Online-Shops müssen gegen Angriffe geschützt sein verlangt das Telemediengesetz (§13 Absatz 7) und weist diese Aufgabe auch den Betreibern der Shops zu. Dies beinhaltet, die Systeme nach dem Stand der Technik gegen Angreifer abzusichern. Dazu gehört das regelmäßige und rasche Einspielen verfügbarer Sicherheitsupdates.
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte, sollen mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sein. Dabei nutzen die Angreifer Lücken in der Shop-Software, um Schadcode einzuschleusen, über den Zahlungsinformationen wie Kontodaten oder Kreditkartennummern von Kunden abgegriffen werden. Von der Sicherheitslücke betroffen sind Online-Shops, die auf älteren Versionen der weit verbreiteten Software Magento basieren.
Bereits im September 2016 wies das BSI die jeweils zuständigen Netzbetreiber auf Sicherheitslücken bei deutschen Online-Shops hin. Allerdings wurden diese bei vielen Betreibern nicht geschlossen bzw. die Server erneut kompromittiert. Hinzu kommt, dass offenbar viele Online-Shop-Betreiber ihre Magento-Software trotz vorhandener Sicherheitsupdates und entgegen gesetzlicher Vorgaben nicht aktualisierten. Nun wendet sich das Bundesamt erneut mit der Bitte an die Provider in Deutschland, die betroffenen Shop-Betreiber in ihren Netzen über die Gefahr zu informieren.
Betreiber von Online-Shops auf Magento-Basis können mit dem kostenfreien Dienst MageReport ihr System auf bekannte Sicherheitslücken überprüfen. MageReport stellt dabei zu jedem erkannten Problem detaillierte Informationen zu dessen Behebung bereit.
Das BSI weist auch darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Webseiten gilt. Darunter fallen zum Beispiel auch Onlineauftritte von Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen.