BSI warnt vor Online-Skimming

Betreiber von Online-Shops sind gesetzlich zum Schutz ihrer Systeme verpflichtet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist aktuell in einer Pressemitteilung darauf hin, dass in Deutschland weiterhin mehr als 1.000 Online-Shops, die mit veralteten Versionen der Shop-Software „Magento“ betrieben werden, Ziel von Hackerangriffen sind. Die Angreifer nutzen Sicherheitslücken der Shop-Software aus, um JavaSkript-Code mit Skimming-Funktionen in die Systeme einzuschleusen. Mit der Schadsoftware werden sodann die Zahlungsinformationen der Kunden im Bestellvorgang ausgespäht und an die Angreifer weitergeleitet.

Bereits im September 2016 wurden weltweit knapp 6.000 von Online-Skimming betroffene Shops identifiziert. Das CERT-Bund hatte daraufhin die zuständigen Netzbetreiber gebeten, die betroffenen Online-Shops zu benachrichtigen. Nach aktuellen Erkenntnissen des BSI haben viele Shop-Betreiber die Sicherheitslücke jedoch trotz vorhandener Softwareupdates von Magento bislang nicht geschlossen.

Shop-Betreiber sollten berücksichtigen, dass § 13 Abs. 7 des Telemediengesetzes (TMG) in der Fassung vom 17.07.2015 die Betreiber von Online-Shops dazu verpflichtet, ihre Systeme im Rahmen des Zumutbaren nach dem Stand der Technik durch technische und organisatorische Vorkehrungen gegen Angriffe abzusichern. Dies erfordert jedenfalls das Einspielen verfügbarer Sicherheitsupdates.

Wer einen Online-Shop mit der Magento-Software betreibt, kann mit dem Online-Tool https://www.magereport.com prüfen, ob das eigene System mit der aktuellen Skimming-Software infiziert ist.

Eine Übersicht mit Empfehlungen zur Absicherung von Telemediendiensten nach dem Stand der Technik stellt das BSI zum Download bereit unter: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_125.pdf;jsessionid=61E9340A6D9ECE50C5FCC02C6C1D4D82.2_cid341?__blob=publicationFile&v=5

Quelle: Pressemitteilung des BSI vom 09.01.2017