Ein Online-Shop sieht von aussen vollkommen normal aus -- und stiehlt im Hintergrund die Kreditkartendaten jedes Kunden. Genau das leisten moderne Skimmer: kleine, getarnte JavaScript-Schnipsel, die im Checkout die Zahlungsfelder mitlesen und an eine fremde Domain senden. Die Zahl der Skimmer-Infektionen stieg innerhalb von sechs Monaten um 103 Prozent (RiskIQ, 2025), und ein bekannter Skimmer-Tracker zählt über 2 Millionen kompromittierte Webseiten weltweit (RiskIQ, 2025). Das Tückische: Ohne gezieltes Malware-Scanning bleibt eine Infektion im Schnitt 241 Tage unentdeckt (RiskIQ, 2025). Dieser Beitrag zeigt, wie professionelles Scanning, Datei-Integritätsprüfung und strukturierte Bereinigung Skimmer, injizierte Skripte und Backdoors finden -- und wie [proaktive Sicherheitsupdates1 verhindern, dass es überhaupt so weit kommt.
Das Wichtigste in Kürze
- Ein infizierter Shop hat keinen einzelnen Virus, sondern eine Mischung aus manipulierten Dateien, injizierten Datenbankeinträgen und externen Skript-Einbindungen -- reine Signatur-Scanner übersehen das.
- Datei-Integritätsprüfung ist signaturunabhängig: Sie erkennt jede Abweichung von der signierten Referenz, auch getarnte Backdoors ohne Kenntnis ihres Inhalts.
- Die Zahlungsseite braucht eine kontinuierliche, clientseitige Integritätsprüfung -- genau dort setzen Skimmer an.
- Reines Löschen des Schadcodes führt zur Re-Infektion: belastbar ist nur Clean Install, Zugangsdaten-Rotation und das Patchen der ausgenutzten Schwachstelle.
- Erst eine feste Scan-Routine senkt die Erkennungszeit von Monaten auf Minuten und nimmt Skimmern ihre gefährlichste Waffe: die Zeit.
Warum klassische Antivirus-Logik bei Shops versagt
Ein infizierter Online-Shop verhält sich anders als ein infizierter PC. Es gibt keinen einzelnen Virus, den man löscht, sondern eine Mischung aus manipulierten Dateien, eingeschleusten Datenbankeinträgen und externen Skript-Einbindungen. Schwachstellen-Ausnutzung war im vergangenen Jahr der häufigste initiale Zugangsweg für Sicherheitsvorfälle und legte um 34 Prozent zu (Verizon DBIR, 2025). Gleichzeitig wurden täglich 119 neue Schwachstellen in IT-Systemen bekannt -- ein Plus von rund 24 Prozent gegenüber dem Vorjahr (BSI Lagebericht, 2025). Wer hier nur auf Signaturen einer einzelnen Schadsoftware-Datenbank setzt, übersieht die typischen Shop-Angriffe komplett.
Professionelles Malware-Scanning für Shops kombiniert deshalb mehrere Verfahren: Datei-Integritätsprüfung (stimmen die Datei-Hashes noch mit der signierten Referenz überein?), Signatur- und Heuristik-Scans (bekannte Schadcode-Muster und verdächtige Konstrukte wie eval(base64_decode(...))), Datenbank-Scans (injiziertes JavaScript in Inhalten und Metadaten) sowie clientseitige Integritätsprüfung der ausgelieferten Seite im Browser. Erst die Kombination deckt die ganze Bandbreite ab -- vom Skimmer im Checkout bis zur stillen Backdoor im Cache-Verzeichnis.
Die unsichtbare Mehrheit
Datei-Integritätsprüfung als Frühwarnsystem
Das wirksamste Werkzeug gegen heimliche Manipulation ist die Datei-Integritätsprüfung (File Integrity Monitoring, FIM). Das Prinzip ist einfach: Beim Aufsetzen einer sauberen Installation wird für jede Datei ein kryptografischer Hash gebildet und in einer signierten Referenz gespeichert. Jeder spätere Scan vergleicht den aktuellen Zustand gegen diese Referenz. Veränderte Core-Dateien, neu hinzugekommene PHP-Skripte im Upload- oder Cache-Verzeichnis und gelöschte Dateien fallen sofort auf -- unabhängig davon, ob der Schadcode bekannt ist oder nicht.
Gerade dieser signaturunabhängige Ansatz ist entscheidend, weil Angreifer ihren Code ständig variieren, um Signatur-Scanner zu umgehen. Eine Web-Shell, die unter var/cache/_t8x.php auftaucht, hat dort schlicht nichts zu suchen -- der Integritätsvergleich erkennt sie als nicht-signierte Neuanlage, ganz ohne Kenntnis ihres Inhalts. Für Shopware-Installationen lässt sich die Referenz aus den offiziellen Paket-Hashes und dem ausgecheckten Code-Stand bilden. Wir setzen die Integritätsprüfung in jeder [Shopware-Wartung1 als Standard-Baustein ein.
