Daten-Diebe schöpfen Online-Shops ab
Saarbrücken · Das Bundesamt für Sicherheit in der Informationstechnik warnt vor Daten-Klau auf Shopping-Webseiten. Weil die Betreiber ihre Programme nicht aktualisieren, hätten Kriminelle leichtes Spiel.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, dass aktuell mindestens 1000 deutsche Online-Shops von einer sogenannten Skimming-Attacke betroffen seien. Als Skimming (engl. für abschöpfen) wird ein Vorgang bezeichnet, bei dem Kriminelle beispielsweise mit Hilfe manipulierter Kartenlesegeräte Bankdaten von Kunden ausspionieren und diese anschließend für ihre Zwecke missbrauchen. Ein Sonderfall ist das sogenannte Online-Skimming. Hier verschaffen sich Hacker unbemerkt Zugang zu Webseiten , zum Beispiel Online-Shops, um an hinterlegte Karteninformationen der Nutzer zu gelangen.
Im aktuellen Fall wurden laut BSI Webseiten infiziert, die auf der weit verbreiteten Software Magento basieren. Das BSI beruft sich hierbei auf Informationen von Willem De Groot, IT-Sicherheitschef der niederländischen Software-Firma byte.nl, die für die Entwicklung von Magento verantwortlich ist. De Groot hatte die Infektion der betroffenen Seiten bereits im September 2016 bekannt gegeben und die Betreiber der Shops angehalten, ihre Software zu aktualisieren, um die Sicherheitslücken zu schließen. Das Computer Emergency Response Team für Bundesbehörden (CERT) informierte daraufhin die Netzbetreiber der betroffenen Seiten.
Laut dem Bundesamt wurden die nötigen Aktualisierungen von den meisten Anbietern jedoch bis heute immer noch nicht ausgeführt, wodurch "weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden" von Kriminellen ausgespäht werden könnten.
Nach dem deutschen Telemediengesetz (TMG) sind die Anbieter von Online-Shops verpflichtet, ihre Systeme bestmöglich gegen Angriffe zu schützen, wozu auch das regelmäßige Einspielen von Sicherheitsupdates gehöre, so das BSI. Dies gelte nicht nur für Unternehmen, sondern für alle Betreiber von Webseiten , die ein kommerzielles Interesse verfolgen. Bereits auf der Webseite geschaltete Werbebanner reichten aus, um in diese Kategorie zu fallen.
Laut BSI-Präsident Arne Schönbohm gehen die meisten Betreiber kommerzieller Webseiten mit dieser Verpflichtung allerdings nachlässig um und arbeiten mit veralteter Software . "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern", fordert Arne Schönbohm.
Das BSI verweist sowohl Nutzer als auch Anbieter von Online-Shops auf die Internetseite magereport.com, die Webseiten auflistet, deren Software veraltet ist oder die von Skimming-Attacken betroffen sind. Da Nutzer in den meisten Fällen letztlich nicht überprüfen könnten, ob ihre Bankdaten gestohlen wurden, sollten Kontoauszüge regelmäßig überprüft werden, so ein Sprecher des BSI. Falls tatsächlich Geld abgebucht würde, sollten Betroffene umgehend Strafanzeige stellen und sich mit ihrer Bank in Verbindung setzen, um eine Rückbuchung und weiterführende Sicherheitsmaßnahmen einzuleiten.
magereport.com
