Sicherheitslücke

BSI: Mehr als 1000 deutsche Online-Shops von Skimming betroffen

Noch immer weisen laut einer Presse­meldung des BSI viele deutsche Online­shops eklatante Sicher­heits­mängel auf. Dabei ließen sich die Sicher­heits­lücken durch ein Update der Onlineshop-Software beheben.
Von David Rist

Das Bundesamt für Sicherheit in der Informationstechnik. Das Bundesamt für Sicherheit in der Informationstechnik
Bild: dpa Wie das Bundes­amt für Sicher­heit in der Informations­technik (BSI) in einer Presse­meldung bekannt gegeben hat, sollen rund 1 000 deutsche Online-Shops von Skimming betroffen sein. Und zwar immer noch. Denn bereits im Oktober vergangenen Jahres hatte der CERT-Bund auf die Problematik aufmerksam gemacht. Zuvor hatte der Sicher­heits­experte Willem de Groot in einem Blog­post auf Sicher­heits­lücken in Magento-Shops­systemen aufmerksam gemacht.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen exter­nen Inhalt von X/Twitter, der den Artikel ergänzt und von der Redak­tion emp­fohlen wird. Sie können ihn sich mit einem Klick anzei­gen lassen und wieder aus­blenden.
Ich bin damit einver­standen, dass mir externe Inhalte ange­zeigt werden. Damit können personen­bezogene Daten an Dritt­plattformen übermittelt werden. Mehr dazu in unserer Daten­schutz­erklärung.
CERT steht für Computer­sicherheits-Ereignis- und Reaktions­team. Der CERT-Bund wurde 2001 vom BSI gegründet und bietet entsprechende Informationen sowie Lösungs­ansätze.

Was Skimming ist

Das Bundesamt für Sicherheit in der Informationstechnik. Das Bundesamt für Sicherheit in der Informationstechnik
Bild: dpa Beim Skimming werden Kunden- oder Konto­daten von den Tätern abgegriffen. Der Begriff wurde in den vergangenen Jahren vor allem im Zusammen­hang mit manipulierten Geld­automaten verwendet. Das BSI warnt jetzt genau genommen vor Online-Skimming, welches auf dem gleichen Prinzip beruht. Dabei werden durch Sicher­heits­lücken im Shop­system Magento von den Tätern Kunden­daten inklusive Zahlungs­daten sozusagen mitgeschnitten.

Was Magento ist

Magento ist eine beliebte Soft­ware, mit der Online­shops realisiert werden können. Welt­weit ist Magento die am meisten genutzte reine Onlineshop-Software. Grund­sätzlich ist Magento nicht unsicher, aufgrund der Verbreitung aber ein beliebtes Ziel für Angriffe. Die aktuellen Sicher­heits­lücken würden sich aber mittels entsprechender Updates schließen lassen. Das aber scheinen inzwischen mehr als 1 000 deutsche Online­shops nicht getan zu haben.

Geldbußen bis zu 50 000 Euro für Shopbetreiber

Genau genommen sind hier viele deutsche Shop­betreiber in Verzug. Denn das Tele­medien­gesetz gibt vor, dass Betreiber "ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen" haben. Der CERT-Bund des BSI hat nun erneut die Netz­betreiber darüber informiert, welche Online­shops betroffen sind und diese aufgefordert, die Shop­betreiber darüber zu informieren. Sollte ein Shop­betreiber seiner Verpflichtung nicht nachkommen und seinen Magento-Shop nicht aktualisieren, so kann das unter Umständen zu hohen Geldstrafen führen.

Auf Nachfrage erklärte uns die Pressestelle des BSI:

§ 16 Absatz 2 Nr. 3 und Absatz 3 TMG sehen für Verstöße gegen die Absicherungs­pflichten aus § 13 Absatz 7 TMG Geld­bußen bis zu 50 000 Euro vor. Diese können von den nach jeweiligem Landes­recht zuständigen Ordnungs­widrigkeiten­behörden gem. § 36 OWiG verhängt werden.

Sicher­heits­lücken selbst finden

Mit dem kostenlosen Online-Tool MagReport lassen sich Magento-Shops schnell und einfach auf vorhandene Sicher­heits­lücken prüfen. Dort könne Shop­betreiber auch prüfen, ob ein entsprechendes Update vorhanden ist oder nicht. Zudem gibt das Tool Auskunft wie gefährlich eine Sicher­heits­lücke ist.

Auf einer weiteren Seite haben wir für Sie Meldungen im Zusammenhang mit dem BSI zusammen­gefasst.

Mehr zum Thema Telefon- und Online-Betrug