne Schönbohm.
Die Betreiber müssten ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern. Nach § 13 Absatz 7 TMG seien Betreiber von Webshops verpflichtet, ihre Systeme nach dem Stand der
Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu sei das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fielen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies werde bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.
Betreiber von Webshops auf Basis von „Magento“ könnten mit dem kostenfreien Dienst „MageReport“ überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem würden detaillierte Informationen zu dessen Behebung bereitgestellt.

Weitere Informationen zum Thema:

CERT-Bund, 13.10.2016
500+ #Magento Online-Shops in Deutschland von Online-Skimming betroffen

Bundesamt für Sicherheit in der Informationstechnik
Absicherung von Telemediendiensten nach Stand der Technik

datensicherheit.de, 14.12.2016
Drohende Nicht-Verfügbarkeit: Endspurt für Webshops mit SHA-1-Zertifikat

datensicherheit.de, 17.11.2016
Webshops im Weihnachtsmodus: Neben Performance Datensicherheit gefordert

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras