Achtung Online-Skimming: 1000 deutsche Online-Shops betroffen
Wie das Bundesamt für Sicherheit (BSI) berichtete wurden über 1.000 deutsche Online-Shops von Kriminellen manipuliert, sodass Kundendaten und Zahlungsinformationen während des Bestellvorgangs an diese abflossen. Hat sich der Diensteanbieter nicht ausreichend gegen solche Eingriffe geschützt, drohen nun Bußgelder.
Die Pressemitteilung des BSI
Wie das BSI am 09.01.2017 in einer Pressemitteilung berichtet hat, sind aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen. Um an die entsprechenden Daten heranzukommen, nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware Magento und schleusen einen schädlichen Programmcode ein. Dieser Code späht dann beim Bestellvorgang persönliche Daten, wie etwa Zahlungsinformationen der Kunden, aus und übermittelt diese anschließend an die Täter. Der Datenabfluss ist dabei für Nutzer üblicherweise nicht erkennbar.
Bereits im September des vergangenen Jahres führte ein Entwickler von Sicherheitstools für Magento eine Analyse durch, welche aufzeigte, dass weltweit knapp 6.000 Online-Shops – davon ca. 100 deutsche Shops – von Online-Skimming betroffen sind. Obwohl der CERT-Bund bereits damals die betroffenen deutschen Shops zu einer entsprechenden Änderung ihres Systems aufforderte, wurden die ausgenutzten Sicherheitslücken, trotz vorhandener Softwareupdates, von vielen Betreibern noch nicht geschlossen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist seither auf mindestens 1.000 angestiegen. Über den genauen Umfang der erbeuteten Daten liegen dem BSI aktuell jedoch keine Erkenntnisse vor.
Abschließend weist das BSI noch darauf hin, dass gemäß § 13 Abs. 7 TMG Betreiber von Online-Shops dazu verpflichtet seien, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu sei das regelmäßige Einspielen von verfügbaren Sicherheitsupdates.
Die Gesetzeslage und dadurch drohende Bußgelder
Die relevanten Pflichten finden sich in § 13 Abs. 7 TMG. Danach werden Diensteanbieter vor allem dazu verpflichtet, sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist.
Darüber hinaus muss der Diensteanbieter auch sicherstellen, dass seine Telemedienangebote gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Wer seine Systeme nicht ausreichend schützt, begeht eine Ordnungswidrigkeit, die nach § 16 TMG mit einer Geldbuße in Höhe von bis zu €50.000 geahndet werden kann. Eben diese Strafe drohe nach Angaben des BSI nun einige Online-Shops.
In seiner Pressemitteilung weist das BSI explizit auf die Verpflichtungen aus § 13 Abs. 7 TMG hin und verdeutlicht, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt (etwa Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen).
Was ist zu tun?
Online-Händler sollten dringend ihre Systeme überprüfen. Betreiber von Online-Shops auf Basis von Magento können hierzu den kostenfreien Dienst MageReport nutzen und damit überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Diese sollten dann so schnell wie möglich ausgebessert werden. Zudem sollten stets die aktuellen Sicherheitsupdates eingespielt werden.
Eine gute Möglichkeit die Sicherheit von Daten zu gewährleisten stellt die Umstellung der Webseite auf eine “https” dar.