Skimming: Mindestens 1.000 deutsche Online-Shops infiziert

Daniel Kurbjuhn
63 Kommentare
Skimming: Mindestens 1.000 deutsche Online-Shops infiziert
Bild: Robbert Noordzij | CC BY 2.0

Bei über 1.000 deutschen Online-Shops auf Basis der verbreiteten Shop-Software Magento klaffen erhebliche Sicherheitslücken. Diese werden nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) aktiv ausgenutzt, um Kundendaten beim Bestellvorgang abzugreifen.

Veraltete Software öffnet Türen

Magento kommt bei zahlreichen Händlern noch in einer veralteten Version zum Einsatz. Diese weist erhebliche Sicherheitslücken auf, so dass Kriminelle hier JavaScript-Code einschleusen können. Dieser Schadcode ermöglicht es, die persönlichen Daten der Kunden beim Bestellvorgang abzugreifen. So gelangen die Kriminellen vor allem an personenbezogene Daten, Bankinformationen und Passwörter.

Ein solcher Angriff ist jedoch kein Einzelfall, denn allein in Deutschland sind nach Angaben des BSI mindestens 1.000 Shops betroffen. Dabei sind die Schwachpunkte bereits lange bekannt. So informierte der niederländische Sicherheitsexperte Willem de Groot bereits Mitte Oktober über die Problematik, wobei er weltweit fast 6.000 infizierte Shops ausfindig machte. Der CERT-Bund des BSI bat daraufhin die Provider, ihre Kunden über die Problematik zu informieren.

Geholfen hat dies bislang jedoch nicht, denn die Zahl der infizierten Shops sinkt nicht etwa, sondern ist seit Oktober weiter gestiegen. Dabei ist nicht auszuschließen, dass die Betreiber nach einer Infizierung eine neue Instanz von Magento eingespielt haben, diese aber im Anschluss aufgrund der weiterhin bestehenden Sicherheitsproblematik erneut infiziert wurde.

Tool deckt Schwachstellen und Skimming-Code auf

Dabei kann bereits ein kleines Online-Tool Abhilfe schaffen und deckt Schwachstellen und installierten Schadcode auf. Zudem zeigt das Tool MageReport auch an, wie die entsprechende Sicherheitsproblematik behoben werden kann. Dies gilt nicht nur für die Problematik der JavaScript-Skimmer, sondern auch für weitere Schwachstellen in der Magento-Installation, die insbesondere in älteren Versionen der Software zu finden sind.

Dabei sind Shop-Betreiber grundsätzlich dazu angehalten, alle vorhandenen Updates und Sicherheitspatches zu installieren. Das BSI verweist in diesem Zusammenhang auf § 13 Absatz 7 des Telemediengesetzes, der ausdrücklich besagt, dass kommerzielle Betreiber von Websites dazu verpflichtet sind, „ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen“. Dabei wird eine kommerzielle Verwendung meist bereits dann angenommen, wenn auf der Website ein Werbebanner angezeigt wird.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!