Ca. 1.000 dt. Online-Shops von Skimming betroffen
von André Westphal | 12 Kommentare
Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind in Deutschland mindestens 1.000 Online-Shops von Skimming betroffen. Das bedeutet im Klartext, dass die Shopsoftware Sicherheitslücken aufweist,welche Cyber-Kriminielle ausnutzen. Schädlicher Programmcode kann dann beim Bestellvorgang die Zahlungsinformationen der Kunden abgreifen. Betroffen sind laut BSI die Shops,welche die weit verbreitete Software Magento verwenden. Als Anwender kann man das Abgreifen der Daten leider nicht erkennen. Wie viele Daten bereits gestohlen oder missbraucht wurden, kann das BSI aber leider aktuell noch nicht angeben.
Bereits im September 2016 konnte man 6.000 von Skimming betroffene, internationale Shops identifizieren. Damals wurden auch deutsche Shop-Betreiber alarmiert, haben laut BSI aber bis heute keine Bestrebungen unternommen, um die Sicherheitslücken zu schließen. Dabei gibt es Updates, welche die Probleme beheben könnten – würden die jeweiligen Händler sie denn aufspielen. Konkrete Händler nennt das BSI übrigens leider nicht, so dass ihr selbst Vorsicht walten lassen müsst. Arne Schönbohm vom BSI gibt sich frustriert: „Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten.“
Eigentlich wären die Shop-Betreiber gegenüber ihren Kunden in der Verantwortung die Sicherheit bei den Bestellvorgängen schleunigst zu verbessern. Offenbar nimmt man diesen Bedarf bei deutschen Online-Händlern allerdings vielfach nicht ernst. Dabei gilt diese Verantwortung gar nicht einmal nur für große Shops. Laut BSI sind alle geschäftsmäßigen Betreiber von Websites in der Pflicht ihre Websites abzusichern. Das gilt beispielsweise bereits dann, wenn über eine Website via Werbung Einnahmen generiert werden.
Ihr habt eine Website mit Magento im Blick und wollt wissen, ob sie sicher ist? Über die Website MageReport könnt ihr den jeweiligen Shop kostenlos überprüfen. Falls ihr also bei einem Händler mit dem System kürzlich etwas bestellt habt und nun wissen möchtet, ob für euch eine Gefahr besteht, kann die Überprüfung euch Gewissheit geben. Letzten Endes zeigt der Hinweis des BSI, dass Datensicherheit im E-Commerce immer noch ein Problem ist. Vor allem scheitert es an der Nachlässigkeit der Händler – daran haben offenbar auch etliche, in den Medien breitgetretene Hacks nichts geändert.
Wird geladen ...
Warum gibt das BSI die Shops nicht bekannt? Diese wurden doch über die Sicherheitslücke informiert und hätten etwas dagegen tun können…
Und ich wundere mich über die letzte gut gemachte Spam-Email einer angeblichen Bank, in der meine kompletten Klarpersonalien samt Telefonnummer drin stand! Typische Shop-Daten eben.
Woran erkennt man denn, dass der Shop Magento nutzt?
Leider ist eine beschädigte Verpackung nicht immer Schuld des Händlers. Viele Produkte kommen schon so vom Hersteller oder Distributor und leider hat man gerade als kleiner Händler keine große Chance dafür Ersatz zu bekommen, also macht man das beste aus der ganzen Sache und verkauft das Ganze so wie es ist.
@Philipp Offenbach:
Ähhm, den Zusammenhang muss man jetzt nicht wirklich verstehen, oder (hast Du Dich in der „Türe“ verirrt ?
Was wird denn bei der Lücke übertragen? Werden etwa auch verwendete PayPal Logins ausgespäht oder sind die durch die Sicherheitsmechanismen von PayPal abgesichert, da ja in der Regel die Shopsoftware den PayPal Login nicht sieht…?
Wieder so ein Posting ohne Inhalt. Was genau wird abgegriffen? Was genau ist zu befürchten? Angst machen hilft doch nicht. Das machen die Qualitätsmedien schon.
Ein super Beispiel dafür, wie Privatsphären-Schutz und IT-Probleme generell gehandhabt werden heutzutage…
„Achtung es gibt eine Sicherheitslücke, sie können sie zwar nicht erkennen und niemand tut etwas dagegen, aber seien sie vorsichtig und fallen sie nicht darauf herein.“
=D Ähhm, ja, prima.
Da müsste man mal grundlegende Gesetze schaffen um empfindliche Bußgelder verhängen zu können (bis hin zur Seitensperrung). Oder, falls bereits vorhanden, müssten die Daten an die entsprechenden Behörden zum Handeln weitergeleitet werden.
Schließlich sind die Gewerbetreibenden zum Schutz persöhnlicher Daten verpflichtet.
Wenn ein Magentoshop einen guten Betreuer hat, dürften die Patches alles installiert sein und das Problem nicht bestehen. Natürlich verführt die Tatsache, dass die Magentosoftware kostenlos downloadbar ist, manchen dazu, das zu installieren und ist nachher überfordert, die Patches einzuspielen. Was man auch selten sieht, ist dass der adminpfad umbenannt wird und dass der Downloader zusätzlich gesperrt ist. Damit sind die bruce-force-Attaken auf die Logins schon mal fast unmöglich gemacht.
Eigentlich müsste man das BSI verklagen. Wissen die Gefahr. Kennen sie und lassen dann doch die Finger davon.
Magento erkennen: im einfachsten Fall ein „/admin/“ an die Shop URL anhängen:
http://magebase.com/magento-tutorials/top-5-clues-a-store-is-running-magento/