# Referenz-Hashes nach sauberem Deploy erzeugen
find . -type f \( -name '*.php' -o -name '*.js' -o -name '*.twig' \) \
-not -path './var/*' -print0 \
| sort -z | xargs -0 sha256sum > /secure/baseline.sha256
# Täglicher Abgleich gegen die Referenz (zeigt nur Abweichungen)
sha256sum -c /secure/baseline.sha256 2>/dev/null | grep -v ': OK$'
# Verdächtige PHP-Dateien in Schreib-Verzeichnissen finden
find public/media var/cache -name '*.php' -mtime -7 -lsFür die besonders sensible Zahlungsseite reicht ein täglicher Scan nicht mehr aus. Der Payment-Card-Standard verlangt seit dem 31. März 2025 verpflichtend einen Mechanismus zur Erkennung von unautorisierten Veränderungen an Skripten und HTTP-Headern der Zahlungsseite, der mindestens wöchentlich Alarm schlägt (PCI Security Standards Council, 2025). Praktisch bedeutet das eine kontinuierliche, clientseitige Integritätsprüfung genau dort, wo Skimmer ansetzen.
Skimmer, Backdoors, Injections: die drei Hauptkategorien
Payment-Skimmer
Getarntes JavaScript liest im Checkout Kartennummer und CVV mit und sendet sie an eine fremde Domain. Erkennung über clientseitige Integritätsprüfung und Outbound-Analyse.
Backdoors und Web-Shells
Versteckte PHP-Dateien ermöglichen erneuten Zugriff nach der Bereinigung. Erkennung über Datei-Integrität, Heuristik und Cronjob-Audit.
Skript-Injektionen
Eingeschleuster Code in Core-Dateien oder Datenbank für SEO-Spam, Redirects oder Mining. Erkennung über Hash-Vergleich und Datenbank-Scan.
SEO-Spam und Redirects
Unsichtbare Links oder Weiterleitungen, die Suchmaschinen-Crawler auf fremde Seiten lenken. Oft erst am Ranking-Einbruch bemerkbar.
Schurken-Admin-Konten
Angreifer legen versteckte Administratorkonten an, um auch nach Passwort-Änderung Zugang zu behalten. Erkennung über Benutzer-Audit.
Supply-Chain-Manipulation
Kompromittierte Plugins oder CDN-Skripte schleusen Schadcode über den offiziellen Kanal ein. Erkennung über Subresource Integrity und Hash-Prüfung.
Diese Kategorien treten selten isoliert auf. Eine typische Kompromittierung beginnt mit der Ausnutzung einer ungepatchten Schwachstelle, gefolgt vom Anlegen mehrerer Backdoors zur Persistenz, dem Einschleusen eines Skimmers für die Monetarisierung und SEO-Spam als Zweitverwertung. Bei den meisten grundlegenden Web-Angriffen kamen ausserdem gestohlene Zugangsdaten zum Einsatz -- in 88 Prozent der Fälle (Verizon DBIR, 2025). Deshalb gehören zur Erkennung stets auch ein Benutzer-Audit und das [Log-Monitoring1 ungewöhnlicher Login-Muster.
Der strukturierte Scan-Prozess
Ein verlässlicher Scan folgt einer festen Pipeline, damit kein Bereich übersehen wird. Wichtig ist die Reihenfolge: Erst der vollständige, nicht-invasive Scan zur Bestandsaufnahme, dann die Bewertung und Quarantäne, nicht die voreilige Löschung. Voreiliges Löschen zerstört Beweise und macht die Ursachenanalyse unmöglich.
- Bestandsaufnahme: vollständiger Datei-Hash-Vergleich gegen die signierte Referenz, ergänzt um Heuristik-Scans aller Schreib-Verzeichnisse.
- Datenbank-Scan: Suche nach injiziertem JavaScript in Inhalten, Optionen, Widget-Konfigurationen und Benutzertabellen.
- Clientseitige Prüfung: Abgleich der im Browser ausgelieferten Skripte gegen die freigegebene Liste, mit Fokus auf der Zahlungsseite.
- Benutzer- und Cronjob-Audit: Prüfung auf unbekannte Admin-Konten, geplante Tasks und manipulierte Authentifizierungs-Schlüssel.
- Bewertung und Quarantäne: jeden Fund klassifizieren, isolieren und dokumentieren -- ohne ihn sofort zu entfernen.
