Magento-Sicherheitslücke: Viele Online-Shops noch ungeschützt

Veröffentlicht: 30.06.2015
imgAktualisierung: 30.06.2015
Geschrieben von: Michael Pohlgeers
Lesezeit: ca. 2 Min.
30.06.2015
img 30.06.2015
ca. 2 Min.
Die Sicherheitslücke im Shopsystem Magento kann über einen Patch geschlossen werden, doch viele Systeme sind noch immer ungeschützt. Was Händler jetzt tun müssen, lesen Sie hier.

Im Februar 2015 wurde eine schwerwiegende Sicherheitslücke im Shopsystem Magento entdeckt, die es Angreifern ermöglicht, Kreditkarteninformationen zu stehlen. Inzwischen hat Magento einen Security-Patch veröffentlicht, doch viele Online-Shop sind noch immer ungeschützt. Händler sollten ihr System dringend überprüfen und gegebenenfalls aktualisieren.

Gebrochener Schild auf Datenhintergrund

(Bildquelle Sicherheitslücke: Maksim Kabakou via Shutterstock)

Die Sicherheitslücke im Shopsystem Magento betrifft noch immer eine große Zahl der Installationen – das hat verschiedene Magento bestätigt. Grund ist, dass viele Magento-Installationen noch immer nicht aktualisiert wurden. Um die Sicherheitslücke zu schließen, sollten Online-Händler nun dringendst ihre Magento-Version überprüfen und gegebenenfalls den Security-Patch „SUPEE-5344“ installieren. In der aktuellen Version CE 1.9.1.1 ist der Patch bereits enthalten. Wer sich unsicher ist, ob der Patch erforderlich ist, kann das Online-Tool des Magento-Hosters Byte nutzen, um die eigene Installation zu überprüfen.

Die Sicherheitslücke namens Shoplift Bug im Magento-System war im Februar 2015 entdeckt worden. Der Sicherheitsexperte Peter Gramantik hatte ein Script entdeckt, mit dem die POST-Abfragen mitgeschnitten werden können. Dabei hätten Angreifer vor allem Kreditkartendaten im Visier. Zudem könnten Angreifer über das Checkout-Modul des Shopsystems an Zahlungsinformationen der Kunden kommen.

Online-Händler für Sicherheit ihrer Kunden zuständig

„Das Schlimme ist, dass man nicht weiß, dass man betroffen ist, bis es zu spät ist“, erklärt Gramantik im Sucuri-Blog. „Im schlimmsten Fall wird es erst offensichtlich, wenn es auf dem Bankkonto zu sehen ist.“ Besonders heikel: In einer Vorgehensweise reisen die Kreditkartendaten der Opfer in reiner Textform durch das Internet – sind also theoretisch von jedem einsehbar. Gramantik zufolge sollten die Online-Händler alles in ihrer Macht stehende unternehmen, um die Sicherheit ihrer Kunden und deren Daten zu gewährleisten.

Und der Sicherheitsexperte hat noch eine Warnung: „Während die aktuellen Informationen sich nur auf Magento beziehen, müssen Sie erkennen, dass so etwas jede Plattform betreffen kann, die für den E-Commerce genutzt wird. Während die Branche wächst, werden auch Angriffe, die auf die Branche abzielen, häufiger vorkommen.“

Veröffentlicht: 30.06.2015
img Letzte Aktualisierung: 30.06.2015
Lesezeit: ca. 2 Min.
Artikel weiterempfehlen
Michael Pohlgeers

Michael Pohlgeers

Micha beobachtet politische Entwicklungen und Marktplatz-Dynamiken. Seine Themen: Teamführung, Plattformen und alles, was den Handel bewegt.

KOMMENTARE
1 Kommentare
Kommentar schreiben
Stella
20.10.2015

Antworten

Diese Nachrichten sind nicht nur niederschmetter nd für alle Kunden, sondern auch für die Händler die auf eine große Lösung vertraut und sich damit unwissend zu Gehilfen gemacht haben. Im Endeffekt kann jedes Shopsystem angegriffen werden, aber gerade solche mit Plugins von Drittanbietern und Freeware sind hierbei nun einmal besonders anfällig. Für mehr Informationen hierzu: versacommerce.de/.../...