← Zurück zum Blog Sicherheit

Web Skimming: Wie Angreifer Kreditkartendaten aus Ihrem E-Commerce-Shop Stehlen

Envestis Team 18 Min. Lesezeit

Irgendwo gerade jetzt verarbeitet ein kleiner E-Commerce-Shop Bestellungen normal. Die Checkout-Seite funktioniert, Zahlungen gehen durch, Kunden erhalten ihre Produkte. Alles sieht in Ordnung aus. Aber bei jeder Bestellung kopieren ein paar Zeilen injizierten JavaScripts leise die Kreditkartennummer, das Ablaufdatum, den CVV und den Karteninhabernamen und senden sie an einen Server, der von Kriminellen kontrolliert wird.

Das ist Web Skimming. Auch Magecart-Angriffe genannt, Formjacking oder digitales Karten-Skimming. Es ist das Online-Aquivalent der physischen Skimmer-Gerate, die Kriminelle an Geldautomaten befestigen. Nur dass es unsichtbar ist, auf Millionen von Transaktionen skaliert, und die meisten Opfer nie wissen, dass es passiert.

Wie Web Skimming Funktioniert

Keylogging

Das injizierte Script hangt Event-Listener an die Zahlungsformularfelder. Jeder Tastendruck wird erfasst und protokolliert. Die Skimming-Scripts sind stark obfuskiert, um die Erkennung zu vermeiden.

Form Grabbing

Das Script fangt das Formular-Submit-Event ab. Wenn der Kunde auf "Bezahlen" klickt, greift das Script alle Formularwerte ab, bevor oder gleichzeitig mit der legitimen Ubermittlung.

Iframe-Injektion

Der Angreifer ersetzt das legitime Zahlungsformular durch ein falsches in einem Iframe. Das falsche Formular sieht identisch aus. Der Kunde gibt seine Kartendaten in das Formular des Angreifers ein.

Overlay-Angriffe

Der Angreifer legt ein unsichtbares oder transparentes Formular uber das legitime. Der Kunde denkt, er tippt in das echte Formular, aber seine Eingabe geht zuerst an das Overlay des Angreifers.

Wie Angreifer Ihren Code auf die Checkout-Seite Bringen

1. Direkte Website-Kompromittierung

Der Angreifer nutzt eine Schwachstelle in der E-Commerce-Plattform aus (ungepatchtes CMS, verwundbares Plugin, schwache Admin-Zugangsdaten).

2. Kompromittierung von Drittanbieter-Scripts

Viele Checkout-Seiten laden Scripts von Drittanbietern: Analytics, A/B-Testing, Chat-Widgets. Wenn der Angreifer einen dieser Dienste kompromittiert, lauft sein Skimming-Code auf jeder Website, die das kompromittierte Script ladt.

Fur eine tiefere Analyse lesen Sie unseren Artikel uber Risiken von Drittanbieter-JavaScript.

Reale Falle

British Airways (2018)

Angreifer kompromittierten eine JavaScript-Datei und injizierten ein Skimming-Script, das Kartendaten auf den Buchungsseiten erfasste. Der Angriff lief etwa zwei Wochen und betraf rund 380.000 Transaktionen. Strafe: 20 Millionen Pfund unter der DSGVO.

Ticketmaster (2018)

Ticketmaster lud einen Chatbot eines Drittanbieters. Die Angreifer kompromittierten die Server des Anbieters und modifizierten die JavaScript-Datei. Ticketmasters eigene Server wurden nie direkt kompromittiert: ein Supply-Chain-Angriff.

Kleine E-Commerce-Shops

Die Mehrheit der Web-Skimming-Angriffe zielt auf kleine Shops. Ein kleiner Online-Shop im Tessin, der 50 Bestellungen pro Tag verarbeitet, ist ein lohnendes Ziel. Wenn der Skimmer drei Monate lauft, sind das etwa 4.500 gestohlene Kartennummern, je CHF 10-50 auf dem Schwarzmarkt wert.

PCI-DSS-Compliance-Anforderungen

PCI DSS 4.0 und Client-Side-Sicherheit

  • Anforderung 6.4.3: Alle Scripts auf Zahlungsseiten, die im Browser des Verbrauchers geladen und ausgefuhrt werden, mussen verwaltet werden. Sie mussen ein Inventar fuhren, jedes Script rechtfertigen und Integritatsprufungen implementieren.
  • Anforderung 11.6.1: Ein Anderungs- und Manipulationserkennungsmechanismus muss auf Zahlungsseiten bereitgestellt werden.

