Laptop
Feb 2, 2017 // NACHRICHTEN

Sicherheitslücke: BSI warnt vor Angriffen auf Kundendaten in Onlineshops

Durch sogenanntes Skimming erbeuten Cyber-Kriminelle bei Angriffen auf Onlineshops derzeit zahlungsrelevante Kundendaten. In Deutschland sind nach Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bislang mindestens 1000 Onlineshops betroffen, die auf einer mittlerweile veralteten Version der verbreiteten Software Magento basieren. Offenbar haben viele Shopbetreiber die Sicherheitslücken trotz vorhandener Updates noch nicht geschlossen.

Bei ihren Attacken schleusen Cyber-Kriminelle über eine Sicherheitslücke in der Shopsoftware schädlichen Programmcode ein. Dieser Code späht die Zahlungsinformationen der Kunden beim Bestellvorgang aus und übermittelt sie an die Täter. Für die Shopnutzer ist dies üblicherweise nicht erkennbar.

Warnungen werden oft ignoriert

Bereits im September 2016 waren weltweit knapp 6000 von Skimming betroffene Onlineshops identifiziert worden, darunter auch mehrere hundert Shops deutscher Betreiber. Das BSI informierte daraufhin die Netzprovider zu betroffenen Shops. Wie die Behörde nun mitteilte, bestehen die bekannten Sicherheitslücken jedoch trotz inzwischen vorhandener Updates in vielen Shops fort. Zahlreiche Onlineshops haben ihre Software offenbar nicht aktualisiert, so dass weiterhin Kundendaten ausgespäht werden können. Die Anzahl betroffener Shops in Deutschland ist dadurch auf mindestens 1000 angestiegen.

Website-Betreiber sind zum Schutz von Kundendaten verpflichtet

Das BSI weist in diesem Zusammenhang darauf hin, dass Betreiber von Onlineshops nach § 13 Absatz 7 TMG dazu verpflichtet sind, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern", erklärt BSI-Präsident Arne Schönbohm. Eine grundlegende und wirksame Maßnahme sei das rasche Einspielen von verfügbaren Sicherheitsupdates.

Die Verpflichtung zur Absicherung von Systemen gilt aber nicht nur für Onlineshop-Betreiber, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites. Hierzu zählen Privatpersonen und Vereine, die mit ihren Websites dauerhaft Einnahmen generieren. Dies ist beispielsweise dann der Fall, wenn auf den Seiten bezahlte Banner-Werbung platziert ist.

Kostenfreier Check der Shopsoftware

Kunden und Betreiber von Magento-Shopsoftware können über den kostenfreien Dienst MageReport überprüfen, ob ihr Shopsystem bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Der Dienst stellt zu jedem erkannten Problem Informationen zu dessen Behebung bereit.

Bildnachweis:Prykhodov - iStockfoto