Shops mit Magento Software gefährdet – Was Affiliates jetzt tun sollten

Shops mit Magento Software gefährdet – Was Affiliates jetzt tun sollten

Die Shopsoftware Magento gehört zu den beliebtesten Angeboten auf dem Markt und wird auch in Deutschland von einer großen Zahl von Online-Shops genutzt. Dies kann allerding zu Problemen führen.

Support, Best Practices, viele erfahrene Nutzer, Open Source – es gibt zahlreiche Gründe, eine Software wie Magento zu verwenden. Doch je mehr Leute diese nutzen, desto verheerender wirken sich gewisse Probleme aus.

Magento Software

Auch der Sicherheitschef schwört auf Magereport. | Screenshot

Konkret: Eine Sicherheitslücke im System ist schlecht, wenn sie nur eine einzelne Webseite betrifft – wenn die Lücke aber in einer Software auftritt, die von vielen Tausend Shops weltweit genutzt wird, eröffnet das Betrügern ganz neue Möglichkeiten.

 

Warnung vom BSI

Das “Bundesamt für Sicherheit in der Informationstechnik” (BSI) hat daher gestern eine PM veröffentlicht, in welcher man eindringlich vor den Gefahren des “Skimming” (Abgreifen von Nutzerdaten) warnt – wovon anscheinend aktuell alleine in Deutschland über 1.000 Shops betroffen sind:

“Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.”

Je nach Shopgröße können hier also viele Tausende Kundendaten mittlerweile in den Besitz von Betrügern gelangt sein. So problematisch dieser Zustand ist, richtig ärgerlich wird es, wenn man den Rest der Meldung liest.

 

Nicht das erste Mal – Warnung ignoriert

Wie sich herausstellt, ist es nicht das erste Mal, dass von Seiten der Sicherheitsexperten eine eindringliche Warnung Richtung (deutsche) Shopbetreiber kommt: Bereits im September 2016 hatte ein Sicherheitsbericht gezeigt, dass damals rund 6.000 Shops von einer Lücke betroffen waren, woraufhin der CERT-Bund (Computer Emergency Response Team) sich explizit an Shopbetreiber wandte, diese doch bitte zu schließen.

 

Anzeige

PAREBA: Die All-Inclusive-Lösung für Ihr Partnerprogramm!

PAREBA vereinfacht die Verwaltung Ihres Inhouse-Partnerprogramms. Die kostengünstige Software unterstützt Sie bei der Steuerung Ihrer Markenreichweite, der Kommunikation mit Ihren Publishern sowie der Organisation Ihrer Werbemittel, Aktionen und Provisionssätze. Entsprechend Ihrer Bedürfnisse sind verschiedene Software-Pakete buchbar.

Jetzt profitieren:

  • Keine Set-UP Gebühren
  • Unlimitierte Publisher Anzahl
  • Einrichtung mit eigener Domain
Hier geht es direkt zu PAREBA

 

Vier Monate später jedoch zeigt sich, dass von den damals angeschriebenen Webseiten viele die bekannten Lücken noch immer nicht geschlossen haben.

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“

 

Rechtliche Konsequenzen – Auch für Affiliates

Dabei geht es nicht nur um die Verantwortung dem Kunden gegenüber – laut §13 TMG sind Betreiber von kommerziellen Webseiten – nicht nur Shops – dazu verpflichtet, ihre Systeme, bzw die Sicherheitsupdates immer auf dem neuesten Stand der Dinge zu halten:

“Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Der letzte Satz ist offensichtlich besonders relevant – wirkt sich dies doch auf jede Affiliate-Seite aus, selbst wenn diese an keinen Shop direkt angeschlossen ist, sondern nur auf CPC läuft.

 

 

Sicherheits-Check

Glücklicherweise findet sich unter Magereport.com die Möglichkeit, seine eigene Seite auf bereits bekannte Sicherheitslücken überprüfen zu lassen – und diese dann mit Hilfe der sehr detaillierten Anleitungen auch wieder zu schließen.

Wer sich nicht sicher ist, kann sich einfach direkt selbst an das BSI wenden:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

 

Fazit
Sicherheitswarnungen zu ignorieren kann einen selbst teuer zu stehen kommen. Wenn durch die eigene Schlampigkeit allerdings auch noch Kunden in Mitleidenschaft gezogen werden, wird es kritisch.

Wenn dann auch noch der Gesetzgeber seit Jahren fordert, diverse Lücken zu schließen und entsprechende Behörden rechtzeitig warnen, hat man als Betreiber nur noch wenige Ausflüchte übrig – zu Recht, wie wir finden.

 

Unbedingt lesen solltest du auch

 

Categories: Affiliate News

Über den Autor

Martin

Martin

Martin ist Community-Manager bei AffiliatePeople und schreibt regelmäßig Beiträge für Affiliate Deals. Als klassischer Quereinsteiger der Online Branche ist Martin vielfältig interessiert und aufgrund seiner Twitter-Leidenschaft immer auf den neuesten Stand wichtiger News.

Schreibe einen Kommentar

Deine E-Mail Adresse wird nicht veröffentlicht.
Pflichtfelder*