Kundendaten in Gefahr: Schwere Sicherheitslücke in über 1.000 deutschen Online-Shops

Betreiber von Online-Shops, die auf veraltete Versionen der Shop-Software Magento setzen, mussten spätestens seit September 2016 eine schwere Sicherheitslücke schließen, die Kundendaten in Gefahr bringen kann. Darauf wies damals ein Hersteller für Sicherheits-Tools hin – mehrere Hundert Shops waren zu der Zeit betroffen, allein in Deutschland. Weltweit waren es über 6.000 Websites. Mittlerweile ist die Zahl hierzulande auf mindestens 1.000 Shops gestiegen, meldet das BSI (Bundesamt für Sicherheit in der Informationstechnik) in einer aktuellen Mitteilung. Betreiber hätten nicht reagiert oder Shops sich erneut infiziert.

Cyberkriminelle haben eine Sicherheitslücke in veralteten Versionen von Magento ausgenutzt. Sie richteten Schädlinge auf den Servern der Shops ein, die Kundendaten bei einem Bestellvorgang abfangen und an die Kriminellen schicken können. Dies nennt sich Online-Skimming und beschreibt einen typischen Man-in-the-Middle-Angriff, bei dem sich zwischen zwei Kommunikationspartnern (ein Shop und sein Kunde) unauffällig ein Dritter einschleicht (der Schädling). Für den Kunden ist ein solcher Angriff nicht zu erkennen.

Laut BSI​ sei unbekannt, ob und in welchem Umfang Kundendaten ausgelesen und weitergegeben wurden. "Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten"", sagt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Welche Shops betroffen sind und welche nicht, verrät das BSI nicht. Shop-Betreiber können auf der kostenfreien Website MageReport​ feststellen, ob ihr Magento-Shop vom aktuellen Skimming-Fall betroffen ist. Zeitlose Sicherheits-Tipps fürs Online-Shopping​ gibt es in einem separaten Artikel auf connect-living.de.