Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor der Nutzung von Online-Shops mit der Software Magento. Kritische Sicherheitslücken in veralteten Versionen würden es möglich machen, Kundendaten während des Bestellvorgangs an Dritte weiterzuleiten, so das BSI. Das Problem existiert demnach seit Monaten und wird von vielen Online-Shops schlichtweg ignoriert.
In einer Pressemitteilung erklärt das BSI, dass der Behörde Informationen vorlägen, “nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind”. Betroffen ist laut BSI die Shop-Software Magento beziehungsweise veraltete Versionen der Software. Darin befinden sich drastische Sicherheitsmängel, die es Angreifern erlauben, nahezu jeden Code auf die dazugehörige Webseite einzuschleusen. Der fremde Code “späht dann beim Bezahlvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter”, berichtet das BSI weiter.
Sicherheitslücke für normale Benutzer nicht erkennbar
Sorgen bereiten dem BSI laut Pressemitteilung vor allen Dingen zwei Punkte: das illegale Online-Skimming, bei dem beispielsweise Kreditkarteninformationen und Rechnungsadressen abgegriffen werden, kann vom normalen Benutzer kaum selbstständig erkannt werden. Erst wenn nicht autorisierten Abbuchungen auftauchen, fällt den Betroffenen auf, dass ihre Daten missbraucht werden. Der zweite Punkt ist, dass sich die Shop-Betreiber offenbar nicht sonderlich darum bemühen, ihre Shops - selbst nach expliziter Warnung - besser zu schützen. Teilweise sei zwar der fremde Code entfernt, dafür aber die Software nicht aktualisiert worden, trotz zur Verfügung stehender Updates von Magento. In der Folge, so das BSI, sind mittlerweile mehr als 1.000 Online-Shops im deutschsprachigen Raum kompromittiert.
BSI-Präsident Arne Schönbohm fordert daher mehr Verantwortung der Shop-Betreiber. Online-Dienste müssten “ihrer Verantwortung für ihre Kunden gerecht werden” und “konsequent absichern”, so Schönbohm in der Pressemitteilung. Auf der Webseite MageReport können Verbraucher, aber auch Shop-Betreiber testen, ob ein Online-Shop potenziell unsicher ist. Derweil weist das BSI darauf hin, dass alle Webseitenbetreiber, sobald irgendwie Geld involviert ist - und sei es nur Online-Werbung - dazu verpflichtet sind, “ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen”.
Quelle: Gulli
Zuletzt bearbeitet von einem Moderator:
