Am Geldautomaten ist das Skimming seit der Chip-Migration kontinuierlich auf dem Rückzug. Schließlich lohnt sich das Herstellen von Kartendubletten kaum noch, wenn die Einsatzmöglichkeiten der gefälschten Karten immer weniger werden.
Doch nun ist das Skimming offenbar zurück: im Online-Bereich nämlich. So teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Januar mit, dass mindestens 1 000 deutsche Online-Shops von Online-Skimming betroffen seien. Dabei nutzen Cyberkriminelle Sicherheitslücken in veralteten Versionen der Shop-Software, um einen schädlichen Programmcode einzuschleusen. Dieser wiederum ist für die Kunden üblicherweise nicht erkennbar. Beim Bestellvorgang späht er die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten lagen dem BSI bei Redaktionsschluss keine Erkenntnisse vor.
Noch ärgerlicher wird das Phänomen, weil das BSI bereits im September 2016 die Netzbetreiber mehrerer 100 deutscher Online-Shops, die von Online-Skimming betroffen waren, über diesen Umstand informiert hatte. Viele von ihnen hat das offenbar bisher vergleichsweise kalt gelassen. Sie haben die Infektion offenbar bis heute nicht beseitigt oder die Server wurden erneut kontaminiert. Obwohl sie nach § 13 Absatz 7 TMG verpflichtet sind, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen, und obwohl entsprechende Software-Updates vorhanden sind, haben sie die Sicherheitslücken nicht geschlossen, sodass die Cyberkriminellen weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden ausspähen können. Dadurch ist die Zahl der betroffenen Shops auf mittlerweile rund 1000 gestiegen.
Gemessen an der Zahl der Online-Shops insgesamt mag die Quote dieser "Schwarzen Schafe" überschaubar sein. Gleichwohl zeigt sie, dass die steigenden Anforderungen an die Sicherheit von Online-Zahlungen offenbar ihre Berechtigung haben. Wenn dabei Lösungen herauskommen sollten, die zu vermehrten Kaufabbrüchen an der Online-Kasse führen werden, dann ist das offenbar zumindest teilweise selbst verschuldet. Red.