Sicherheitslücken beim Skimming beachten!

Online-Shops sind verpflichtet zur Schließung der Sicherheitslücke beim Skimming Die vielen Kunden von mehr als tausend deutschen Online-Shops könnten zu Opfern des sogenannten "Skimming" geworden sein und das, obwohl die Shop-Betreiber schon im Oktober 2016 informiert waren, dass es jene Sicherheitslücke gab.

Laut Mitteilung des BSI (Bundesamt für Sicherheit in der Informationstechnik) vom 09.01.2017 sind 1.000 deutsche Online-Shops vom Online-"Skimming" betroffen. Der Begriff kommt natürlich aus dem Englischen und meint den Diebstahl von Kreditkartendaten. Wer an solche vollständigen Datensätze herankommt, kann gefälschte Kreditkarten herstellen und damit beliebig Geld abheben. Diese perfide Methode funktioniert beim Online-Skimming ebenso gut und einfach wie direkt und physikalisch an den Geldautomaten.

Die Kriminellen nutzen hierbei mehrere Sicherheitslücken in den verschiedenen Software-Modulen von Online-Shops, die aber aus heutiger Sicht schon arg veraltet sind. Das Modul "Magento" ist dafür ein gutes Beispiel. Es bietet den Kriminellen bei wenig Aufwand Einblick in alle Zahlungsinformationen der Kunden. Der Kartendiebstahl läuft in der virtuellen Welt fast genauso wie im echten Leben ab.

Erst aufspüren, dann vollständig beheben
Die Sicherheitslücke wurde durch den niederländischen Sicherheitsexperten Willem de Groot aufgedeckt. Schon im Oktober 2016 veröffentlichte de Groot eine lange Liste der betroffenen Online-Shops. Darüber hinaus stellte er auch eine Anleitung zur Verfügung, die aufzeigte, wie Shop-Betreiber ihre Seiten auf Schadsoftware prüfen können. Zu diesem Zweck wurde ein spezieller sogenannter "Malware Scanner" entwickelt. Für eine erste schnelle Nothilfe im Falle der "Infizierung" wird eine Anleitung zur (groben) Entfernung der Schadsoftware mitgeliefert. Falls der Scan schädliche Software nachweist, rät de Groot dringend dazu, das Problem vollständig durch professionelle IT-Spezialisten beziehungsweise IT-Firmen beheben zu lassen.

Die Shop-Betreiber stehen in der Verpflichtung
Das ist natürlich nicht ganz billig und aus diesem Grunde haben viele Shop-Betreiber das Problem auf die lange Bank geschoben, entweder sie konnten sich die notwendigen Maßnahmen nicht leisten oder sie wollten es nicht. Dabei nimmt die Bedrohung durch die Online-Kriminalität für uns alle immer mehr zu. Der erste "Skimming"-Fall wurde im Jahr 2015 aufgedeckt und seither steigt die Zahl der Fälle weltweit ständig an. Es gibt inzwischen viele recht unterschiedliche Varianten dieser Schadsoftware, woraus geschlossen werden kann, dass es bereits mehrere Gruppen von Kriminellen gibt, die sich auf diese lukrative Art des Betrugs spezialisiert haben. Man darf hier durchaus auch von organisierter Kriminalität sprechen, denn weltweit sind circa 6.000 Online-Shops von dieser Form des Datendiebstahls betroffen.

Das BSI weist in seiner Pressemitteilung explizit darauf hin, dass für die Online-Shops die gesetzliche Verpflichtung besteht, alle Angriffe gegen ihre Hard- und Software nach dem neuesten Stand der Technik zu schützen.

Die Verbraucher gehen in gutem Glauben davon aus, dass ihr Online-Händler alle notwendigen Maßnahmen für den effektiven Schutz ihrer sensiblen Kundendaten ergreift und sich diesbezüglich technisch ständig weiterentwickelt. In diesem Sinne argumentiert auch Verbraucherschutz-Staatssekretär Gerd Billen, der erwartet, dass alle betroffenen Unternehmen die Sicherheitslücken umgehend schließen.

Online-Shop-Betreiber können ihre Seiten kostenlos überprüfen lassen
Matthias Gärtner ist Pressesprecher beim BSI. Er rät allen Kunden dazu, ihre Kontobewegungen möglichst täglich zu kontrollieren. Wir dürfen auch nicht vergessen, dass in dieser kriminellen Szene mit sensiblen Daten gehandelt wird. Manchmal vergehen Monate bis zur ersten Geldabbuchung, nachdem die Daten zum ersten Mal in ungefugte Hände kamen.

Wer als Betreiber eines Online-Shops unsicher darüber ist, ob seine Seiten möglicherweise auch betroffen sein könnten, dem sei dazu geraten, den kostenlosen Dienst "MageReport" in Anspruch zu nehmen. Dort schreibt man lediglich seine URL in die Eingabemaske und schon startet die Überprüfung dahin gehend, ob der Webshop von einem Datendiebstahl betroffen ist.

https://www.magereport.com/

John Steer ist dort "Chief of Information Security, Magento" und er eröffnet die erste Seite seines Dienstes mit diesem Hinweis:
"MageReport.com is a great community resource which lets clients run tests on their website and gives an instant overview of which patches have not been applied or where there is uncertainty."

Auch alle Kunden, die feststellen, dass ein bestimmter Online-Shop zum Opfer von Skimming-Aktivitäten geworden ist, sind dazu aufgefordert, zwei wichtige Schritte einzuleiten:
  1. Zunächst muss der Betreiber des Shops umgehend informiert werden, denn es ist durchaus möglich, dass dieser von seiner Sicherheitslücke noch gar nichts mitbekommen hat. Nur so ist er in der Lage, so früh wie möglich aktiv Gegenmaßnahmen einzuleiten.
  2. Um den Datendiebstahl offiziell anzuzeigen, sollte der Kunde zugleich auch eine Strafanzeige stellen, die den Online-Händler in den Zugzwang bringt, schnell zu handeln.
Empfehlungen für die Kunden
Es hat sich bewährt, lediglich die unbedingten Pflichtfelder auszufüllen, die meistens mit einem kleinen Asterix extra gekennzeichnet sind. Der Kunde ist gut beraten, auf alle freiwilligen Angaben zu verzichten, damit sein Datensatz so schmal wie irgend möglich ist, wenn es zu einem Diebstahl kommt. Darüber hinaus ist es dem Kunden sehr zu empfehlen, das Impressum des Shops und die Allgemeinen Geschäftsbedingungen (AGB) zu lesen. Eine "https"-Kennzeichnung in der URL des Online-Shops weist darauf hin, dass in diesem Fall eine verschlüsselte Verbindung aufgebaut wird. (https = HyperText Transfer Protocol Secure).

Sicherheitszertifikate werden für einen Online-Shop beispielsweise vom TÜV vergeben. Diese verifizieren lediglich die reale Existenz des Shops sowie des Betreibers und auch die Seriosität seiner Bestellprozesse, sie haben aber gar nichts mit der Sicherheit der Kundendaten zu tun. Deshalb empfehlen wir die Nutzung eines oder mehrerer Online-Bezahlsysteme wie PayPal, da der Kunde an dieser relativ sicheren Stelle einmalig seine Daten hinterlegt, der Online-Shop kann so direkt auf das Geld zugreifen und braucht keine weiteren Kontodaten des Kunden.

Artikel teilen

 

 

 

Beliebt

TOS Änderungen Amazon

Klartext Teil 2

Die besten Großhändleradressen

3000€ am Tag mit Amazon & Ebay

Eigene Brands entwickeln

Neue gesetzliche Regeln

 

 

Melde dich zum Newsletter an

Dir gefällt Marktplatzhändler? Unterstütze uns und like unsere Seite oder schreib etwas bei Facebook. Das freut uns und hilft uns zudem tierisch bei unserer Motivation :)