Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass bei mindestens 1.000 deutschen Online-Shops Kunden der Gefahr durch Online-Skimming ausgesetzt seien. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware aus und schleusen schädlichen Programmcode ein. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen seien Online-Shops, die die weit verbreitete Software Magento einsetzen, schreibt das BSI.
Der eingeschleuste Code und der damit verbundene Datenabfluss sind für Nutzer kaum erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen der Behörde aber keine Erkenntnisse vor.
Ein Entwickler von Sicherheitstools für Magento hatte bereits vergangenen September eine Analyse von weltweit knapp 6.000 von Online-Skimming betroffenen Online-Shops durchgeführt, darunter waren auch mehrere hundert Shops deutscher Betreiber. Aktuellen Erkenntnissen des BSI zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert ? trotz vorhandener Software-Updates, die die Webseitenbetreiber hätten durchführen müssen und die Sicherheitslücke somit hätten schließen können. "Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen", schreibt das BSI in einer Pressemitteilung. Die Behörde kritisiert, dass untätige Online-Händler somit gegen das Telemediengesetz verstoßen würden. Unternehmen sind nämlich verpflichtet, ihre IT-Systeme nach dem Stand der Technik gegen Cyberangriffe zu schützen. Beispielsweise, in dem sie regelmäßig Updates einspielen.
Softwarebilliger.de ist von der vom BSI öffentlich gemachten Sicherheitspanne nicht betroffen. Die Shopsoftware Magento kommt beim Berliner Händler von Hard- und Software nicht zum Einsatz. Sicherheitsexperten raten auch Privatanwendern, Aktualisierungen von Betriebssystemen, Anwendungen und Apps stets ohne Zeitaufschub durchzuführen und ihre Computer und Programme so einzustellen, dass Updates automatisch durchgeführt werden. So minimieren PC- und Smartphone-Nutzer Angriffe von Hackern. Zudem sollte jedes Endgerät mit Antivirenschutz ausgestattet werden. Viele IT-Sicherheitshersteller bieten so genannte Multiclient-Software an, die günstig mehrere Computer schützt. IT-Sicherheitssoftware kann im Fachhandel gekauft oder in einem Download-Portal zum sofortigen Einsatz heruntergeladen werden.