BSI: Mehr als 1000 deutsche Online-Shops von Skimming betroffen
Das Bundesamt für Sicherheit in der Informationstechnik
Bild: dpa
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemeldung bekannt gegeben hat, sollen rund 1 000 deutsche Online-Shops von Skimming betroffen sein. Und zwar immer noch. Denn bereits im Oktober vergangenen Jahres hatte der CERT-Bund auf die Problematik aufmerksam gemacht. Zuvor hatte der Sicherheitsexperte Willem de Groot in einem Blogpost auf Sicherheitslücken in Magento-Shopssystemen aufmerksam gemacht.
500+ #Magento Online-Shops in Deutschland von Online-Skimming betroffen: https://t.co/dxde5RtHkS
CERT-Bund informiert zuständige Provider.
— CERT-Bund (@certbund) 13. Oktober 2016
Was Skimming ist
Das Bundesamt für Sicherheit in der Informationstechnik
Bild: dpa
Beim Skimming werden Kunden- oder Kontodaten von den Tätern abgegriffen. Der Begriff wurde in den vergangenen Jahren vor allem im Zusammenhang mit manipulierten Geldautomaten verwendet. Das BSI warnt jetzt genau genommen vor Online-Skimming, welches auf dem gleichen Prinzip beruht. Dabei werden durch Sicherheitslücken im Shopsystem Magento von den Tätern Kundendaten inklusive Zahlungsdaten sozusagen mitgeschnitten.
Was Magento ist
Magento ist eine beliebte Software, mit der Onlineshops realisiert werden können. Weltweit ist Magento die am meisten genutzte reine Onlineshop-Software. Grundsätzlich ist Magento nicht unsicher, aufgrund der Verbreitung aber ein beliebtes Ziel für Angriffe. Die aktuellen Sicherheitslücken würden sich aber mittels entsprechender Updates schließen lassen. Das aber scheinen inzwischen mehr als 1 000 deutsche Onlineshops nicht getan zu haben.
Geldbußen bis zu 50 000 Euro für Shopbetreiber
Genau genommen sind hier viele deutsche Shopbetreiber in Verzug. Denn das Telemediengesetz gibt vor, dass Betreiber "ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen" haben. Der CERT-Bund des BSI hat nun erneut die Netzbetreiber darüber informiert, welche Onlineshops betroffen sind und diese aufgefordert, die Shopbetreiber darüber zu informieren. Sollte ein Shopbetreiber seiner Verpflichtung nicht nachkommen und seinen Magento-Shop nicht aktualisieren, so kann das unter Umständen zu hohen Geldstrafen führen.
Auf Nachfrage erklärte uns die Pressestelle des BSI:
§ 16 Absatz 2 Nr. 3 und Absatz 3 TMG sehen für Verstöße gegen die Absicherungspflichten aus § 13 Absatz 7 TMG Geldbußen bis zu 50 000 Euro vor. Diese können von den nach jeweiligem Landesrecht zuständigen Ordnungswidrigkeitenbehörden gem. § 36 OWiG verhängt werden.
Sicherheitslücken selbst finden
Mit dem kostenlosen Online-Tool MagReport lassen sich Magento-Shops schnell und einfach auf vorhandene Sicherheitslücken prüfen. Dort könne Shopbetreiber auch prüfen, ob ein entsprechendes Update vorhanden ist oder nicht. Zudem gibt das Tool Auskunft wie gefährlich eine Sicherheitslücke ist.
Auf einer weiteren Seite haben wir für Sie Meldungen im Zusammenhang mit dem BSI zusammengefasst.