Online-Skimming: Mal eben schnell die Kreditkarten-Daten abgreifen

​​​​​Der Sicherheitsforscher unter dem Pseudonym „Gwillem” stellte letzte Woche seine Rechercheergebnisse ins Netz: Über 6.000 Onlineshops sind korrumpiert und senden die Kreditkartendaten der Shop-Kunden an zentrale Server. Dieser als Online-Skimming bezeichnete Prozess ist vergleichbar mit dem Auslesen von Kartendaten an Geldautomaten – nur ohne Geldautomat, ohne aufgesetzte Lese- und Eingabegeräte und ohne Gefahr, erwischt zu werden.
 
Seit November 2015 hat Gwillem über 250.000 Online-Shops darauf überprüft, ob sie betroffen sind. Über 6.000 Online-Shops sind dabei als Opfer identifiziert worden. Darunter befinden sich durchaus auch populäre Shops.
 
Über Softwaremängel in durchaus gängigen Shop- und Serversystemen verschaffen sich Hacker Zugriff auf den Quellcode des Online-Shops. Die Schadsoftware ist schnell installiert und schöpft die Kartendaten schon bei der Erfassung durch den Kunden ab und übermittelt sie dann an einen nicht zurück verfolgbaren Server.
 
War in 2015 der Schad-Code noch sehr offensichtlich, gibt es heute schon verschiedenste Varianten, die zum Teil auch verschleiert wurden.
 
Sollten solche veränderten Seiten durch Kunden entdeckt werden, stellt sich durchaus die Frage nach der Haftung. Inwieweit muss ein Betreiber eines Shop-Systems auf die Ordnungsmäßigkeit seines Systems achten?
 

Was kann man aus einer solchen Meldung auf das eigene Unternehmen übertragen?

1. Achten Sie stets auf die Aktualisierung Ihres Basis-Systems. Planen Sie zum Betrieb eines Shopsystems ausreichend Wartungs- und Sicherheitsüberprüfungsressourcen mit ein.
 
2. Führen Sie in Ihrer Entwicklungs-, Test- und Produktivumgebung ein System ein, bei dem Sie überprüfen können, ob der Code verändert wurde.
 
3. Halten Sie Ihr Sicherheitskonzept stets aktuell.
 
4. Investieren Sie in IT-Sicherheitsteams, denn die Verfügbarkeit, Integrität und Vertraulichkeit der Daten und IT-Systeme ist zu einem hohen Gut geworden.
 

zuletzt aktualisiert am 21.10.2016