Den Namen Magento kennen vermutlich nur Shopbetreiber und Experten des Online-Marketings. Dabei handelt es sich um ein Content-Management-System für Online-Shops, das in Deutschland sehr verbreitet ist. Wie andere Systeme müssen Webmaster Magento jedoch pflegen und stets aktuelle Sicherheitsupdates einspielen. Dass dies nicht immer geschieht, geht aus einer Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Demnach existieren mindestens 1.000 Shops, auf denen ein eingeschleuster gefährlicher Schadenscode die Bankverbindungen von Kunden auslesen kann. Kunden laufen damit Gefahr, dass ihre Daten durch dieses Online-Skimming missbraucht werden und sie Geld verlieren.
BSI warnt vor Skimming auf Shops mit nicht aktueller Magento-Software
Das BSI warnt nachdrücklich vor infizierten Magento-Shops. Die Behörde weist zudem darauf hin, dass die betroffenen Händler über die Lücke informiert wurden. Leider seien viele Betreiber von Online-Shops auf Basis von Magento der Warnung nicht nachgekommen und haben bisher ihre Shops nicht abgesichert. Dabei wäre das technisch einfach, denn Magento bietet ein Updatepaket an, das die Sicherheitslücke schließt. Damit begeben sich die Händler in eine rechtlich schwierige Situation. Sie lassen nicht nur ihre meistens arglosen Kunden mit dem Skimming-Problem allein, sondern machen sich auch strafbar. Denn nach Telemediengesetz (§13 abs. 7) haben sie die Pflicht, Sicherheitslücken zu beheben.
Gefahr für Kunden durch Online-Skimming
Kunden, die auf verseuchten Shops einkaufen, unterliegen der sehr großen Gefahr, dass ihre Zahlungsdaten ausgelesen werden. Das funktioniert ähnlich wie bei präparierten Bankautomaten. Der Kunde gibt seine Zahlungsdaten ein, diese werden jedoch direkt inklusive PIN oder Sicherheitscode der Kreditkarte über ein eingeschleustes Programmskript an die Kriminellen weitergeleitet. Diese nutzen die Daten dann für sich aus. Gestohlene Kreditkartennummern werden zum Beispiel für gutes Geld im Darknet verkauft. Werden Kunden Opfer, ist es schwer, das Geld zurückzubekommen. Noch schwerer ist es, an die Verbrecher zu kommen, da diese meistens im Ausland sitzen.
Wie wurde Online-Skimming in Magento-Shops entdeckt
Ein Sicherheitsexperte entdeckte die Lücke in der Magento-Software bereits 2015. Er informierte daraufhin über verschiedene Kanäle die Betroffenen. Diese zeigten sich meisten arglos und handlungsunwillig. Daher stieg die Zahl der infizierten Webshops auf nach letztem Stand fast 6.000 weltweit. Tendenz: weiter steigend. Unter den Opfern waren anfangs auch Prominente wie eine Audi-Tochter, die Sängerin Björk oder die Regierung von Malaysia. Es ist jedoch davon auszugehen, dass alle bekannteren Shops die Lücke inzwischen geschlossen haben. Anders dürfte es bei kleinen Shops in Produktnischen oder im Hobbybereich aussehen. Käufer können vor einem Einkauf die die Gefahr durch diese Sicherheitslücke selbst prüfen, indem sie auf einer eigens eingerichteten Prüfungsseite die Shop-Domain eingeben. Damit gehen sie sicher, dass sie kein Opfer dieses Online-Skimmings werden.
Mehr Informationen
- Im Internet einkaufen – Sicher handeln
- Sicherheit im Internet – Datenhandel & Computerkrankheiten
- Gratis Antivirus Programme – Vergleich
Hinterlasse jetzt einen Kommentar