Wie Man Web Skimming Erkennt

1. CSP-Reporting

Stellen Sie eine Content Security Policy mit Reporting bereit. Wenn ein Skimmer versucht, gestohlene Daten an eine nicht autorisierte Domain zu senden, blockiert CSP dies und sendet einen Bericht.

2. Subresource Integrity (SRI)

Fugen Sie Integritets-Hashes zu allen externen Scripts auf Zahlungsseiten hinzu.

3. Regelmassiges Script-Auditing

Uberprufen Sie periodisch alle Scripts auf Ihrer Checkout-Seite uber die Entwicklertools.

4. Dateiintegritatsmonitoring

Uberwachen Sie Ihre Website-Dateien auf unautorisierte Anderungen.

Verteidigung: Content Security Policy

CSP ist die wirksamste Einzelverteidigung gegen Web Skimming. Selbst wenn ein Angreifer ein Skimming-Script injiziert, kann es die gestohlenen Daten nicht versenden, weil CSP ausgehende Verbindungen zu nicht autorisierten Domains blockiert.

Content-Security-Policy:
  default-src 'self';
  script-src 'self' https://ihr-zahlungsanbieter.com;
  connect-src 'self' https://api.ihr-zahlungsanbieter.com;
  frame-src 'self' https://ihr-zahlungsanbieter.com;
  object-src 'none';
  form-action 'self' https://ihr-zahlungsanbieter.com;

Verteidigung: Serverseitige Zahlungsverarbeitung

Die effektivste architektonische Verteidigung ist, Kreditkartendaten nie das Frontend Ihrer Website beruhren zu lassen. Zahlungsanbieter wie Stripe, Adyen und PayPal bieten gehostete Zahlungsseiten oder Tokenisierung.

Bei einer gehosteten Zahlungsseite gibt der Kunde seine Kartendaten auf der Domain des Zahlungsanbieters ein, nicht auf Ihrer. Selbst wenn Ihre Website vollstandig kompromittiert ist, kann der Angreifer keine Kartendaten abfangen.

Warum Schweizer E-Commerce-Shops Ziele Sind

  • Hohere durchschnittliche Transaktionswerte: Schweizer Verbraucher geben mehr pro Transaktion aus.
  • Geringeres Sicherheitsbewusstsein: Viele Schweizer E-Commerce-Shops implementieren weder CSP noch SRI noch regelmassige Sicherheitsaudits.
  • Veraltete Plattformen: Wir finden regelmassig Shops mit veralteten Versionen von Magento, WooCommerce oder PrestaShop.
  • Vertrauensfaktor: Schweizer Domains geniessen Vertrauen. Gestohlene Kartendaten von Schweizer Shops erzielen hohere Preise auf Schwarzmarkten.

Finanzielle und Rechtliche Haftung

Finanziell

  • PCI-DSS-Strafen: $5.000 bis $100.000 pro Monat
  • Forensische Untersuchungskosten: CHF 20.000-100.000
  • Kosten fur Kartenneuausgabe
  • Verlust der Zahlungsverarbeitung

Rechtlich

  • DSGVO / nDSG: Benachrichtigungspflichten
  • Zivilrechtliche Haftung
  • Reputationsschaden

Was Sie Jetzt Tun Sollten

  1. Auditieren Sie Ihre Checkout-Seite.
  2. Implementieren Sie eine Content Security Policy auf Zahlungsseiten.
  3. Fugen Sie SRI-Hashes zu allen externen Scripts hinzu.
  4. Erwagen Sie gehostete Zahlungsseiten oder Tokenisierung.
  5. Aktualisieren Sie Ihre E-Commerce-Plattform und alle Plugins.
  6. Uberprufen Sie die PCI-DSS-4.0-Anforderungen.

Fur einen umfassenden Blick auf Webanwendungs-Schwachstellen lesen Sie unseren Leitfaden zur OWASP Top 10.

Wenn Sie einen E-Commerce-Shop betreiben und eine professionelle Sicherheitsbewertung Ihres Zahlungsflusses wunschen, kontaktieren Sie unser Team. Wir helfen Schweizer Unternehmen, ihre Online-Shops zu schutzen und PCI-DSS-Anforderungen zu erfullen.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt