News

Magento-Lücke: Bei über 1.000 deutschen Online-Shops klauen Kriminelle deine Daten

(Grafik: Shutterstock)

Seit Monaten kopieren Kriminelle laut BSI sensible Kundendaten aus Hunderten deutschen Online-Shops – und viele Betreiber bleiben untätig. Ein Online-Check zeigt, ob ein Shop betroffen ist.

Online-Shops: Lücken in Magento

Schon vor etwa einem Jahr wurde eine schwerwiegende Sicherheitslücke in dem Open-Source-Shopsystem Magento bekannt, von der Millionen von E-Commerce-Websites bedroht sein sollen. Im Oktober hatte ein niederländischer Sicherheitsexperte weltweit fast 6.000 Shops gefunden, in die Angreifer Javascript-Code mit Skimming-Funktion geschleust hatten. Dadurch ist es den Kriminellen möglich, bei einem Bestellvorgang an die sensiblen Daten der Kunden, inklusive der Zahlungsinformationen, zu gelangen.

Diese Datenklau-Masche, das sogenannte Online-Skimming, wird mittlerweile bei über 1.000 deutschen Online-Shops aktiv genutzt. Bei diesen sei der entsprechende Schadcode nachgewiesen worden, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Nachfrage von t3n mit. „Die Anzahl der deutschen Shops, die die entsprechende Sicherheitslücke aufweisen, kann gar nicht bemessen werden und dürfte noch wesentlich höher sein“, sagte der BSI-Sprecher.

Tool untersucht Online-Shops auf Sicherheitslücken und gibt Tipps zur Behebung. (Screenshot: BSI/Twitter)

Tool untersucht Online-Shops auf Sicherheitslücken und gibt Tipps zur Behebung. (Screenshot: BSI/Twitter)

Dem BSI zufolge wurden schon im Herbst die zuständigen Hosting-Provider in Deutschland zu betroffenen Online-Shops informiert. Viele Betreiber hätten die Infektion aber bis heute nicht entfernt, die Magento-Sicherheitslücken trotz vorhandener Software-Updates nicht geschlossen. „Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm.

Allerdings, so betont das BSI, sind Betreiber von Online-Shops dazu verpflichtet, ihre Systeme so gut wie möglich gegen Angriffe zu schützen. Dazu gehört auch das regelmäßige Einspielen von Updates. Neben E-Commerce-Betreibern gilt diese Regelung laut BSI auch für Website-Betreiber wie Blogger, die mit ihrer Seite regelmäßige Einnahmen, etwa über Bannerwerbung, generieren.

Check-Tool für Betreiber von Online-Shops

Wer einen auf Magento basierenden Online-Shop betreibt, kann mit dem kostenlos online zur Verfügung stehenden Tool Magereport überprüfen, ob das eigene Angebot eine Sicherheitslücke aufweist und von den Skimming-Angriffen betroffen ist. Wird ein Problem erkannt, stellt Magereport Informationen zur Behebung bereit. Magento-Anbieter Hypernode hat schon vor einem Jahr unter dem Titel „How to fix malicious JavaScript Credit card Hijack?“ eine entsprechende Anleitung zum Schutz vor Kreditkartendatenklau zur Verfügung gestellt.

via www.heise.de

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung