Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor, dass Online-Shop-Betreiber, die noch eine veraltete Version der weit verbreiteten „Magento“ Software nutzen, derzeitOpfer von Skimming-Angriffen sind. Laut dem BSI sind mindestens 1.000 Online-Shops von solchen Angriffen betroffen. Daher sind die Betreiber dazu aufgerufen, dringende Softwareupdates durchzuführen oder andere Maßnahmen zur Absicherung ihrer Online-Shops zu ergreifen.
Ursprung des Skimmings
Bei Skimming handelt es sich ursprünglich um Kredit- oder EC-Kartenbetrug, bei dem der Angreifer die Kartendaten des Opfers ausliest. Dies wird durch die Manipulation von z.B. Bargeldautomaten erreicht, indem das Kartenlesegerät und der numerische Block des Automaten durch Geräte des Angreifers ersetzt werden. Dadurch wird es dem Angreifer ermöglicht, sowohl über den Magnetstreifen der Kredit- oder EC-Karte an Daten zu gelangen, gleichzeitig aber auch an den PIN der jeweiligen Karte. Die technische Umsetzung, wie die Daten erlangt werden, variiert.
Bei Online Skimming wird der Datendiebstahl rein virtuell vorgenommen. Hierzu bedienen sich die Angreifer z.B. an Online-Shops und deren Bezahlsystem. Wenn der Kunde seine Zahlungsinformationen eingibt, fließen diese Daten direkt an den Angreifer. Um die benötigten Daten zu bekommen, muss der Angreifer, wie auch beim regulären Skimming, einen Weg finden, wie er die Daten abgreifen kann. Dies wird in der Regel über Schadsoftware erreicht, die in den jeweiligen Systemen der Online-Shops platziert wird. Da es eine Vielzahl solcher Shops im Internet gibt, ist es Angreifern ein Leichtes nach Webseiten zu suchen die Sicherheitslücken aufweisen, um darin Schadsoftware zu platzieren.
Gefahrenlage
Bereits im Oktober 2016 wurde durch einen Entwickler für Sicherheitstools festgestellt, dass weltweit ca. 6.000 Online-Shops mit Schadsoftware infiziert waren, die für Online-Skimming-Angriffe ausgelegt wurde. Die Betreiber der betroffenen Online-Shops wurden über die Schadsoftware informiert, jedoch wurden die Sicherheitslücken nur unzureichend behoben. Daher können auch weiterhin bei den betroffenen Online-Shops Zahlungsdaten und persönliche Daten der Käufer abgefangen und weiterverwendet werden.
Verstoß gegen § 13 Abs. 7 TMG. Betreiber einer Website, mit der dauerhaft Einnahmen generiert werden, müssen stets den Sicherheitsstandards entsprechen, die dem „aktuellen Stand der Technik berücksichtigen“. Um überprüfen zu können, ob die eigene Website, die mit der „Magento“ Software betrieben wird aktuell betroffen ist, wird ein kostenfreier Dienst zur Verfügung gestellt.
Quelle:
