Anmelden


Online-Skimming: Bei Online-Händler läuten Alarmglocken - ein Kommentar

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Woche aufgedeckt, dass mindestens 1.000 Online-Händler in Deutschland durch veraltete Shop-Software von sogenanntem Online-Skimming betroffen sind: Durch Sicherheitslücken haben potentielle Angreifer Zugriff auf hochsensible Zahlungsinformationen und persönliche Daten einer Vielzahl von Shop-Nutzern.

Dazu ein Statement von Gernot Bekk-Huber, Experte von Airlock, bei Ergon: „Die aktuellen Erkenntnisse des BSI zu den Online-Skimming Sicherheitslücken haben diese Woche bei vielen Online-Händlern die Alarmglocken läuten lassen: Die Möglichkeit für Hacker, empfindlichste Nutzerdaten wie Kreditkarteninformationen auslesen zu können, zählt wohl zu den schlimmsten Szenarien für digitale Retailer. Verantwortlich für die aktuellste Sicherheitslücke ist unter anderem die bei vielen Händlern weit verbreitete Verwendung der Shopsoftware Magento, die das Einschleusen von schädlichem Programmcode in veraltete Versionen zulässt. Im aktuellsten Release der Software sind diese Lücken und weitere Schwachstellen zwar behoben, jedoch wurde die neueste Version noch längst nicht von allen Betreibern eingespielt, wodurch immer noch ein weitreichendes Datenverlust-Risiko besteht. Eine Vielzahl der Sicherheitslücken wurden innerhalb des Open Web Application Security Projects (OWASP) schon lange definiert. Die dort aufgelisteten 10 größten Sicherheitsschwachstellen stellen gerade für Online-Shop-Betreiber eine gute Übersicht dar, welche Fallstricke im Aufbau und der Pflege von Webanwendungen existieren. Mit diesem Wissen wäre das Ausmaß der aktuellen Magento-Sicherheitslücke wahrscheinlich nicht annähernd so weitreichend.

Dass viele digitale Shop-Betreiber im generell hart umkämpften E-Commerce-Markt die Wichtigkeit der Datensicherheit ihrer Kunden oft unterschätzen, ist zwar nachvollziehbar, allerdings sollten sie sich darüber im Klaren sein, dass gestohlene Kundendaten absolut existenzbedrohende Schäden nach sich ziehen. Darüber hinaus sollte sich auch das Bewusstsein stärken, dass Online-Händler eine hohe Verantwortung bei der Absicherung von Kundendaten haben und eigentlich gesetzlich zu erhöhtem Schutz verpflichtet wären (Mindestanforderungen für Sicherheit von Internetzahlungen). Aus diesem Grund ist der Einsatz von professionellen Sicherheitslösungen wie Web Application Firewalls, am Besten in Kombination mit einer Customer IAM Lösung, sehr ratsam. Sie basieren auf dem Prinzip ‚Secure now, fix later‘ und bieten damit auch bei offenen Sicherheitslücken Schutz.“