Nachrichten

Online-Skimming bei veralteten Magento-Shopsoftwares

BSI warnt Verbraucher und Shop-Betreiber: 1.000 deutsche Online-Shops gehackt

Internet | HT4U.net
In einer Pressemitteilung spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen aktuell problematischen Fall in Deutschland an. So spricht das BSI über vorliegende Informationen, dass mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Ursächlich dabei ist die weit verbreitete Shop-Software Magento, welche sich nicht auf dem neuesten Stand befindet und es Kriminellen damit erlaubt hat, Schadsoftware in die Systeme einzuschleußen. Ziel: Zahlungsinformationen der Kunden zu erlangen.

Schon 2016 gab es die ersten Anzeichen für Online-Skimming bei Online-Shops, welche auf die Magento-Software setzten. Herausgefunden wurde dies durch Entwickler von Sicherheits-Software für das Programm Magento, welche bei einer Analyse zu dem Ergebnis kamen, dass weltweit fast 6.000 Shops betroffen seien. Wie viel Schaden aktuell bereits hieraus entstanden ist oder wie viele Datensätze von den Kriminellen bereits erbeutet wurden, ist bis dato unbekannt, denn die Anwender können den Schadcode und die übermittelten Daten nicht erkennen.

Seitens des BSI wurden die jeweils zuständigen Netzbetreiber zu betroffenen Online-Shops seinerzeit bereits informiert – betroffen waren damals einige hundert Shops deutscher Betreiber. Wie das BSI nun mitteilt, sei kaum eine Reaktion erfolgt. Nach aktuellen Erkenntnissen seien die Infektionen in den meisten Fällen nicht entfernt worden, oder deren Shops wurden erneut infiltriert. Die Zahl der betroffenen Shops in Deutschland sei zwischenzeitlich auf mindestens 1.000 angestiegen, und das BSI wirft den Betreibern vor, vorhandene Sicherheits-Updates für die Magenta-Software nicht einzuspielen. Erneut habe man die Netzbetreiber über die Shops unterrichtet.

Von Nachlässigkeit auf Seiten der Betreiber ist die Rede, obgleich man vom Gesetz her dazu verpflichtet sei, die Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Diese Verpflichtung gelte nicht nur für Unternehmen, sondern auch für alle geschäftsmäßigen Betreiber von Webseiten. Diese hätten gar die Möglichkeit, über den kostenlosen Dienst MageReport das eigene Shopsystem auf Sicherheitslücken zu prüfen.
[]