1000 unsichere Onlineshops
Bei mindestens tausend deutschen Onlineshops können Cyber- Gangster die Bank- und Kreditkartendaten der Kunden während eines Einkaufs stehlen.
DAS BUNDESAMT für Sicherheit in der Informationstechnik (BSI) warnt: Mindestens 1000 deutsche Onlineshops sollen derzeit unsicher sein. Die Onlineshops verwenden veraltete Versionen der Onlineshop-Software Magento ( https://magento.com). In dieser alten Magento-Version stecken Sicherheitslücken, die Angreifer ausnutzen können, um ihren Schadcode in das Content-Management-System einzuschleusen. Danach können die Cyber-Gangster die über den Onlineshop getätigten Bestellvorgänge ausspähen und die Bank- beziehungsweise Kreditkartendaten der Kunden abgreifen. Somit erhalten die Kriminellen auch den Sicherheitscode (Card Validation Code, CVC) von Kreditkarten.
Onlineskimming
Das Abgreifen von EC-Kartendaten an einem Bankautomaten nennt man Skimming. Den nun bekannt gewordenen Datendiebstahl über Webshops nennen Experten analog dazu Onlineskimming. Dazu bringen die Kriminellen feindlichen Code auf den Server des Onlineshops. Normalerweise stehlen sie dann ausschließlich die Daten aus der Kundendatenbank des Shops. Beim Onlineskimming überträgt der feindliche Code die Daten aber während des Bestellvorgangs ab, weshalb die die Kriminellen auch an den CVC von Kreditkarten gelangen. Dieser wird üblicherweise nicht in der Datenbank von Onlineshops gespeichert. Hat der Dieb aber auch diesen Code, kann er deutlich einfacher von der betroffenen Kreditkarte Geld stehlen. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI derzeit keine Erkenntnisse vor. Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6000 von Onlineskimming betroffene Onlineshops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. Das CERT-Bund benachrichtigte daraufhin die betroffenen Onlineshops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Besonders ärgerlich: Die von den Angreifern genutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorliegender Softwareupdates offenbar nicht geschlossen. So prüfen Shops ihre Software: Betreiber von Onlineshops auf Basis von Magento können mit dem kostenfreien Dienst Magereport ( www. magereport.com) sehr einfach überprüfen, ob ihr Shopsystem bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt, verspricht das BSI.
Schutz für den Anwender
Beim Onlineshopping haben Sie als Käufer leider keine Möglichkeit zu erkennen, ob ein Shop sicher ist oder nicht. PC-WELT hat deshalb mit dem Sicherheitsexperten Willem de Groot ( https://gwillem.gitlab.io) gesprochen, der bereits im Oktober 2016 davor gewarnt hat, dass weltweit tausende Onlineshops mit Onlineskimming-Schadcode verseucht sind. Betroffen sind auch Shops, die nicht mit Magento laufen, sondern etwa mit Opencart. Wir wollten wissen, ob der Bezahlvorgang wenigstens dann sicher ist, wenn der Shop Paypal nutzt. Bei diesem System wird der Käufer zur Bezahlung auf die Website von Paypal geleitet. Nach Einschätzung des Sicherheitsexperten kann das Paypal-System sicher sein, da es aber auch verseuchte Shops gibt, die die Weiterleitung zu Paypal nur vortäuschen, sei darauf also kein Verlass. Auf der sicheren Seite sind Sie nur, wenn Sie etwa die Rechnung des Shops per Paypal über die Paypal-Website bezahlen. Das entspricht dann aber einer Bezahlung per Vorkasse und muss mit dem Shop-Betreiber speziell vereinbart werden. Unkomplizierter scheint da eine Bezahlung per Banküberweisung und Vorkasse, wenn der Shop das anbietet und die Daten des Bankkontos plausibel erscheinen. Sollte der Shop eine Zahlung per Rechnung erlauben, sind Sie am besten dran.