Nach einer aktuellen Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik und der Berichte einiger Internetmedien sind derzeit über 1000 deutsche Online-Shops mit veralteten Magento-Versionen von gravierenden Hackingangriffen betroffen, bei denen Kunden- und Zahlungsdaten „abgezapft“ werden.
A. Online-Skimming bei Magento Shops
Im Rahmen des sogenannten Online-Skimming nutzen Hacker Sicherheitslücken in der Shopsoftware, um schädlichen Programmcode einzuschleusen. Im vorliegenden Fall späht dieser beim Bestellvorgang dann offensichtlich konkreten Kunden- und Zahlungsinformationen aus und leitet diese an die Hacker weiter. Sind hier Bank- oder Kontodaten betroffen, ist natürlich eine besondere Vorsicht und eilige Reaktion anzuraten.
Beim sogenannten Skimming (englischer Begriff für „Abschöpfen“) handelt es sich oft um einen Man-in-the-Middle-Angriff, der illegal Kreditkarten- oder Bankdaten ausspäht. Sollte den Kunden wegen unzureichender Datensicherheit und/oder zu später Information ein Schaden entstehen, so sind auch Haftungsansprüche des Shop-Betreibers für hieraus entstehende Schäden denkbar.
Potentiell betroffene Online-Shops sollten deshalb unbedingt mit dem Dienst MagaReport prüfen, ob sie betroffen sind.
B. Prüfung der Informationspflicht des § 42a BDSG
Aus rechtlicher Sicht ist zunächst darauf hinzuweisen, dass die Betreiber von Online-Shops gemäß § 13 Abs.7 TMG ohnehin verpflichtet sind, ihre Plattform nach dem Stand der Technik zu schützen. Es sollte also unbedingt dafür Sorge getragen werden, dass die Sicherheitslücke unmittelbar identifiziert und beseitigt wird und auch in Zukunft der notwendige Stand der Technik (z.B. durch Nutzung aktueller Sicherheitsupdates) beachtet wird.
Betroffene Onlineshops sollten außerdem unverzüglich prüfen, ob durch den Vorfall die Informationspflichten nach § 42a BDSG ausgelöst worden ist.
Stellt der Betreiber eines Online-Shops nämlich fest, dass bei ihm gespeicherte nach §42a BDSG geschützte personenbezogene Datenarten (z.B. Bank- oder Kreditkartenkonten) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, so muss er die zuständigen Aufsichtsbehörde und die Betroffenen unverzüglich informieren.Der Betreiber des Online-Shops muss dabei eine Prognoseentscheidung treffen. Er muss mögliche Folgen nach Lage der Dinge identifizieren und diese anhand der Belastung für die Betroffenen und der Wahrscheinlichkeit, dass die Belastung eintritt, bewerten.
Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss zudem eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Informationspflicht dient vor allem dazu, dass die Betroffenen rechtzeitig Kenntnis erlangen, um eigene Sicherheitsmaßnahmen (z.B. Änderung von Zugangsdaten, Sperrung des Kontos o.ä.) zu ergreifen.
C. Dringende Handlungsempfehlungen
Die Betreiber von Magento Online-Shops, die potentiell betroffen sind, sollten also zeitnah die folgenden Maßnahmen treffen:
- Prüfung der Betroffenheit über MagaReport
- Unverzügliche Beseitigung der Sicherheitslücke
- Prüfung der Informationspflicht des § 42a BDSG, insbesondere
- Wann sind die Daten abhandengekommen ?
- Welche Daten sind betroffen ?
- Wie wurden diese unrechtmäßig übermittelt bzw. wie sind diese Daten unrechtmäßig zur Kenntnis gelangt?
- Welche nachteiligen Folgen der unrechtmäßigen Kenntniserlangung sind möglich?
Bei Vorliegen der Voraussetzungen müssen die Aufsichtsbehörde und die Betroffenen entsprechend informiert werden. Erfolgt die Mitteilung gegenüber der Aufsichtsbehörde oder den Betroffenen aufgrund von Fahrlässigkeit oder mit Vorsatz nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, so kann die Aufsichtsbehörde gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeldverfahren einleiten und ein Bußgeld in Höhe von bis zu 300.000 Euro erlassen.
Die Aufsichtsbehörde ist schriftlich über den Vorfall und die vorgenommenen Maßnahmen (Schließung der Lücken, Information der Betroffenen) zu informieren.
Die Betroffen sind grundsätzlich einzeln zu informieren. Dabei sollte ihnen die Art der unrechtmäßigen Kenntniserlangung dargelegt und Maßnahmen zur Minderung möglicher nachteiliger Folgen empfohlen werden. Den Betroffenen soll transparent und verständlich gemacht werden, was passiert ist und welche Gefahren drohen. Gegebenenfalls kann auch eine Telefonhotline für weitere Unterstützung angeboten werden.