In der letzten Woche wurde erneut festgestellt, dass über 1000 deutsche Online-Shops von Malware betroffen sind:
Online-Skimming bei Online-Shops mit veralteten Magento-Versionen. Auch hunderte Shops in Deutschland betroffen. https://t.co/8oQ2iqybpL pic.twitter.com/KMFzuAoEps
— CERT-Bund (@certbund) January 9, 2017
Erschreckend dabei ist in meinen Augen nicht, dass es dazu gekommen ist, sondern wie nachlässig mit diesem Problem umgegangen wird:
Am 11. Oktober 2016 hat der Sicherheitsforscher gwillem auf seinem Blog seine Erkenntnisse veröffentlicht: über 5900 befallene Shops weltweit.
Magento selbst hat noch am gleichen Tag einen Security-Patch bereitgestellt und per E-Mail-Newsletter sowie Meldungen im Magento-Backend informiert.
Heise.de hat in den folgenden Tagen und Monaten mehrfach darüber berichtet, dass diese enorme Anzahl an Shops befallen ist – und sogar, dass ein Sicherheitspatch (SUPEE-8788) bereitgestellt ist.
Zwei Monate später stellt das BSI fest:
… Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen. …
Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten, erklärt BSI-Präsident Arne Schönbohm.Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.
Übernehmen Sie Verantwortung für einen sicheren Online-Shop
Selbst wenn Software-Hersteller kurzfristig Sicherheits-Updates bereitstellen, wird oft nicht zeitnah gehandelt. Das kann unterschiedliche Gründe haben – die meisten davon zähle ich eher unter „schlechte Ausreden“.
Neben dem laufenden Betrieb des Online-Shops dürfen Shop-Betreiber nicht vergessen, dass sie auch in der Pflicht gegenüber ihren Kunden (und dem Gesetz) stehen, einen sicheren Einkauf zu gewährleisten und alle anfallenden Daten zu schützen. Das kostet natürlich Geld und das ist natürlich unbequem. Aber es ist notwendig.
Nur wenige Shop-Betreiber scheinen sich dessen bewusst, dass Schäden durch unsichere Online-Shops weitaus teurer sein können als eine regelmäßige Überprüfung und Aktualisierung ihres Shops.
Was kann ich als Shop-Betreiber machen?
Erstmaßnahmen sind schnell und günstig zu ergreifen:
- Tragen Sie sich in den Security-Newsletter von Magento ein!
- Prüfen Sie ihren Shop auf Potentielle Risiken mit dem Tool von MageReport
- Beauftragen Sie ihre Agentur oder Entwickler des Vertrauens mit der regelmäßigen Prüfung
Was kann denn schon passieren?
Stellen wir uns vor, der schlechteste Fall tritt ein: Ein gut genutzter Magento-Shop wird/ist infiziert und das Problem wird entweder nicht erkannt oder nicht ernst genommen. Was kann da überhaupt passieren?
Unter Online-Skimming versteht man das Abgreifen von Daten. In diesem Fall: Kundendaten sowie Zahlungsdaten (Kreditkartendaten). Oft werden diese Daten verkauft. Kriminelle können so aber auch Bestellungen auf Kosten der Kunden tätigen oder Bestellungen unterwegs abfangen. So oder so entsteht ein Schaden für Kunden und Händler.
Mit einem gepatchten Shop ist dies nicht mehr so einfach möglich.
Einen Online-Shop betreiben bedeutet also mehr.
Als Shop-Betreiber möchte man sich lieber um sein Online-Geschäft kümmern. Dennoch muss sichergestellt sein, dass darunter weder die Sicherheit noch die Integrität des Shops leiden. Daher muss man als Shop-Betreiber immer auf dem Aktuellen sein und sich auch mit den unangenehmen Themen auseinander setzen.
Eine Interessante Gelegenheit dazu bietet sich auf den Magento-Stammtischen, die bundesweit stattfinden. Der kommende Magento-Stammtisch in Saarbrücken findet am 24.01. in der Ligatura statt.