BSI warnt vor kompromittierten Online-Shops

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass Angreifer derzeit verstärkt mehrere Sicherheitslücken in veralteten Versionen des Online-Shop-Systems „osCommerce“ ausnutzen, um darauf basierende Shops zu manipulieren. Sie schleusen schädlichen Code auf die Shop-Server ein, der laut BSI auf Drive-by-Exploits verweist. Beim Besuch eines so manipulierten Online-Shops wird automatisiert versucht, verschiedene Schwachstellen im Browser, im Betriebssystem oder anderer Software auszunutzen, um unbemerkt ein Schadprogramm auf dem Rechner des Nutzers zu installieren.

Nach Erkenntnissen des BSI sind inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen genutzten Sicherheitslücken wurden bereits in der im November 2010 veröffentlichten Version osCommerce 2.3 geschlossen. Viele Anbieter setzen jedoch immer noch ältere Versionen des Shop-Systems ein. Das BSI weist daher auf den akuten Handlungsbedarf hin.

Die Behörde rät Anbietern, die Online-Shops auf Basis von osCommerce betreiben, den Versionsstand der eingesetzten Shop-Software zu kontrollieren und gegebenenfalls ein Update auf die aktuellen Versionen 2.3.1 beziehungsweise 3.0.2 durchzuführen. Wurde bislang noch eine ältere Version eingesetzt, sollte der Shop-Server dringend auf mögliche Manipulationen überprüft werden.

Internetnutzern empfiehlt das BSI, zum Schutz vor Infektionen ihres Rechners mit Schadprogrammen regelmäßig die jüngsten Sicherheitsupdates für ihr Betriebssystem, ihr Virenschutzprogramm und andere Software zu installieren.