Klau von Kunden- und Kontodaten: Über 1.000 deutsche Onlineshops betroffen

Stefan Bubeck
2

Haben Kriminelle unsere Daten beim letzten Einkauf in einem Onlineshop abgefangen? Gut möglich – denn weltweit sind über 6.000 Webseiten offen für Man-in-the-Middle-Angriffe. Zum Glück kann man die Sachlage selbst prüfen.

Klau von Kunden- und Kontodaten: Über 1.000 deutsche Onlineshops betroffen
Bildquelle: Pixabay

Das Computersicherheits-Ereignis- und Reaktionsteam des BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte bereits im Oktober 2016: Hunderte deutsche Onlineshops auf Basis der Software Magento sind nicht auf dem neuesten Stand. Aufgrund nicht ausgeführter Security-Patches stünden Tür und Tor für Online-Skimming offen – Kriminelle könnten unbemerkt Kreditkarteninformationen und andere Daten rund um Kunden abziehen. Die Warnung hat offenbar nichts gebracht: Die Anzahl ist mittlerweile auf über 1.000 Shops gestiegen.

Dieser Ring ersetzt Schlüssel, Passwörter und sogar Kreditkarten

Zahlungsdaten und persönliche Daten in Gefahr

„Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen“, so das BSI in einer aktuellen Pressemitteilung.

Was heißt das für uns? Ganz einfach: Unter Umständen haben Dritte Informationen abgezapft, ohne dass wir es bemerkt haben. Eigentlich sollte so etwas nicht passieren, denn gemäß Telemediengesetz (TMG, § 13 Pflichten des Diensteanbieters) sind Onlineshop-Betreiber dazu verpflichtet, ihre System zu schützen – und zwar nach dem „Stand der Technik“. Regelmäßige Sicherheitsupdates sollten also der Normalfall sein. Aber wie das nun mal so in der Praxis: Bei Umsetzung hapert es, über die Gründe kann man nur mutmaßen.

Der Sicherheitsexperte Willem de Groot hat bereits im Oktober betroffene Shop-Betreiber angeschrieben und haarsträubende Antworten erhalten: „Das kümmert uns nicht, die Zahlvorgänge wickelt ein Dienstleister für uns ab,” oder „Unser Shop ist sicher, weil wir https einsetzen.“ Geben diese Kostproben grenzenloser Naivität einen Hinweis auf die allgemeine Situation? Hoffentlich nicht.

Was man tun kann: Den Sicherheitscheck ausführen

Leider kann man nicht ohne Weiteres feststellen, ob man als Kunde betroffen ist, denn der Klau von Informationen findet in der Regel unbemerkt statt. Trotzdem kann man innerhalb von wenigen Minuten etwas mehr Klarheit schaffen. Wir empfehlen folgende Schritte:

    • Zusammenfassen: Wo habe ich in den letzten Monaten online eingekauft? Wie lauten die Webadressen der Shops?
    • Kostenlosen Sicherheitscheck durchführen: Der Service MageReport prüft Onlineshops auf Sicherheitslücken. Grüne Kästen bedeuten, alles ist ok, Orange und Rot zeigen Gefahr an – hier hat der Betreiber wichtige Updates versäumt, Angreifer könnten das ausgenutzt haben. MageReport prüft nur Shops auf Basis von Magento, alle anderen Shops lösen die Nachricht “No Magento installation found” aus. Sie sind nicht Teil der aktuellen Warnung des BSI. Hier geht es zum Security-Check.
    • Falls der Sicherheitscheck Warnungen ausgespuckt hat: Kontoaktivitäten bei der Bank genau prüfen. Gibt es ungewöhnliche Transaktionen, die ihr euch nicht erklären könnt? Selbst kleine Cent-Beträge sind ein Hinweis. Wenn ja: Umgehend Kontakt mit der Bank aufnehmen und weitere Schritte besprechen.

Mehr Informationen zu diesem Thema und was es mit Skimming auf sich hat, findet ihr hier: Online-Skimming: So schützt ihr euch vor veralteten Magento-Shops.

Anmerkung: Wir haben heute Vormittag in einer Stichprobe rund ein Dutzend deutsche Online-Shops geprüft und auf Anhieb einige Problemfälle entdeckt.
Nicht betroffen sind beliebte Anbieter wie Amazon, Cyberport, Notebooksbilliger, Arktis und Otto – denn hier ist Magento nicht im Einsatz.

Quellen: BSI, gwillem’s lab

75.874
Microsoft Edge – Der neue Browser

Hat dir "Klau von Kunden- und Kontodaten: Über 1.000 deutsche Onlineshops betroffen" von Stefan Bubeck gefallen? Schreib es uns in die Kommentare oder teile den Artikel. Wir freuen uns auf deine Meinung - und natürlich darfst du uns gerne auf Facebook, Twitter oder Google+ folgen.

Neue Artikel von GIGA TECH