Aktuelles, Experten - geschrieben von dp am Montag, Januar 9, 2017 23:13 - noch keine Kommentare
BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen
Cyber-Kriminelle nutzen Sicherheitslücken in veralteten Versionen der Shop-Software
[datensicherheit.de, 09.01.2017] Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen nach eigenen Angaben Informationen vor, nach denen aktuell mindestens 1.000 deutsche Webshops von Online-Skimming betroffen sind. Dabei nutzten Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shop-Software, um schädlichen Programmcode einzuschleusen. Dieser spähe dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittele sie an die Täter. Betroffen seien Webshops, die auf der weit verbreiteten Software „Magento“ basieren.
Weltweit fast 6.000 betroffene Webshops identifiziert
Der eingeschleuste Code und der damit verbundene Datenabfluss sei für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten lägen dem BSI zur Zeit keine Erkenntnisse vor.
Basierend auf einer von einem Entwickler von Sicherheitstools für „Magento“ durchgeführten Analyse seien bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Webshops identifiziert worden, darunter auch mehrere Hundert deutscher Betreiber. Der CERT-Bund habe daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops benachrichtigt.
Trotz Software-Updates Sicherheitslücken offenbar nicht geschlossen
Aktuellen Erkenntnissen zufolge sei diese Infektion von vielen Betreibern bis heute jedoch nicht entfernt worden oder die Server seien erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in „Magento“ seien von den Shop-Betreibern trotz vorhandener Software-Updates offenbar nicht geschlossen worden. Dies ermögliche Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Webshops in Deutschland sei dadurch auf mindestens 1.000 angestiegen.
Das CERT-Bund des BSI habe am 9. Januar 2017 erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Webshops in ihren Netzen informiert und rufe die Provider auf, die Informationen an die Shop-Betreiber weiterzuleiten.
Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden!
„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, so BSI-Präsident Arne Schönbohm.
Die Betreiber müssten ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern. Nach § 13 Absatz 7 TMG seien Betreiber von Webshops verpflichtet, ihre Systeme nach dem Stand der
Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu sei das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fielen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies werde bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.
Betreiber von Webshops auf Basis von „Magento“ könnten mit dem kostenfreien Dienst „MageReport“ überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem würden detaillierte Informationen zu dessen Behebung bereitgestellt.
Weitere Informationen zum Thema:
CERT-Bund, 13.10.2016
500+ #Magento Online-Shops in Deutschland von Online-Skimming betroffen
Bundesamt für Sicherheit in der Informationstechnik
Absicherung von Telemediendiensten nach Stand der Technik
datensicherheit.de, 14.12.2016
Drohende Nicht-Verfügbarkeit: Endspurt für Webshops mit SHA-1-Zertifikat
datensicherheit.de, 17.11.2016
Webshops im Weihnachtsmodus: Neben Performance Datensicherheit gefordert
datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Studien - Apr. 1, 2025 13:23 - noch keine Kommentare
14. Deutscher Seniorentag 2025: DsiN-Forderung nach Stärkung Digitaler Teilhabe
weitere Beiträge in Experten
- Nur 1 von 10 Unternehmen wähnt sich in KI-Fragen als Vorreiter
- Dringender Branchenappell zum Glasfaser- und Mobilfunkausbau an Digitalministerkonferenz
- Wahrung der Grundrechte im Fokus: 109. DSK beschließt Forderungen an künftige Bundesregierung
- BGH-Urteil zu Meta-Datenschutzverstoß: Verbraucherzentrale Bundesverband gewinnt Verfahren
- World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar
Aktuelles, Branche, Studien - Apr. 1, 2025 13:39 - noch keine Kommentare
Nur 4 Länder verbesserten sich 2024: Europas Datenschutz weiter im Krisenmodus
weitere Beiträge in Branche
- Cyberresilienz: Empfehlungen für die Entscheiderebene
- PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA
- World Backup Day 2025 als Anlass für Überlegungen zu einer resilienten Datenschutzstrategie
- ICS/OT Cybersecurity Budget Report 2025: Über 50 Prozent der Befragten fühlen sich bedroht
- Threat to water supply from cyber attacks still underestimated
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren