Ein einfacher Trick zur Abschöpfung persönlicher Daten, insbesondere Konto- oder Kreditkarteninformationen ist seit Monaten bekannt, das Bundesamt für Sicherheit in der Informationstechnik warnte bereits im Herbst des vergangenen Jahres davor – doch getan haben viele Betreiber von Online-Shops, die mit Magento arbeiten, offenbar nichts.
Die kritische Sicherheitslücke ermöglicht das Einschleusen von eigenem Programmcode über JavaScript in Magento, einer grundsätzlich frei zugänglichen Software für Webshops. Das sogenannte Skimming, dem Abschöpfen von Kundendaten, steht dann nichts im Weg.
Die aktuelle Version von Magento wurde im November 2015 veröffentlicht. Seitdem gab es verschiedene Updates zur Verbesserung der Software, deren erste Version bereits seit 2008 verfügbar war.
Die im letzten Jahr für Magento veröffentlichten Patches zum Beheben der Lücke wurden aber trotz der Information des BSI an die Betreiber kaum von deutschen Internetshops eingespielt: Waren im Oktober 2016 unter den rund 6.000 weltweit betroffenen Systemen rund 500 Online-Shops aus dem bundesdeutschen Gebiet, so ist die Zahl bis Januar 2017 auf das Doppelte gestiegen.
Das Bundesamt für Sicherheit in der Informationstechnik hat sich nun erneut an die Öffentlichkeit und die Fachpresse gewandt, um an die Shop-Betreiber für eine Behebung der Sicherheitslücke zu appellieren.
Das BSI bietet weiterführende Informationen zum Beheben der Sicherheitslücke an, laut Telemediengesetz sind Gewerbetreibende auch bei digitalen Kaufhäusern verpflichtet, die Daten ihrer Kunden zu schützen und Sicherheitsupdates „schnell und regelmäßig“ einzuspielen.
Quelle: www.aachener-zeitung.de