- Befund-Report: priorisierte Liste aller Funde mit Einfallstor-Hypothese als Grundlage für die Bereinigung.
Die Scan-Abdeckung ist dabei eine eigene Kennzahl: Wie viele Dateien, welche Verzeichnisse und welche Datenbank-Tabellen wurden tatsächlich geprüft? Ein Scan, der nur das Web-Root oberflächlich abtastet, suggeriert eine Sicherheit, die nicht besteht. In unseren Wartungspaketen dokumentieren wir die Abdeckung transparent, damit nachvollziehbar bleibt, was geprüft wurde.
| Aspekt | Oberflächen-Scan | Professionelles Scanning |
|---|---|---|
| Methodik | Nur Signatur-Abgleich | Integrität, Signatur, Heuristik, Datenbank |
| Datei-Integrität | Keine Referenz-Hashes | Signierte Baseline, täglicher Abgleich |
| Zahlungsseite | Nicht gesondert geprüft | Kontinuierliche clientseitige Prüfung |
| Backdoor-Erkennung | Oft übersehen | Gezielte Suche in Schreib-Verzeichnissen |
| Datenbank | Nicht geprüft | Scan auf injiziertes JavaScript |
| Abdeckung | Unbekannt | Dokumentiert und nachvollziehbar |
| Ergebnis | Falsche Sicherheit | Belastbarer Befund-Report |
Bereinigung: warum Löschen allein nicht reicht
Die eigentliche Herausforderung beginnt nach dem Fund. Die naheliegende Reaktion -- den sichtbaren Schadcode löschen -- ist die häufigste Ursache für erneute Infektionen. Solange die ausgenutzte Schwachstelle offen ist und mindestens eine Backdoor übersehen wurde, ist der Shop binnen Stunden wieder kompromittiert. Eine von fünf zuvor infizierten Shops wird innerhalb weniger Tage erneut infiziert (RiskIQ, 2025).
Die belastbare Bereinigung folgt deshalb dem Clean-Install-Prinzip: Neuinstallation des Codes aus vertrauenswürdiger Quelle, Wiedereinspielen verifizierter Inhalte und Daten aus einem Backup von vor der Kompromittierung sowie die Rotation sämtlicher Zugangsdaten und Schlüssel. Welcher Backup-Zeitpunkt sicher ist, ergibt sich aus der forensischen Zeitlinie -- das ist eng mit einer durchdachten [Backup-Strategie1 und einer sauberen Wiederherstellungsroutine verzahnt. Anschließend wird die ausgenutzte Schwachstelle gepatcht, sonst war alles umsonst.
Belastbare Bereinigung in der richtigen Reihenfolge
- 1
Beweise sichern
Vor jedem Eingriff ein vollständiges Image erstellen -- voreiliges Löschen zerstört die Spuren und macht die Ursachenanalyse unmöglich.
- 2
Forensisch analysieren
Einfallstor, Zeitlinie und Umfang der Kompromittierung bestimmen, um einen sicheren Backup-Zeitpunkt von vor dem Befall zu finden.
- 3
Clean Install
Code aus vertrauenswürdiger Quelle neu installieren und verifizierte Inhalte aus einem sauberen Backup wieder einspielen.
- 4
Zugangsdaten rotieren
Sämtliche Passwörter, API-Schlüssel und Authentifizierungs-Token erneuern, damit gestohlene Zugangsdaten wertlos werden.
- 5
Schwachstelle patchen
Die ausgenutzte Lücke schließen -- ohne diesen Schritt ist der Shop binnen Stunden erneut kompromittiert.
- 6
Wieder live nehmen
Den bereinigten und gehärteten Shop erst nach abgeschlossener Kontrolle und aktualisierter Integritäts-Baseline zurück in den Betrieb geben.
Reihenfolge entscheidet
Post-Incident-Härtung: aus dem Vorfall lernen
Nach der Bereinigung folgt die Härtung, damit derselbe Angriff nicht erneut greift. Dazu gehören das zeitnahe Einspielen aller [Sicherheitsupdates1, eine Web Application Firewall mit Regeln gegen den konkreten Angriffsvektor, restriktive Schreibrechte in Upload- und Cache-Verzeichnissen sowie die Deaktivierung der PHP-Ausführung dort, wo nur Mediendateien liegen sollten. Das ist umso dringender, als organisationsweit nur 26 Prozent der kritischen Schwachstellen überhaupt vollständig behoben wurden -- ein Rückgang gegenüber 38 Prozent im Vorjahr (Verizon DBIR, 2025).
