News

Augen auf beim Online-Kauf

(Auch gefährlich: Herbstlaubvirus; Bild via)

Na, das sind mal Nachrichten die mein virtuelles Shopping-Ich in Aufruhr versetzen: Seit ein paar Tagen spuckt eine Meldung von „Skimming-Attacken“ durch die Sozialen Netzwerke und lässt einfach nicht locker. Kaum scrollt man durch den Facebook-Feed oder liest die Online-Auftritte von FAZ, SZ, ZEIT und Konsorten, stehen subito Schlagzeilen von „Kontodatenklau in Webshops“ auf der ersten Seite. Ich gebe zu, dass ich bislang ziemlich leichtfertig mit dem Thema umgegangen bin. Vielleicht sogar fahrlässig? Wie sich anhand der Warnungen der Meldungen raushören lässt, sind bei mehr als 1000 deutschen Onlineshops eklatante Sicherheitslücken aufgetreten: „Die Anzahl der deutschen Shops, die die entsprechende Sicherheitslücke aufweisen, kann gar nicht bemessen werden und dürfte noch wesentlich höher sein“, erklärte der BSI-Sprecher auf Nachfrage von t3n. Soll heißen: Kriminelle Hacker haben während des Bestellvorgangs vereinfacht Zugriff auf persönliche Angaben der Kunden. Im schlimmsten Fall lassen sich sogar die Kontoverbindungen der Betroffenen nachverflogen. Bedingt dadurch, dass es sich hierbei um ein ziemlich komplexes Ausspähspielchen handelt, habe ich mich etwas auf der Website des Bundesamt für Sicherheit in der Informationstechnik (BSI) eingelesen.

Ausgangssituation? Die Hacker nutzen veraltete Versionen von Shop-Software, um fehlerhafte oder schädliche Programmcodes beim Kunden „abzuschöpfen“ (daher das englische Wort „Skimming“). In diesem Moment des Zugriffs bietet sich eine Möglichkeit des Ausspähens, die angegebenen Zahlungsinformationen können eingesehen werden. Laut unterschiedlicher Quellen (wie z.B. bei dieser Referenzquelle zum Nachlesen) sind betroffene Online-Shops an die Software Magento gebunden bzw. basieren auf deren System. Um welche Shops es sich genau handelt, wird derzeit noch nicht kommuniziert. Diese Software nutzen scheinbar viele Anbieter, also ein leichtes Spiel für die kriminellen Hacker. So weit, so überhaupt nicht gut! Zugegeben: Ich würde vermutlich weiterklicken und auf unbesorgt tun, wenn ich nicht zwei Zeilen weiter lesen würde, dass bereits im September vergangenen Jahrs über 6000 Shops ausgemacht wurden, die von eben diesem Skimming betroffen sind. Dreimal dürft ihr raten, was als Reaktion vieler Betreiber der Shops passiert ist. Genau: Nichts!

Die Sicherheitslücken vieler betroffenen Anbieter wurden schlicht und ergreifend nicht behoben – das geht in erster Linie auf Kosten der Konsumenten und ist unerhört. „Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“
Ich fange an mich für das Thema zu interessieren, recherchiere weiter. Nach etwas Nachlesen finde ich heraus, dass die Betreiber aufgrund des Telemediengesetztes dazu verpflichtet wären, ihre Websysteme gegen potentielle (oder bereits geschehene) Cyberangriffe zu schützen. Mein Hasenherz schlägt unaufhörlich, während ich vor meinem inneren Auge die letzten Online-Einkäufe durchgehe. Das sind und wären einige. Die Liste ist lang, oh je. Für die Zukunft werde ich ganz bestimmt etwas vorsichtiger meine Kreditkartendaten ins weltweite Netz einspeisen. Betroffene sollten unbedingt bei der Polizei Anzeige erstattet, das jeweilige Unternehmen (falls ausmachbar) und die eigene Bank informiert werden.

Ich wage es gar nicht in die Runde zu fragen: Ist das schon mal jemanden von uns passiert? Wie habt ihr in dieser Situation reagiert bzw. habt ihr von den aktuellen „Skimming-Attacken“ gehört?