1000 Magento­shops mit Skimming-Code — BSI warnt

Wie das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) gestern auf seiner Webseite mitteilte, geht das Amt aktuell davon aus, dass mehr als 1.000 Online­shops, die auf die bekannte Plattform Magento setzen, derzeit nicht alle Sicher­heits­stan­dards umsetzen, insbe­sondere verschiedene Sicher­heits-Patches nicht einge­spielt haben. Dadurch konnte auf diesen Webseiten Schadcode einge­schleust und persön­liche Daten der Nutzer, insbe­sondere zum Zahlungs­vorgang, ausge­lesen und missbraucht werden. Trotz eines Hinweises durch das BSI wurden diese Fehler durch die Websie­ten­be­treiber nicht beseitigt.

Wenn Betreiber von Online­shops nicht den aktuellen Stand der Technik umsetzen und damit Ihre Kunden ausrei­chend schützen drohen Schaden­er­satz­an­sprüche und Bußgelder, somit besteht hier dringender Handlungs­bedarf. Der aktuelle Stand der Technik wird im Gesetzt (13 Abs. 7 TMG) vorrausgesetzt.

(7) Diens­te­an­bieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jewei­ligen Verant­wort­lichkeit für geschäfts­mäßig angebotene Telemedien durch technische und organi­sa­to­rische Vorkeh­rungen sicher­zu­stellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Teleme­di­en­an­gebote genutzten techni­schen Einrich­tungen möglich ist und
  2. diese
    1. gegen Verlet­zungen des Schutzes perso­nen­be­zo­gener Daten und
    2. gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkeh­rungen nach Satz 1 müssen den Stand der Technik berück­sich­tigen. Eine Maßnahme nach Satz 1 ist insbe­sondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) liegen Infor­ma­tionen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind.  Dabei nutzen Cyber-Krimi­nelle Sicher­heits­lücken in veral­teten Versionen der Shopsoftware, um schäd­lichen Programmcode einzu­schleusen. Dieser späht dann beim Bestell­vorgang die Zahlungs­in­for­ma­tionen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbrei­teten Software Magento basieren.

Der einge­schleuste Code und der damit verbundene Daten­ab­fluss ist für Nutzer üblicher­weise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflos­senen Zahlungs­daten liegen dem BSI zur Zeit keine Erkennt­nisse vor.

Basierend auf einer von einem Entwickler von Sicher­heits­tools für Magento durch­ge­führten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identi­fi­ziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benach­rich­tigte daraufhin die jeweils zustän­digen Netzbe­treiber in Deutschland zu betrof­fenen Online-Shops. Aktuellen Erkennt­nissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompro­mit­tiert. Die von den Angreifern ausge­nutzten Sicher­heits­lücken in Magento wurden von den Shop-Betreibern trotz vorhan­dener Software­up­dates offenbar nicht geschlossen. Dies ermög­licht Cyber-Krimi­nellen, weiterhin Zahlungs­daten und andere bei Bestel­lungen einge­gebene persön­liche Daten von Kunden auszu­spähen. Die Anzahl aktuell bekannter betrof­fener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zustän­digen Netzbe­treiber in Deutschland zu betrof­fenen Online-Shops in ihren Netzen infor­miert und bittet Provider, die Infor­ma­tionen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

“Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veral­teten Software-Versionen, die mehrere bekannte Sicher­heits­lücken enthalten”, erklärt BSI-Präsident Arne Schönbohm. “Die Betreiber müssen ihrer Verant­wortung für ihre Kunden gerecht werden und ihre Dienste zügig und konse­quent absichern.”

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grund­le­gende und wirksame Maßnahme hierzu ist das regel­mäßige und rasche Einspielen von verfüg­baren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unter­nehmen, sondern auch für alle anderen geschäfts­mä­ßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privat­per­sonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kosten­freien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicher­heits­lücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detail­lierte Infor­ma­tionen zu dessen Behebung bereitgestellt.