Online-Skimming: So schützt ihr euch vor veralteten Magento-Shops
Aktuell warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Online-Skimming bei über 1.000 deutschen Online-Händlern. Weltweit sollen sogar über 6.000 Online-Shops betroffen sein, welche durch veraltete Sicherheitstools für die Shop-Software Magento die Zahlungsdaten ihrer Kunden in Gefahr bringen. Wie ihr kontrollieren könnt, ob sich die nötigen Sicherheitstools auf dem aktuellen Stand befinden, erfahrt ihr hier.
Online-Skimming: So kontrolliert ihr die Magento-Software
Um nicht Gefahr zu laufen, dass die beim Bestellvorgang übermittelten Zahlungsinformationen von Cyber-Kriminellen abgegriffen werden, solltet ihr Online-Shops, welche Magento verwenden, vorher auf Sicherheitslücken überprüfen. Dabei geht ihr wie folgt vor:
- Geht auf die Seite MageReport.com
- Gebt im Textfeld (links) bei „Enter shop URL“ die Adresse des Online-Shops ein.
- Klickt anschließend auf die Schaltfläche ADD.
- MageReport scannt nun den jeweiligen Online-Shop nach der verwendeten Magento-Software und deren Patches.
- Anschließend bekommt ihr einen ausführlichen Report über die verwendete Software und das ausgewertete Gefahren-Level.
- Sollte die Gefahr aufgrund von fehlenden Security-Patches „Hoch“ sein, solltet ihr bei dem jeweiligen Shop aktuell besser nicht bestellen und den Seitenbetreiber auf die Missstände hinweisen.
Wenn MageReport euch die Benachrichtigung „Error checking Online-Shop-XY“ anzeigt, verwendet der jeweilige Shop mit hoher Wahrscheinlichkeit nicht die Magento-Software. Das bedeutet im Umkehrschluss jedoch nicht, dass die Shop-Software des jeweiligen Online-Händlers vor Online-Skimming gefeit sein muss.
Was ist Online-Skimming?
Skimming bedeutet übersetzt „abgreifen“ bzw. „abschöpfen“ und beschreibt im Online-Handel einen sogenannten Man-in-the-middle-Angriff. Das bedeutet, dass sich Betrüger Sicherheitslücken bei Online-Shops zu nutze machen, um die Zahlungsdaten von Kunden auszuspähen.
Sobald eine Sicherheitslücke gefunden wird, sollten die Shops deshalb einen Patch installieren, der diese Lücke „stopft“. Das Absichern des Online-Shops ist in Deutschland für Unternehmen sowie andere geschäftsmäßig betriebene Webseiten und Privatpersonen sogar Pflicht, wie der BSI in seiner Mitteilung zur aktuellen Problematik nochmals ermahnt:
Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
