Onlineshop Hacking MagentoEinen Onlineshop zu betreiben, heißt nicht nur für den nötigen Umsatz, sondern auch für eine regelmäßige Wartung und Pflege der Software zu sorgen. Gerade Installationen der Onlineshops, die auf eigenen Servern oder im Hosting beim Webprovider laufen, sind besonders gefährdet. Zum Beispiel wenn der Betreiber des Onlineshops nämlich die Wartungsintervalle nicht ernst nimmt oder kein Geld für die Aktualisierungen ausgeben möchte. Oder schlicht gedankenlos mögliche Software Updates übersieht.

„Der Shop läuft doch, warum sollte ich ein Update machen?“, so denkt sich vielleicht manches Mal ein Onlineshop-Besitzer. Und genau hier läuft etwas verkehrt. Kennen Sie den § 13 Abs.7 TMG und § 42a BDSG? Ich möchte Carsten Ulbricht, Rechtsanwalt mit Schwerpunkt Internetrecht, zitieren:

Aus rechtlicher Sicht ist zunächst darauf hinzuweisen, dass die Betreiber von Online-Shops gemäß § 13 Abs.7 TMG ohnehin verpflichtet sind, ihre Plattform nach dem Stand der Technik zu schützen. Es sollte also unbedingt dafür Sorge getragen werden, dass die Sicherheitslücke unmittelbar identifiziert und beseitigt wird und auch in Zukunft der notwendige Stand der Technik (z. B. durch Nutzung aktueller Sicherheitsupdates) beachtet wird.

Betroffene Onlineshops sollten außerdem unverzüglich prüfen, ob durch den Vorfall die Informationspflichten nach § 42a BDSG ausgelöst worden ist.

Über 1000 Magento Onlineshops von Hacking betroffen

Dieser Vorfall machte die Runde in den News, auf Facebook und weiteren Plattformen. Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik eine Pressemitteilung herausgegeben. Was genau ist da los?

Veraltete Software erlaubt die Einschleusung von schädlichem Code. Dieser Programmcode des Hackers späht die Zahlungsinformationen des Bestellers im betroffenen Onlineshop aus. Es ist für keinen etwas erkennbar – weder für den Betreiber des Onlineshops noch für den Besteller.

Was Magento Onlineshop-Besitzer sofort tun sollten

Screenshot Magento.com OnlineshopJeder, der mit einer Magento-Installation einen Onlineshop betreibt, ist also in der Pflicht, seinen/ihren Shop auf Vordermann zu bringen und in Ordnung zu halten.

Hilfreich – für die Zukunft – ist ein Security Newsletter, der über die aktuellen Sicherheitslücken und Patches sowie sicherheitsrelevante Updates berichtet. Abonnieren Sie diese Information aus dem Magento Security Center (siehe den grünen Pfeil im Screenshot). Auch als Nicht-Techniker sollten Sie informiert sein, damit Sie einen Wartungsservice beauftragen können.

Testen Sie sofort die Verwundbarkeit Ihrer Magento Onlineshop-Installation

Nutzen Sie den kostenlosen Onlinedienst MageReport! Hier geben Sie die Internetadresse (Startseite) Ihres Onlineshops ein. Das Ergebnis ist in kürzester Zeit auf Ihrem Monitor zu sehen. Ich habe keinen eigenen Magento Onlineshop und brauchte – zum Testen – ein Beispiel für einen laufenden Magento Shop. Es ging ganz schnell. Ich suchte einfach nach Verzeichnissen und wurde sofort fündig: Liste deutscher Magento Shops (Stand 2011). Ich freute mich, da ich so bestimmt schnell ein besonders schlechtes Beispiel finden würde. Der erste Versuch war ein Volltreffer!

Screenshot MageReport.com Onlineshop SicherheitslückenTest: Magento Onlineshop mit Sicherheitslücken

Der Onlineshop, den ich für meinen Test benutzt habe, ist nicht nur von Sicherheitslücken betroffen, sondern verstößt gegen sämtliche rechtliche Vorschriften, die mir auf Anhieb einfallen. Angefangen von nicht vorhandener Verschlüsselung (kein SSL) bis hin zum Fehlen des Links zur Online-Streitbeilegung gemäß Art. 14 Abs. 1 ODR-VO (http://ec.europa.eu/consumers/odr/). Das nur nebenbei, ich war ja auf der Suche nach Magento-Sicherheitslücken.

Diesen Shop hätte ich – wäre ich ein Hacker – sofort angreifen können. Denken Sie also daran, dass nicht nur Sie mit diesem Tool sehen können, dass Ihr Onlineshop angreifbar ist, sondern auch ein Hacker. Ich würde mal sagen: „Gefahr im Verzug, handeln Sie sofort!“

Noch ein Tipp, wenn Sie mal einen Onlineshop betrieben haben: Auch nicht mehr genutzte Installationen sollten sicherheitshalber komplett vom Server gelöscht werden! Man weiß nie, ob nicht doch ein Hacker auf den Server kommen kann und Zugriff auf die Daten bekommt. Wie auch immer, bei allen Systemen ist der Datenschutz einzuhalten. Handelt es sich um Kundendaten und Zahlungsinformationen (auf einem Server), greift nämlich die Informationspflicht:

Betroffene Onlineshops sollten außerdem unverzüglich prüfen, ob durch den Vorfall die Informationspflichten nach § 42a BDSG ausgelöst worden ist.

Stellt der Betreiber eines Online-Shops nämlich fest, dass bei ihm gespeicherte nach §42a BDSG geschützte personenbezogene Datenarten (z. B. Bank- oder Kreditkartenkonten) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, so muss er die zuständige Aufsichtsbehörde und die Betroffenen unverzüglich informieren. Der Betreiber des Online-Shops muss dabei eine Prognoseentscheidung treffen. Er muss mögliche Folgen nach Lage der Dinge identifizieren und diese anhand der Belastung für die Betroffenen und der Wahrscheinlichkeit, dass die Belastung eintritt, bewerten.
Quelle und Lesetipp: Carsten Ulbricht auf Recht 2.0

Ganz klar: Jeder, der einen Onlineshop betreibt, ist rechtlich dazu verpflichtet, die gesetzlichen Vorgaben einzuhalten. Angefangen bei Privatpersonen, die nur nebenberuflich wenige Verkäufe tätigen, sowie Vereinen und Organisationen, unterliegen alle diesen Pflichten – bis hin zu den größeren und ganz großen Onlineshops. Für alle gelten dieselben Vorschriften, Regeln und Gesetze. Denken Sie daran, dass Sie sich mit einer Onlineshop-Versicherung gegen Cyber- und Datenrisiken und weitere auftretende Schadenfälle versichern können.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.