BSI informiert: über 1000 deutsche Online-Shops betroffen
Es sollen laut BSI über 1000 deutsche Online-Shops sein, die Angriffen von Online-Kriminellen ausgesetzt sind, wie heise.de dazu berichtete. Betroffen sind Shop-Betreiber, die die Online-Shop-Software-Magento in veralteten und akut angreifbaren Versionen einsetzen.
Dort gibt es kritische Sicherheitslücken, die es den Angreifern ermöglichen, schädlichen Programmcode in die Shops einzuschleusen. Es ist ein Code mit Skimming-Funktion, der unbemerkt vom Kunden, während der Bestellung, die eingegebenen Kundendaten und Zahlungsinformationen an die Täter übermittelt.
Weltweit 6000 Shops infiziert
Die weltweite Verbreitung dieser Problematik wurde bereits im Oktober des vergangenen Jahres bekannt, wie heise.de unter Berufung auf den niederländischen Sicherheitsexperten Willem de Groot berichtete. De Groot entdeckte in einer umfangreichen Untersuchung von hunderttausenden von Magento-Shops, dass darunter etwa 6000 infiziert waren, darunter allein 500 in Deutschland.
In Anbetracht der brisanten Problematik wurde durch das CERT-Bund des BSI veranlasst, dass die zuständigen Provider die betroffenen Kunden über das Problem informieren sollten. Das geschah offensichtlich ohne Erfolg, denn das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Information an ihre Kunden (Shop-Betreiber) weiterzuleiten.
Dazu erklärte BSI-Präsident Arne Schönbohm im Rahmen der Pressemitteilung:
"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten"
"Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."
Shop-Absicherung ist eine Pflicht
Dazu heißt es vom BSI:
Nach § 13 Absatz 7 TMG Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.
Sicherheitscheck
Das BSI weist in diesem Zusammenhang ebenfalls daraufhin, dass Betreiber von Online-Shops selbst ihren Sicherheitsstatus prüfen können. Möglich ist das mit dem kostenfreien Dienst MageReport. Damit kann festgestellt werden ob das Shop-System Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.
