Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ließ vor kurzem verlauten, dass aktuell mehr als 1000 deutsche Online-Shops vom sogenannten „Online-Skimming“ betroffen sind. Bei dieser Methode werden beim Bestellvorgang Zahlungsinformationen der Kunden ausgespäht. Betroffen sind Online-Shops, die auf der beliebten Shopsoftware Magento basieren. Ursache dafür sind veraltete Versionen und nicht installierte Sicherheitspatches. Wir zeigen Ihnen, wie Sie herausfinden, ob Ihr Shop betroffen ist und wie Sie ihn absichern können.

Veraltete Magento Software ist Schuld

Bereits im September vergangenen Jahres hat ein Entwickler von Sicherheitstools für Magento eine Anylse durchgeführt, nach der weltweit ca. 6000 Online-Shops identifiziert wurden, die von Online-Skimming betroffen sind. Darunter auch viele Shops deutscher Betreiber. Schuld ist veraltete Software, die Sicherheitslücken enthält, die schon seit langem bekannt sind.

Der CERT-Bund hat die zuständigen Netzbetreiber in Deutschland daraufhin benachrichtigt. Leider wurden die entsprechenden Sicherheitslücken bzw. Infektionen teilweise bis heute nicht von den verschiedenen Shop-Betreibern entfernt, obwohl es längst Sicherheitspatches dafür gibt. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen.

Der Shopbetreiber ist in der Pflicht

Wie in vielen anderen Fällen auch, liegt es wieder an der Nachlässigkeit vieler Shop-Betreiber, dass Kriminelle verschiedene Sicherheitslücken ausnutzen können. In der Regel werden für diese Lücken vom Hersteller zeitnah Sicherheitspatches zur Verfügung gestellt, die allerdings vom Shopbetreiber installiert werden müssen. Die Hoster können dies für Ihre Kunden selbst nicht erledigen und so bleibt ihnen am Ende nur diese darauf hinzuweisen und darum zu bitten, etwas zu unternehmen.

Wenn schon nicht im eigenen Interesse, dann wenigstens im Interesse der Kunden sollten die Shopbetreiber die verwendete Software stetig auf dem aktuellen Stand halten. Tun sie dies nicht, machen sie sich eventuell sogar strafbar. Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops nämlich verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates, so das BSI.

„Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“, erklärt BSI-Präsident Arne Schönbohm.

Dies gilt im Übrigen nicht nur für Shopbetreiber, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites, wie Blogger und andere Privatpersonen, die z.B. durch Werbung Geld einnehmen.

Das CERT-Bund des BSI hat nun erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden weiterzuleiten.

So prüfen Sie Ihren Shop auf Sicherheitslücken

Um Ihren Shop auf Sicherheitslücken zu testen, besuchen Sie die Seite MageReport. Dort geben Sie oben links die URL Ihres Shops ein und klicken anschließend auf ADD. Ihr Shop wird daraufhin gescannt und auf Schwachstellen und fehlende Sicherheitspatches geprüft. Danach erscheint auf der rechten Seite das Ergebnis in Form von farbigen Boxen.

Kritische Sicherheitsrisiken werden in rot dargestellt, weniger kritische in orange und bereits durch Updates oder Patches geschlossene Sicherheitslücken sind grün. Zu jedem Risiko wird auch eine detaillierte Beschreibung und ein Link zu weiteren Informationen mit angegeben. Sollte das Tool kritische Sicherheitslücken in Ihrem Shop entdecken, sollten Sie diese umgehend schließen, damit Angreifer diese nicht mehr für ihre Zwecke ausnutzen können.

MageReport Screenshot

Benötigen Sie Hilfe bei der Installation von Magento Updates oder Sicherheitspatches? Wir helfen Ihnen gerne weiter. Kontaktieren Sie uns unverbindlich und wir erstellen Ihnen ein Angebot.