Magento: Viele Shops immer noch offen für Skimming

Gestern hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Mitteilung erklärt, dass mindestens 1000 Onlineshops in Deutschland von Skimming betroffen seien. Kriminelle hätten Lücken in veralteten Versionen der Shop-Software genutzt, um Malware einzuschleusen. Diese habe beim Bestellvorgang die Zahlungsinformationen aufgezeichnet und an die Täter übermittelt. Betroffen seien Online-Shops, die auf der populären Software Magento basieren.
 
Bereits im September hatten Entwickler eines Sicherheitstools für Magento eine Meldung veröffentlicht, dass man weltweit rund 6000 Shops identifiziert habe, die von Skimming betroffen seien. Viele Shop-Betrieber hätten die bekannte Sicherheitslücke nicht geschlossen, obwohl ein entsprechendes Softwareupdate zur Verfügungen stehe, schreibt das BSI.
 
In der Schweiz
Im März 2015 hatten Mitarbeiter der Melde- und Analysestelle Informationssicherung (Melani) in einem Blogeintrag geschrieben, dass in der Schweiz über 1100 magentobasierte Webshops eine kritische Lücke aufweisen würden. Auf Anfrage von inside-it.ch gab Melani nun bekannt, dass man zwar in den letzten Wochen einzelne Meldungen von Schweizer Webshop-Betreibern erhalten habe, wieviele Shops aber betroffen seien, könne man nicht abschätzen. Da die Software vor allem von kleineren Shops genutzt würde, sei Melani nicht die richtige Ansprechpartnerin. Das Bundesamt für Polizei (Fedpol), das in der Schweiz die Anlaufstelle für Cyberkriminalität ist, erklärte am Telefon, dass man bislang keine Meldungen erhalten habe.
 
Schweizer Magento-Integratoren gaben an, dass auch hierzulande die Disziplin beim Patchen nicht sehr hoch ist. Ein Hacking-Fall war den Angefragten allerdings nicht bekannt. Es wäre aber verwunderlich, wenn die Shop-Betrieber in der Schweiz wesentlich zuverlässiger ihre Lücken geschlossen hätten, als ihre deutschen Kollegen. Dazu kommt, dass der Datenklau oftmals gar nicht bekannt wird.
 
Mit dem kostenlosen Dienst MageReport kann man überprüfen, ob ein Shop-System bekannte Sicherheitslücken aufweist. (Thomas Schwendener)