BSI warnt vor gehackten Magento-Onlineshops

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gehackten Onlineshops. 1.000 deutsche Shops sollen betroffen sein, heißt es. Über Sicherheitslücken in der Shopsoftware platzieren Hacker schädlichen Code. Als Folge davon werden Kunden dieses Shops auf Seiten geleitet, auf der sie Zahldaten wie Kreditkartendaten eingeben sollen. Die Betrüger belasten die Karte, liefern die Ware natürlich nicht.

Diese Betrugsmasche, die auch als Skimming bekannt ist, wird umso leichter, je älter die Shopsoftware ist. Konkret benannt wurde Magento. Ältere Versionen waren besonders betroffen. Echte Shops wurden zu Fake-Shops umfunktioniert. Der Abfluss der Daten war für die Betreiber der Shops zunächst gar nicht ersichtlich. Die Schadcodes arbeiten so, dass die Sichtbarkeit der Skimming-Seiten für den Betreiber gezielt unterdrückt wird, also etwa eine Weiterleitung nur bei Zugriffen mit Referrer aus Suchmaschinen aktiv ist. Lediglich seltsam anmutende Kundenanfragen können darauf hindeuten, dass sich das System anders als gedacht verhält.
Nach einer entsprechenden Analyse von Shops im Herbst des vergangenen Jahres informierte das BSI die Provider der Shopbetreiber, um diese zu warnen, damit sie für Abhilfe  sorgen können. Allerdings, so heißt es vom BSI, seien die Shopbetreiber tendenziell nachlässig, was die Umsetzung der Empfehlungen angeht: „Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt Arne Schönbohm, Präsident des BSI. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“
Wenn bei goneo entsprechende Warnmitteilungen eingehen, werden wir diese unverzüglich an den entsprechenden Kontakt weiterleiten. Aber auch wenn man als Shopbetreiber nichts entsprechendes hört, sollte man sich nicht in falscher Sicherheit wiegen. Das Problem wurde vielleicht einfach noch nicht entdeckt.
Betreiber von Online-Shops seien nach dem Telemediengesetz (Paragraph 13 Absatz 7) verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Das BSI betrachtet das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates als eine grundlegende und wirksame Maßnahme. Als Empfehlung nennt das BSI den Onlinedienst MageReport (https://www.magereport.com/). Nach Eingabe der Shop-URL scannt der Service Magento-Shops auf bekannte Sicherheitslücken. Dabei wird versucht, die Version der eingesetzten Magento-Version zu identifizieren. Daraufhin lässt sich auf bekannte Sicherheitslücken und eventuell fehlende Patches schließen. Wie die Identifikation funktioniert, ist auf Github offengelegt (https://github.com/gwillem/magento-version-identification).
Zwar ist Magento in der BSI-Warnung explizit erwähnt, sicher auch weil es eines der meistgenutzten, wenn die die meistgenutzte Open-Source-Shopanwendung ist. Die geschilderten Probleme kann es grundsätzlich aber auch mit anderen Anwendungen geben. Je älter und unaktueller die eingesetzte Anwendung ist, desto größer erscheint das Risiko, da bekannt gewordene Sicherheitslücken dann eben oft noch offen stehen. Daher raten auch wir, möglichst die aktuellste Version einer Anwendung zu nutzen, Templates und Erweiterungen stets auf dem aktuellen Stand zu halten, verfügbare Patches sofort zu nutzen, neue und als „supported“ benannte PHP-Versionen einzusetzen (PHP 5.6 oder 7.0 zum jetzigen Stand) und lieber auf Erweiterungen zu verzichten, wenn diese von den Entwicklern nicht mehr unterstützt werden.