• Webdesign, Webhosting Webdesign, Webhosting, Internet - sketch

Seit dem 09.01.2017 warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer Sicherheitslücke in veralteten Versionen der Shopsoftware Magento. In diesem Beitrag wird das Problem genauer betrachtet und beschrieben, wie man sich vor einem Hackerangriff dieser Art schützen kann.

Was ist Online-Skimming?

Beim Online-Skimming schleusen Cyber-Kriminelle schädlichen Programmcode ein. Dazu nutzen sie Sicherheitslücken veralteter Shopsoftware-Versionen. Dieser eingeschleuste Programmcode greift dann während eines Bestellvorgangs Zahlungsinformationen und Daten der Kunden ab und überträgt diese an die Täter. Für Nutzer ist der schädliche Code und somit auch der Datenklau nicht erkennbar [vgl. BSI, 2017,1].

Wer ist vom Datenklau betroffen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, dass momentan mindestens 1000 deutsche Online-Shops betroffen sind, welche die Software Magento nutzen.

Bereits im September 2016 identifizierte ein Entwickler von Sicherheitstools für Magento, dass weltweit ca. 6000 Online-Shops von Online-Skimming betroffen seien; darunter auch eine Vielzahl Shops deutscher Betreiber. Die zuständigen Netzbetreiber wurden vom CERT-Bund (Computer Emergency Response Team) informiert.

 Abbildung 1: Twitterpost [Twitter CERT-Bund (2016)]
 

Nach aktuellen Informationen sind viele Nutzer immer noch betroffen, zum einen, weil die Infektion von vielen Betreibern nicht beseitigt wurde und zum anderen erneute Angriffe auf die Server stattgefunden haben. Anscheinend konnte die Sicherheitslücke in Magento trotz vorhandener Softwareupdates nicht geschlossen werden. So ist es Cyber-Kriminellen weiterhin möglich, persönliche Daten der Kunden während des Bestellvorgangs auszuspähen. Dadurch stieg die Anzahl der betroffenen Online-Shops in Deutschland auf mindestens 1000.

Am 09.01.2017 wurden die Netzbetreiber in Deutschland über die betroffenen Online-Shops vom CERT-Bund des BSI informiert. Die Provider werden gebeten, ihre Kunden (Shop-Betreiber) über die Sachlage zu informieren [vgl. BSI, 2017,1].

Was kann man dagegen tun und wie kann diesem Angriff vorgebeugt werden?

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", so der BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Sicherheitsupdates

Regelmäßige Updates sind die grundlegendsten und wirksamsten Maßnahmen, um Angriffen dieser Art vorzubeugen. Nach § 13 Absatz 7 TMG  sind die Betreiber der Online-Shops dazu verpflichtet, Ihre Systeme nach dem Stand der Technik zur Absicherung von Telemediendiensten (herausgegeben vom BSI) abzusichern.

Diese Verpflichtung zur Absicherung gilt nicht ausschließlich für Unternehmen, sondern auch für alle anderen (geschäftsmäßigen) Betreiber von Websites. Das schließt sowohl Privatpersonen als auch Vereinswebsites ein.

Prüfung auf Sicherheitslücken

Kunden und Betreiber, deren Online-Shops auf Magento basieren, haben die Möglichkeit, online zu prüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und, ob es von aktuellen Angriffen betroffen ist. Diese Prüfung kann durch den kostenlosen Dienst von MageReport erfolgen. Dieser Dienst erkennt nicht nur, ob es eine Sicherheitslücke gibt, sondern gibt, wenn notwendig, auch eine Reihe an Informationen zur Behebung der erkannten Probleme [vgl. BSI, 2017,1].

Wartungspakete für ständige Aktualisierung

Um dem Entstehen von Sicherheitslücken vorzubeugen, ist es sinnvoll, die Website immer auf dem neusten Stand zu halten.

Wir von sketch.media bieten aus diesem Grund allen unseren Kunden Wartungspakete für deren Websites an. So müssen sie sich nicht selbst um regelmäßige Updates kümmern, sondern können sich darauf verlassen, dass immer die neueste Version einer Software verwendet wird. Einen Überblick über unsere Wartungspakete gibt es hier.

Quelle: BSI (2017): Online-Skimming: 1.000 deutsche Online-Shops betroffen. Bonn, 1.https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Skimming_09012017.html (13.01.17)

Sie haben Fragen? Nehmen Sie Kontakt mit uns auf!