Über 1000 Magento-Onlineshops infiziert und angezapft

Über 1000 deutsche Online-Shops infiziert und angezapft

Ronald Eikenberg

Bei über tausend deutschen Online-Shops ziehen Kriminelle jetzt gerade Kundendaten und Zahlungsinformationen ab – und das zum Teil schon seit Monaten. Laut BSI ignorieren viele Shop-Betreiber das Problem.

Über tausend deutsche Online-Shops wurden laut BSI-Informationen so manipuliert, dass Kundendaten und Zahlungsinformationen beim Bestellvorgang an Online-Kriminelle weitergeleitet werden. Betroffen sind Shop-Betreiber, welche die Online-Shop-Software-Magento in veralteten und akut angreifbaren Versionen einsetzen: Darin klaffen kritische Sicherheitslücken, durch die Angreifer beliebigen Code in die Shops einschleusen können.

Beispiel für den eingeschleusten Skimming-Code
Beispiel für den eingeschleusten Skimming-Code Vergrößern
Bild: Willem de Groot
Und das tun sie auch: Laut Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben Angreifer in über 1000 deutsche Webshops so JavaScript-Code mit Skimming-Funktion eingebunden. Während des Bestellvorgangs leitet der Code die eingegebenen Kundendaten einschließlich Zahlungsinformationen an die Täter weiter.

Shop-Betreiber wurden im Oktober informiert

Bereits im Oktober wurden die Ausmaße des Problems bekannt, nachdem der niederländische Sicherheitsexperte Willem de Groot hunderttausende Magento-Shops auf die Infektion hin untersucht und seine Ergebnisse veröffentlicht hatte. Er stieß weltweit auf fast 6000 infizierte Shops, darunter über 500 aus Deutschland. Das CERT-Bund des BSI bat daraufhin die zuständigen Provider darum, die betroffenen Kunden über das akute Problem zu informieren.

Leider fruchtete diese Maßnahme offensichtlich nicht: Die Zahl der betroffenen deutschen Shops hat seitdem stark zugenommen. Darunter befinden sich viele, die das CERT-Bund im Oktober kontaktiert hatte. "Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen", erklärt das BSI in seiner Pressemitteilung.

Online-Check findet Skimmer

Der Online-Dienst MageReport spürt den Skimming-Code in infizierten Magento-Installationen auf und warnt vor weiteren Gefahren.
Der Online-Dienst MageReport spürt den Skimming-Code in infizierten Magento-Installationen auf und warnt vor weiteren Gefahren. Vergrößern
Ob der eigene Shop betroffen ist, kann man über den Security-Check MageReport.com herausfinden. Das Tool klopft den Shop auf bekannte Sicherheitslücken ab, checkt, ob wichtige Security-Patches installiert sind und kann sogar den Skimming-Code der Online-Gavonen entdecken. MageReport empfiehlt betroffenen Shop-Betreibern die Notfall-Anleitung How to fix malicious JavaScript Credit card Hijack? des Magento-Hosters Hypernode.

Betreiber sind zur Absicherung verpflichtet

Grundsätzliche sollte jeder Betreiber eines Magento-Shop regelmäßig sicherstellen, dass die Installation auf dem aktuellen Patch-Stand ist. Online-Shops sind ein attraktives Ziel für Kriminelle, wie auch der aktuelle Fall zeigt. Das BSI weist darauf hin, dass Betreiber von Online-Shops nach § 13 Absatz 7 des Telemediengesetzes verpflichtet sind, "ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates." Dies betreffe nicht nur Unternehmen, sondern auch Privatpersonen oder Vereine, "wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird."

Der oben beschriebe JavaScript-Skimmer ist bei weitem nicht der einzige Schädling, den Betreiber veralteter Magento-Installation fürchten müssen: Auch die Magento-Malware Visbot ist sehr verbreitet. Im Gegensatz zu dem JavaScript wird er direkt auf dem Server ausgeführt und ist schwieriger zu entdecken. (rei)