Gegen Skimmer und Supply-Chain-Angriffe wirken zusätzlich zwei browserseitige Mechanismen: Content Security Policy (CSP), die nur explizit freigegebene Skript-Quellen zulässt, und Subresource Integrity (SRI), die externe Skripte über einen Hash absichert (OWASP, 2025; W3C, 2025). Verändert ein Angreifer ein eingebundenes Skript, blockiert der Browser die Ausführung. In Kombination mit kontinuierlicher Integritätsprüfung der Zahlungsseite entsteht so eine mehrschichtige Verteidigung, die genau den PCI-Anforderungen entspricht.
WAF mit Vektor-Regeln
Eine Web Application Firewall blockiert den konkret ausgenutzten Angriffsweg und gängige Exploit-Muster, bevor sie die Anwendung erreichen.
Restriktive Schreibrechte
Kein Schreibzugriff auf Code-Verzeichnisse, keine PHP-Ausführung in Upload-Pfaden -- das nimmt Web-Shells den Nährboden.
CSP und SRI
Content Security Policy und Subresource Integrity verhindern, dass fremde oder manipulierte Skripte im Browser ausgeführt werden.
Kontinuierliches Monitoring
Daueralarm auf Datei-Änderungen, neue Admin-Konten und ungewöhnlichen Outbound-Traffic verkürzt die Erkennungszeit drastisch.
Was ein Malware-Befall wirklich kostet
Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung lagen 2025 bei rund 4,4 Millionen US-Dollar weltweit (IBM Cost of a Data Breach, 2025). Für kleine und mittlere Shops fällt der Betrag niedriger aus, doch die Struktur bleibt: Bereinigung und Forensik sind nur der sichtbare Teil. Hinzu kommen Umsatzausfall während der Downtime, der SEO-Ranking-Verlust nach einer Google-Sicherheitswarnung, mögliche DSGVO-Bussgelder bei Abfluss von Kundendaten und der schwer messbare Vertrauensverlust. Bei Ransomware traf es überdies in 80 Prozent der gemeldeten Fälle kleine und mittelständische Unternehmen (BSI Lagebericht, 2025).
Dem gegenüber steht der Aufwand für kontinuierliches Scanning und Wartung, der einen Bruchteil dieser Summen ausmacht. Genau das ist der wirtschaftliche Kern eines [Wartungsvertrags mit Performance- und Sicherheits-Monitoring1: nicht das Versprechen absoluter Sicherheit, sondern die drastische Senkung von Eintrittswahrscheinlichkeit und Erkennungszeit. Je früher ein Skimmer entdeckt wird, desto kleiner der Schaden.
Die teuerste Infektion ist die, die monatelang unentdeckt bleibt. Kontinuierliches Scanning verwandelt eine existenzbedrohende Krise in einen beherrschbaren Vorfall.
Scanning als Routine statt als Notfall
Der wirksamste Schutz ist kein einmaliger Scan nach einem Verdacht, sondern eine feste Routine. Ein täglicher Vollscan mit Datei-Integritätsprüfung, eine kontinuierliche Überwachung der Zahlungsseite und ein monatlicher Tiefen-Audit der Abhängigkeiten bilden zusammen ein Sicherheitsnetz, das Infektionen in Minuten statt Monaten sichtbar macht. Diese Routine lässt sich nicht nebenbei betreiben -- sie braucht definierte Referenz-Hashes, ausgewertete Alarme und einen klaren Bereinigungsprozess für den Ernstfall.
Genau hier setzt unsere [Managed-Wartung für Online-Shops1 an: Wir richten die Integritäts-Baseline ein, betreiben das kontinuierliche Scanning, bewerten die Funde und härten das System nach jedem Vorfall. So bleibt das Scanning eine ruhige Routine im Hintergrund -- und wird nur dann zum Notfall, wenn es wirklich einer ist. Wer die Erkennungszeit von Monaten auf Minuten senkt, nimmt Skimmern und Backdoors ihre gefährlichste Waffe: die Zeit.
Wichtig ist dabei, dass das Scanning in den gesamten Wartungs- und Update-Zyklus eingebettet ist. Jedes Update kann die Datei-Integrität legitim verändern -- die signierte Referenz muss also nach jedem geplanten Deploy neu erzeugt und versioniert werden, damit kein Fehlalarm entsteht und kein echter Fund untergeht. Wer Updates ohne anschließende Baseline-Aktualisierung einspielt, blendet sein Frühwarnsystem unbemerkt aus. Genau deshalb laufen bei uns Update-Tests, Baseline-Pflege und Scan-Routine in einem abgestimmten Prozess zusammen, statt isoliert nebeneinander her. Das Ergebnis ist ein Shop, dessen Sicherheitslage jederzeit nachvollziehbar dokumentiert ist -- und der im Ernstfall in Minuten statt Monaten reagiert.