Mindestens 1.000 Onlineshops sind von Online-Skimming betroffen. Kriminelle haben den Onlineshop mit Schadsoftware infiziert und erhalten so die Zahlungsdaten ahnungsloser Kunden. Wir erklären, was es damit auf sich hat und wie Sie sich beim Einkauf im Internet überhaupt noch schützen können.
Es ist erschreckend. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat mitgeteilt, dass mindestens 1.000 deutsche Onlineshops von Online-Skimming-Attacken betroffen sind. Dabei handelt es sich um Angriffe krimineller Banden, die Sicherheitslücken in der Software der Onlineshops ausnutzen. Sie schleusen einen schädlichen Programmcode ein. Dieser sendet während des Bestellvorgangs in dem eigentlich seriösen Onlineshop die Zahlungsdaten der Verbraucher an Betrüger.
Das große Problem: Der Kunde und oft auch der Betreiber des betroffenen Onlineshops bekommen von all dem nichts mit. Im Gegenteil, der Käufer wiegt sich in Sicherheit, da er in einem seriösen Onlineshop einkauft.
Wie kommt es zu der enormen Sicherheitslücke in Onlineshops?
Betroffen ist die Onlineshop-Software Magento. Für diese wurde bereits im September 2016 eine Sicherheitsanalyse mit beängstigenden Ergebnissen durchgeführt. Damals wurden weltweit über 6.000 infizierte Onlineshops identifiziert. Davon wurden mehrere hundert Shops von deutschen Unternehmen betrieben.
Obwohl CERT-Bund des BSI die zuständigen Netzbetreiber der Onlineshops über die Sicherheitslücke benachrichtigte, ist das Ausmaß der Infektionen ein Vierteljahr später noch größer. Das BSI informiert, dass nach aktuellen Erkenntnissen die Infektionen von vielen Onlineshop-Betreibern bis heute nicht entfernt oder die Server erneut infiziert wurden. Deshalb ist die Zahl der in Deutschland infizierten Onlineshops auf mindestens 1.000 angestiegen.
Die zuständigen deutschen Netzbetreiber wurden vom BSI erneut über die Sicherheitslücke in Kenntnis gesetzt. Das BSI bittet die Provider, die zuständigen Onlineshop-Betreiber zu informieren. Dazu erklärt der BSI-Präsident Arne Schönbohm:
Webseiten-Betreiber sind gesetzlich verpflichtet, ihre Bestellsysteme und Webseiten nach dem aktuellen Stand der Technik vor Angriffen zu schützen. Dazu gehört in erster Linie die Verwendung aktueller Softwareversionen durch das Einspielen von Sicherheitsupdates. Das wurde in den betreffenden Onlineshops offensichtlich versäumt.
Welche Daten werden konkret gestohlen?
Bei der Ausnutzung einer Sicherheitslücke in den Magento-Onlineshops werden die Daten während des Bestellprozesses ausgespäht und an Betrüger weitergeleitet. Zu den erspähten Daten können neben den eigentlichen Zahlungsdaten wie der Bankverbindung oder Kreditkartennummer des Kunden auch diverse persönliche Daten gehören. Beispielsweise gelangen die Kriminellen unter Umständen auch an die E-Mail-Adresse, den Namen, Adresse und das Geburtsdatum des Kunden, wenn diese im Rahmen des Bestellprozesses eingegeben werden.
Was kann passieren, wenn die Daten ausgespäht werden?
Die Bandbreite der möglichen Straftaten mit diesen sehr sensiblen und vertraulichen Daten ist sehr groß. Einerseits können diese Daten von Kriminellen zu Geld gemacht werden, indem die Daten an andere Betrüger verkauft werden. Das hat zur Folge, dass die Daten betroffener Kunden unkontrolliert und dauerhaft im Untergrund des Internets öffentlich zugänglich sind.
In der Folge können die Zahlungsdaten von Betrügern beispielsweise für einen Einkauf im Internet auf Kosten des Kunden genutzt werden. Denkbar ist auch, dass es massiv zu Identitätsmissbrauch kommen könnte. Wir haben in der Vergangenheit bereits über Datenmissbrauch in Zusammenhang mit der Eröffnung von Fakeshops berichtet.
Wie kann man sich vor diesem Betrug überhaupt noch schützen?
In erster Linie sind natürlich die Onlineshop-Betreiber gefordert. Diese sollten eine Software einsetzen, die optimal vor Manipulationen geschützt ist. Außerdem sollten die Shop-Betreiber die regelmäßigen Sicherheitsupdates installieren.
Allerdings kann der Kunde nicht überprüfen, ob der Onlineshop seinen gesetzlichen Pflichten nachkommt. Ein effektiver Schutz vor dem Diebstahl der persönlichen Daten ist nahezu unmöglich, da diese bei der Bestellung eingegeben werden müssen, um die Ware zu erhalten. Wir raten zu absoluter Datensparsamkeit. Geben Sie nur die Daten ein, die unbedingt nötig sind. In Bezug auf die Zahlungsdaten sollten Verbraucher mittlerweile darüber nachdenken, ein spezielles Konto oder eine separate Kreditkarte für den Einkauf im Internet zu nutzen. Diese sollte nur das für Einkäufe benötigte Guthaben enthalten. Somit ist im Falle eines Missbrauchs der Schaden begrenzt.
- Die Sicherheitslücke ist gefährlich und kann jeden Verbraucher treffen.
- Die Mehrzahl der deutschen Onlineshops ist von dieser Sicherheitslücke nicht betroffen.
- Achten Sie beim Einkauf auf die Aktualität der Webseiten. Erwecken diese den Eindruck, dass diese nicht mehr gepflegt sind, lassen Sie die Hände davon.
- Gehen Sie sparsam mit Ihren Daten um. Geben Sie nur ein, was unbedingt nötig ist.
- Verwenden Sie gegebenenfalls ein separates Konto für Onlineeinkäufe.
- Denken Sie über die Verwendung einer Prepaid-Kreditkarte nach, um den Schaden bei Missbrauch zu begrenzen.
- Denken Sie bei Bestellungen immer auch an Fakeshops und beachten Sie unseren Ratgeber für die Erkennung von Fakeshops.
Nicht unerwähnt sollte an dieser Stelle bleiben, dass die Sicherheitslücke nur einen sehr kleinen Teil der deutschen Onlineshops betrifft. Die meisten Webshops sind nach wie vor sicher.
Was halten Sie von dieser Sicherheitslücke in Onlineshops?
Ihre Meinung ist gefragt. Was halten Sie von diesem Datendiebstahl und haben Sie weitere Tipps für unsere Leser, wie diese sich schützen können? Diskutieren Sie mit unseren Lesern über die Kommentare unter dem Artikel und machen Sie mit Ihren Ideen den Onlineeinkauf etwas sicherer.
(Quelle: Bundesamt für Sicherheit in der Informationstechnik)