Online-Skimming: Bereits 1.000 deutsche Magento Shops betroffen

Online-Skimming: Bereits 1.000 deutsche Magento Shops betroffen

Alle reden von Cyberkriminalität und alle wissen, dass dieses Thema auch und gerade im E-Commerce ganz besonders brisant ist. In Onlineshops wird Geld verdient und im Bezahlprozess werden sensible Daten übermittelt und in einer Datenbank gespeichert. Um an diese Informationen, zum Beispiel Kreditkartendaten von hunderten und tausenden von Kunden zu gelangen, nutzen Hacker Sicherheitslücken in Shopsystemen. Diese “Skimming” genannte Praxis ist mittlerweile für mindestens 1.000 betroffene Magento Shops in Deutschland ein schwerwiegendes Problem. Die zuständige Bundesbehörde hat nun öffentlich moniert, dass viele Online-Händler ihre Shops und damit die Daten ihrer Kunden unzureichend schützen und sie an ihre gesetzlich vorgeschriebenen Pflichten erinnert.

Was genau ist Skimming?

Beim sogenannten “Online-Skimming” oder “Skimming” wird durch das Einschleusen von Schadsoftware ein vertraulicher Datenfluss angezapft. Auf diesem Wege können Kriminelle völlig unbemerkt beispielsweise an Passwörter von Nutzern einer Website oder an Kreditkarteninformationen von Kunden eines Onlineshops gelangen. Die erbeuteten Daten werden von den Angreifern entweder weiterverkauft oder direkt für nicht-autorisierte Abbuchungen und Einkäufe genutzt.

Wie groß ist das Problem?

Online-Skimming stellt im E-Commerce ein großes Problem dar, das die Branche noch immer nicht in den Griff bekommt. Im Gegenteil: in letzter Zeit häufen sich die Berichte über betroffene Onlineshops und ihre geschädigten Kunden zusehends.

Besonders häufig von Skimming betroffen sind Magento Shops, was wir bereits in einem Blog-Beitrag zum Magento Security-Patch SUPEE-8788 thematisiert haben. Immerhin ist Magento die weltweit verbreitetste Shopsoftware und damit aus Sicht der Hacker das lukrativste Angriffsziel. Bereits im dritten Quartal 2016 wurden weltweit 6.000 betroffene Onlineshops auf der Basis von Magento festgestellt. Und für Deutschland lässt sich feststellen, dass das Problem seither mit besorgniserregender Geschwindigkeit größer wird. Während im Oktober vergangenen Jahres in einem Tweet des CERT-Bund noch von mehr als 500 vom Online-Skimming betroffenen Magento Shops in Deutschland die Rede war, weiß das BSI nun – gerade einmal drei Monate später – mit mindestens 1.000 schon von ungefähr doppelt so vielen Fällen zu berichten. Während die Branche auf das Weihnachtsgeschäft konzentriert war, konnten Angreifer hunderte neue Shops infizieren und auch bereits zuvor angezapfte Magento Installationen ausgiebig weiter für den Diebstahl sensibler Daten nutzen. Damit erreicht das Problem Online-Skimming in Deutschland ein Ausmaß, das die zuständige Bundesbehörde auf den Plan ruft.

Was steht in der Pressemitteilung des BSI zum Thema Skimming?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner Pressemitteilung darauf aufmerksam gemacht, dass trotz der Benachrichtigung der zuständigen Netzbetreiber über betroffene Magento Onlineshops durch das Computer Emergency Response Team (CERT) des Bundes zahlreiche Shops auch nach mehreren Monaten noch immer oder schon wieder von Online-Skimming betroffen sind, während im selben Zeitraum eine bedenkliche Zahl von neu infizierten Shops hinzugekommen ist. Zugleich weist das BSI deutlich darauf hin, dass Shopbetreiber in der Pflicht sind, entsprechende Schadsoftware aus ihren Systemen zu entfernen und dafür Sorge zu tragen, ihre Shops durch das Einspielen aller verfügbaren sicherheitsrelevanten Updates stets auf dem aktuellen Stand zu halten, damit bekannte Schwachstellen jeweils umgehend geschlossen werden.

Arne Schönbohm, Präsident des BSI, moniert, “dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln”, indem sie ihre Software nicht aktuell halten, wie es in § 13 Absatz 7 des Telemediengesetzes vorgeschrieben ist, und fordert, Online-Händler sollten “ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.”

Wie stellt man fest, ob der eigene Shop von Skimming betroffen ist?

Skimming funktioniert mithilfe von in den Shop eingeschleuster Malware. Wer überprüfen will, ob sein Magento Shop betroffen ist, muss ihn daher auf Malware untersuchen. Was dafür unternommen werden muss, haben wir bereits vor zwei Monaten in einem How-to zum Bekämpfen von Malware in Magento erklärt.

Was kann man gegen Skimming tun?

Wer feststellt, dass der eigene Onlineshop von Malware befallen ist und Shop-Kunden bereits Opfer von Datendiebstahl aus einer Skimming-Attacke geworden sind, findet in unserem How-to ebenfalls eine Hilfestellung für die ersten Schritte im Kampf gegen die Datendiebe. An dieser Stelle ist jedoch ausdrücklich zu betonen: Zwar ist es absolut unerlässlich, umgehend und entschlossen gegen Malware vorzugehen, die womöglich schon länger ihr Unwesen treibt – aber es reicht bei weitem nicht aus, gegen Skimming erst dann vorzugehen, wenn Angreifer bereits dabei sind, Daten aus dem Shop abzuschöpfen. Gegen Cyberkriminalität muss konsequent präventiv vorgegangen werden. Und das ist nur möglich, wenn Shopbetreiber ihrer gesetzlich festgeschriebenen Pflicht für das Einspielen aller sicherheitsrelevanten Updates nachkommen.

In einem Satz

Aufgrund von nicht rechtzeitig eingespielten Sicherheitsupdates sind inzwischen mindestens 1.000 Magento Onlineshops in Deutschland von Skimming betroffen, was das BSI veranlasst hat, Shopbetreiber an ihre gesetzlichen Pflichten sowie die Verantwortung für die Daten ihrer Kunden zu erinnern und zum Handeln aufzurufen.

Zum Thema:
Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.

      Carsten Stech

      Carsten Stech

      0431 3947 9900

      DSGVO konform

      Wir erfüllen die EU-Datenschutz-Grundverordnung (DSGVO) und garantieren Serverstandorte in Deutschland mit ISO 27001 Zertifizierung.