Unsichere Magento-Version: Mehr als 1.000 deutsche Online-Shops manipuliert

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben Cyberkriminelle mehr als 1.000 deutsche Online-Shops infiltriert und greifen Kundendaten sowie Zahlungsinformationen ab.

(Foto: sheelamohanachandran - Fotolia)

Bereits im vergangenen Sommer hatte ein Entwickler von Sicherheitstools für Magento gewarnt, weltweit seien mehr als 6.000 Shops über veraltete Versionen der Shop-Software gekapert worden, darunter auch mehrere hundert deutsche. CERT-Bund, das Notfall-Team des BSI, benachrichtigte daraufhin die Provider und bat, die betroffenen Shop-Betreiber zu informieren. Passiert ist seitdem nicht viel – viele Shops wurden nicht bereinigt oder erneut infiziert.

Mittlerweile ist die Zahl der infizierten Shops laut dem BSI sogar auf mindestens 1.000 angestiegen. Und das, obwohl längst neuere Magento-Versionen bereitstehen, in denen die Sicherheitslücken geschlossen sind. Über diese konnten die Angreifer eigenen Code einschleusen, der bei Bestellungen die persönlichen Daten der Nutzer und die Zahlungsinformationen abgreift und weiterleitet.

»Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten«, bilanziert BSI-Präsident Arne Schönbohm. »Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.«

Über den kostenlosen Service MageReport können Shop-Betreiber prüfen, ob ihr System bekannte Sicherheitslücken aufweist und von den Angriffen betroffen ist. Zudem weist das BSI darauf hin, dass Shop-Betreiber – sowie alle anderen geschäftsmäßigen Betreiber von Websites auch – nach dem Telemediengesetz (§ 13 Absatz 7) dazu verpflichtet sind, ihre Systeme »nach dem Stand der Technik« gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu sei das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates, so das BSI.

Die Behörde hat erneut die zuständigen Provider informiert, damit diese die Informationen an die betroffenen Shop-Betreiber weiterleiten.