Shopbetreiber sind zum Beheben von Sicherheitslücken verpflichtet - Bild: maxsim/fotolia
Bei mehr als 1.000 deutschen Onlineshops greifen Online-Kriminelle Kundendaten und Zahlungsinformationen ab – und das schon seit Monaten. Betroffen sind Anbieter, die das Shop-System Magento nutzen. Trotz entsprechender Warnungen haben viele dieser Betreiber die Sicherheitslücken in ihren Shops bislang nicht gestopft. Deshalb weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell nicht nur auf die Gefahr hin, sondern nimmt auch Shopbetreiber in die Pflicht, wenn es um das Beheben von Sicherheitslücken geht.
Die Angreifer haben kritische Lücken in veralteten Magento-Installationen ausgenutzt und so in mehr als 6.000 Onlineshops weltweit zusätzlichen Code eingeschleust. Dadurch werden beim Bestellvorgang Kunden- und Zahlungsdaten verdeckt an die Angreifer übermittelt. Dieses sogenannte Skimming schadet nicht nur den Kunden, deren Daten direkt genutzt oder auf dem Schwarzmarkt an andere Online-Kriminelle verkauft werden.
Shopbetreiber, die gegen ihre Sorgfaltspflichten verstoßen, müssen hier ebenfalls mit Folgen rechnen. Zudem hat der Sicherheitsexperte, der die Angriffe entdeckt hat, die Liste der betroffenen Shops an die Safe-Browsing-Initiative von Google weitergeleitet. Nutzer, die einen dieser Shops mit dem Browser Chrome ansurfen, erhalten einen Warnhinweis angezeigt, dass die Website Schadsoftware enthält.
Das BSI betont ausdrücklich:
„Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.
Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.“
Betreiber können ihren Magento-Shop mit einem Online-Tool auf bekannte Sicherheitslücken scannen. Außerdem gibt es Tipps zum Beheben der Lücken.
Damit bleibt ein grundlegendes Problem der eingesetzten Systeme jedoch ungelöst: Nicht nur wegen der Flexibilität, sondern auch aus Gründen der Sicherheit ist eine strikte Trennung von Funktion, Steuerung und Darstellung unerlässlich. CMS-Systeme wie Typo3 und Joomla bieten ebenso wie vergleichbare Shopsysteme vielfach breite Angriffsflächen für Hacker. Ein immanentes Problem ist dabei die als Grundlage eingesetzte serverseitige Skriptsprache PHP. Diese wird zeilenweise abgearbeitet, was die Möglichkeit erleichtert, Schadcode einzufügen.
Zudem verleitet sie durch ihre scheinbare Einfachheit zu einem schlampigen Programmierstil. Daraus resultiert eine höhere Fehlerquote, die die Zahl potenzieller Sicherheitslücken erhöht. Bei offenen, vereinzelt eingesetzten Systemen sorgen zwei weitere Faktoren für zusätzliche Risiken: Zum einen erschwert die hohe Fehlertoleranz der Skriptsprache die Qualitätskontrolle, vor allem bei extern entwickelten Erweiterungen oder spezifischen Code-Anpassungen. Zum anderen bleiben technisch veraltete Systeme auch bei gravierenden Sicherheitslücken im Einsatz, weil die Betreiber gar nicht um diese Lücken wissen und keine Updates durchführen.
Nachhaltiges Internet setzt auf echte Softwareentwicklung auf Basis von Standards, die seit Jahrzehnten akzeptiert und gesetzt sind. Höhere Programmiersprachen wie Java sind aufgrund ihrer Komplexität und eingebauter Kontrollmechanismen weniger fehlertolerant und erzwingen so von Haus auf einen sauberen Programmierstil. Zudem ermöglicht der objektorientierte Ansatz, wie ihn Java besonders umfassend umsetzt, die schnelle und fachlich korrekte Enwicklung von Anwendungen entsprechend der jeweiligen Kundenanforderungen.
Die systembedingte Sicherheit des Auctores-CMS verbirgt die zentralen Funktionen und vor allem die Datenbank vor Angriffen. Bei Scriptprogrammierung auf PHP-Basis können Fehlermeldungen aus der Datenbank meist ungehindert bis zum Anwender gelangen. Sie laden ihn damit förmlich zum Angreifen ein, da er so Namen und Ort der Datenbank erfährt.
Hinzu tritt eine zentrale Versionsverwaltung, die dafür sorgt, dass alle Systeme technisch auf dem gleichen aktuellen Stand sind. Relevante Änderungen werden auf allen betreuten Auftritten zeitnah eingespielt, so dass auch sicherheitstechnisch kein Server ins Hintertreffen gerät.