Derzeit greifen Cyber-Kriminelle zahlreiche Online-Shops an und erbeuten dabei zahlungsrelevante Kundendaten. Betroffen sind vor allem solche Angebote, die auf einer bestimmten, mittlerweile veralteten Shop-Software basieren. Obwohl es für diese Software längst Sicherheitsupdates gibt, lassen viele Betreiber die Lücken ungeschlossen und gefährden damit die Kundendaten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor Attacken auf Kundendaten bei vielen deutschen Online-Shops.
- Cyber-Gangster nutzen dabei Sicherheitslücken einer populären Shop-Software (Magento) aus
- und können darüber sogar die sensiblen Zahlungsinformationen während des Bestellvorgangs auslesen.
Auch Kundendaten vieler deutscher Shops sind betroffen
Im Herbst letzten Jahres wurden weltweit bereits rund 6.000 von dieser Sicherheitslücke betroffene Shops registriert, darunter auch mehrere hundert Online-Shops deutscher Betreiber. Diese wurden daraufhin vom CERT-Bund darüber informiert und zum Aufspielen aktueller Sicherheitspatches aufgefordert, mit denen die Schwachstellen der Software geschlossen werden können.
Warnungen werden oftmals ignoriert
Doch diese Hinweise scheinen nicht in dem erhofften Maße gefruchtet zu haben, denn nach neuesten Zahlen hat sich die Zahl der betroffenen Internet-Shops hierzulande nicht verringert, sondern ist im Gegenteil sogar noch deutlich angestiegen und liegt derzeit nach Schätzungen bei mindestens 1.000.
- Viele Shop-Betreiber haben demnach die Infektion mit Schadsoftware nicht behoben
- oder die Systeme wurden zwischenzeitlich wieder kompromittiert,
- was durch die vorhandenen Sicherheitsupdates hätte verhindert werden können.
Zudem gibt es einen kostenfreien Dienst (https://www.magereport.com/), bei dem Nutzer von Magento-Shopsoftware überprüfen können, ob ihr System die Sicherheitslücken aufweist.
Anbieter sind gesetzlich in der Pflicht
Aufgrund der beträchtlichen Risiken hat der CERT-Bund des BSI daher jetzt erneut die jeweils zuständigen Netzbetreiber zu den betroffenen Online-Shops informiert und bittet diese, die Hinweise an die Shop-Betreiber weiterzuleiten.
Nach § 17 Absatz 7 Telemediengesetz sind Betreiber von Online Shop verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe abzusichern.
Dazu gehört in jedem Fall auch das regelmäßige und rasche Aufspielen von angebotenen Sicherheitsupdates.
Shop-Betreiber müssen ihre Kunden schützen
Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern“, forderte BSI-Präsident Arne Schönbohm angesichts der Nachlässigkeit vieler Shop-Betreiber.
Alle Website-Betreiber müssen ihre Angebote sichern
Das BSI weist explizit darauf hin, dass diese Pflicht zur Absicherung nicht nur für Unternehmen gilt, sondern auch für alle anderen geschäftsmäßigen Website-Betreiber.
Hierzu gehören beispielsweise Vereine oder Privatpersonen, wenn mit den Webseiten dauerhaft Einnahmen generiert werden sollen. Dies ist etwa schon dann der Fall, wenn auf den Seiten bezahlte Werbung in Form von Werbe-Bannern platziert ist.
Weitere News zum Thema:
Höhere Sicherheitsanforderungen im Internet
Hintergrundwissen
Auch das IT-Sicherheitsgesetz verpflichtet Betreiber von Webservern z. B. für Online-Shops die eigenen IT-Systeme nach Stand der Technik und Kundendaten nach erhöhten Anforderungen schützen.