16. Januar 2017 - Anwendungssicherheit

Fehlende Security-Updates: Shop-System wird zum Einfallstor

Hunderte von Online-Shops, die veraltete Versionen der Shop-Software der Magento Inc. einsetzen, sind von Datendiebstählen betroffen. Die Angreifer machten sich schon lange bekannte Sicherheitslücken zunutze.

Alte Sicherheitslücken in Magento-Shop-Software Viele Betreiber von Online-Shops, die auf der Software von Magento basieren, haben Warnhinweise zu Sicherheitsrisiken ignoriert (Bild: pressureUA / iStock / Thinkstock)

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, sind aktuell mindestens 1.000 deutsche Online-Shops der Gefahr erfolgreicher Skimming-Angriffe ausgesetzt. Dabei kopieren Angreifer bei den Bestellvorgängen die Daten der Zahlungsinformationen von Kunden, um diese später für illegale Geldgeschäfte zu missbrauchen.

Fehlende Updates ermöglichen Datendiebstahl

Die Angriffe sind über eine Sicherheitslücke möglich, die eigentlich schon längst geschlossen sein sollte. Bereits im September 2016 wurden Netzbetreiber in Deutschland in Kenntnis gesetzt, dass in alten Versionen der Magento-Software eine ausnutzbare Schwachstelle vorliegt. Daraufhin erfolgte eine Benachrichtigung der betroffenen Shop-Betreiber.

Allerdings haben viele Shop-Besitzer die erforderlichen Aktualisierungen und Änderungen nicht vorgenommen, sodass weiterhin Angriffe möglich sind.

Erneute Benachrichtigung

Das Computer Emergency Response Team (CERT) des BSI hat nun erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, diese Warnung an ihre Kunden (Shop-Betreiber) weiterzuleiten.

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, so BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“

Online-Überprüfung möglich

Kunden und Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Service MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist.

Zu jedem erkannten Problem stellt MageReport detaillierte Informationen zu dessen Behebung bereit.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln