Kritische WordPress-Sicherheitslücke: Kreditkartendaten von WooCommerce-Shops gefährdet

Aktive Angriffe auf den Funnel Builder – Was deutsche Online-Händler jetzt wissen müssen

Einleitung: Wenn der Checkout zur Falle wird

Ein beliebtes WordPress-Plugin wird aktiv ausgenutzt, um Kundendaten zu stehlen – und deutsche Online-Händler könnten direkt betroffen sein. Seit dem 16. Mai 2025 warnen Sicherheitsforscher vor einer kritisch eingestuften Schwachstelle im Funnel Builder for WordPress, einem weit verbreiteten Plugin zur Optimierung von Verkaufstrichtern und Checkout-Prozessen in WooCommerce-Shops.

Angreifer nutzen diese Lücke aktiv aus, um schadhaften JavaScript-Code in Checkout-Seiten einzuschleusen – direkt an der sensibelsten Stelle im Online-Kaufprozess: dem Bezahlvorgang. Kreditkartendaten, Namen und Adressinformationen ahnungsloser Käufer werden dabei unbemerkt an externe Server der Angreifer übertragen. Diese Art von Angriff, bekannt als Web-Skimming oder Magecart-Angriff, ist keine Neuheit – aber die aktive Ausnutzung einer ungepatchten Plugin-Schwachstelle erhöht die Dringlichkeit erheblich.

Für deutsche Unternehmen ist das aus mehreren Gründen relevant: Wer einen WooCommerce-Shop betreibt und Zahlungsdaten verarbeitet, bewegt sich im Geltungsbereich der DSGVO, des Kreditkartenstandards PCI DSS – und seit dem NIS2-Umsetzungsgesetz möglicherweise auch unter erweiterten Cybersicherheitspflichten.

Technischer Hintergrund: Was steckt hinter diesem Angriff?

Die Schwachstelle im Detail

Der Funnel Builder (auch bekannt unter dem Namen CartFlows oder verwandten Produkten) ermöglicht es WordPress-Betreibern, mehrstufige Checkout-Prozesse und Verkaufstrichter zu gestalten. Das Plugin ist nach offiziellen Angaben auf hunderttausenden WordPress-Installationen weltweit aktiv – ein attraktives Ziel für Cyberkriminelle.

Die ausgenutzte Schwachstelle erlaubt es Angreifern ohne Authentifizierung – also ohne gültigen Login – beliebigen JavaScript-Code in die Checkout-Seiten einzuschleusen. Technisch handelt es sich vermutlich um eine Kombination aus unzureichender Eingabevalidierung und fehlerhafter Zugriffskontrolle auf bestimmte Plugin-Endpunkte (sogenannte AJAX-Hooks), die ohne vorherige Anmeldung erreichbar sind.

So funktioniert der Angriff – vereinfacht erklärt

1. Aufklärung: Angreifer scannen automatisiert das Internet nach WordPress-Installationen mit der verwundbaren Plugin-Version.
2. Einschleusung: Über die Schwachstelle wird ein kleines JavaScript-Snippet in die Datenbankeinträge des Plugins geschrieben.
3. Aktivierung: Sobald ein Kunde die Checkout-Seite aufruft, wird das Skript im Browser des Käufers ausgeführt.
4. Datendiebstahl: Das Skript liest in Echtzeit eingetippte Kreditkartennummern, CVV-Codes, Namen und Adressen aus den Formularfeldern ab.
5. Exfiltration: Die gestohlenen Daten werden an einen von den Angreifern kontrollierten Server übertragen – oft über verschleierte Domains oder legitim wirkende URLs.

Das Perfide: Der Shop-Betreiber und der Kunde bemerken davon im Normalfall gar nichts. Die Zahlung wird regulär abgewickelt, das Skript arbeitet still im Hintergrund.

Einordnung: Magecart-Gruppe und organisierte Cyberkriminalität

Solche Angriffe werden häufig der sogenannten Magecart-Gruppe oder deren Nachahmern zugeschrieben – ein loser Verbund cyberkrimineller Akteure, der seit Jahren gezielt E-Commerce-Plattformen angreift. Laut ENISA zählen Web-Skimming-Angriffe zu den am stärksten wachsenden Bedrohungen im E-Commerce-Sektor. Allein 2023 wurden weltweit Tausende kompromittierte Online-Shops identifiziert.

Auswirkungen für Deutschland: DSGVO, PCI DSS und NIS2

DSGVO: Meldepflicht innerhalb von 72 Stunden

Wer als Betreiber eines deutschen Online-Shops von diesem Angriff betroffen ist, steht unmittelbar vor einer datenschutzrechtlichen Pflicht: Gemäß Art. 33 DSGVO muss ein Datenschutzverstoß, der Risiken für betroffene Personen birgt, innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Bei einem Kreditkartendiebstahl ist das Risiko für Betroffene per Definition hoch – eine Meldung ist damit praktisch immer erforderlich.

Zusätzlich greift Art. 34 DSGVO: Betroffene Kunden müssen in der Regel ebenfalls informiert werden. Das bedeutet: Neben dem Imageschaden drohen aufwendige Kommunikationsprozesse und mögliche Bußgeldverfahren.

PCI DSS: Pflichten für Kreditkartenzahlungen

Wer Kreditkartenzahlungen verarbeitet oder auch nur die entsprechenden Formulare auf seiner Website hostet, unterliegt dem Payment Card Industry Data Security Standard (PCI DSS). Die aktuelle Version 4.0 verschärft die Anforderungen an die Überwachung von Zahlungsseiten explizit – unter anderem müssen alle auf Checkout-Seiten geladenen Skripte autorisiert und regelmäßig überprüft werden (Anforderung 6.4.3 und 11.6.1). Ein erfolgreicher Skimming-Angriff stellt damit auch einen PCI-DSS-Verstoß dar.

NIS2: Erweiterte Pflichten für betroffene Unternehmen

Seit der Umsetzung der NIS2-Richtlinie in deutsches Recht (BSIG-Novelle) unterliegen Unternehmen in bestimmten Sektoren – darunter der digitale Handel, wenn bestimmte Schwellenwerte überschritten werden – erweiterten Cybersicherheitspflichten. Dazu gehören:

• Risikomanagement-Maßnahmen (§ 30 BSIG-neu): Technische und organisatorische Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen – dazu zählt ausdrücklich auch das zeitnahe Einspielen von Sicherheitspatches.
• Meldepflichten (§ 32 BSIG-neu): Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständiger Bericht) gemeldet werden.
• Lieferkettensicherheit: Der Einsatz von Drittanbieter-Plugins ist als Teil der Lieferkette zu betrachten und entsprechend zu prüfen.

Das BSI empfiehlt grundsätzlich, ein Vulnerability-Management-Prozess zu etablieren, der auch eingesetzte CMS-Plugins und externe Softwarekomponenten erfasst.

Praktische Schutzmaßnahmen: Was Sie jetzt tun sollten

1. Sofortmaßnahme: Plugin-Version prüfen und aktualisieren

Prüfen Sie unverzüglich, welche Version des Funnel Builder Plugins auf Ihren WordPress-Installationen läuft. Aktualisieren Sie auf die neueste verfügbare Version, in der die Schwachstelle geschlossen wurde. Falls noch kein Patch verfügbar sein sollte: Deaktivieren Sie das Plugin sofort, bis ein Update eingespielt werden kann. Ein kurzer Ausfall des Checkout-Prozesses ist vertretbar – ein monatelanger Kreditkartenmissbrauch Ihrer Kunden nicht.

Konkrete Schritte:
- WordPress-Backend → Plugins → Nach verfügbaren Updates suchen
- Automatische Plugin-Updates für sicherheitskritische Plugins aktivieren
- Changelogs auf Sicherheitshinweise prüfen

2. Integrity-Monitoring für Checkout-Seiten implementieren

Setzen Sie Tools ein, die Veränderungen an Ihren Checkout-Seiten in Echtzeit erkennen. Lösungen wie Wordfence (für WordPress), Sucuri oder kommerzielle SIEM-Systeme können unerwartete Skriptänderungen alarmieren. PCI DSS 4.0 macht solche Mechanismen ab 2025 ohnehin zur Pflicht.

3. Content Security Policy (CSP) einrichten

Eine Content Security Policy im HTTP-Header Ihrer Website verhindert, dass nicht autorisierte externe Skripte geladen oder Daten an fremde Domains übertragen werden. Eine restriktive CSP ist eine der effektivsten Maßnahmen gegen Skimming-Angriffe und kostet vergleichsweise wenig Aufwand.

Beispiel-Header:

Content-Security-Policy: script-src 'self' https://vertrauenswürdige-cdn.de; connect-src 'self';

4. Regelmäßige Plugin-Audits und Minimalprinzip

Jedes installierte Plugin ist eine potenzielle Angriffsfläche. Führen Sie mindestens quartalsweise ein Audit Ihrer WordPress-Installation durch:

• Welche Plugins sind wirklich in Verwendung?
• Werden alle Plugins aktiv gepflegt (aktuelle Updates, aktiver Support)?
• Können ungenutzte Plugins deinstalliert werden?

Das Prinzip der minimalen Plugin-Installation (weniger ist mehr) reduziert Ihre Angriffsfläche erheblich.

5. Subresource Integrity (SRI) für externe Skripte

Wenn externe JavaScript-Bibliotheken eingebunden werden, sollten diese mit Subresource Integrity-Hashes abgesichert sein. Dadurch wird verhindert, dass manipulierte Versionen externer Skripte ausgeführt werden, selbst wenn ein CDN oder externer Anbieter kompromittiert wurde.

6. Webanwendungs-Firewall (WAF) vorschalten

Eine Web Application Firewall – entweder als Cloud-Dienst (z. B. Cloudflare, Sucuri WAF) oder als On-Premise-Lösung – kann viele bekannte Angriffsmuster auf WordPress-Installationen bereits blockieren, bevor sie die eigentliche Anwendung erreichen. Sie ist kein Allheilmittel, aber eine wichtige Schutzschicht.

7. Incident-Response-Plan bereithalten

Für den Fall, dass ein Angriff dennoch erfolgreich ist: Haben Sie einen dokumentierten Incident-Response-Plan, der die notwendigen Schritte für DSGVO-Meldungen, Kundenkommunikation und forensische Untersuchung beschreibt? Dieser Plan sollte regelmäßig geprobt und aktualisiert werden.

Fazit: Plugin-Sicherheit ist kein optionales Extra

Der aktive Angriff auf den Funnel Builder zeigt einmal mehr, dass WordPress-Plugins trotz ihrer Bequemlichkeit eine ernstzunehmende Sicherheitsverantwortung mit sich bringen. Für deutsche Unternehmen, die WooCommerce-Shops betreiben, ist das kein abstraktes Risiko, sondern eine konkrete Bedrohung mit rechtlichen Konsequenzen – von DSGVO-Bußgeldern über PCI-DSS-Sanktionen bis hin zu NIS2-Meldepflichten.

Die gute Nachricht: Die meisten der genannten Schutzmaßnahmen sind technisch gut umsetzbar und erfordern keine unverhältnismäßigen Ressourcen. Entscheidend ist, dass Plugin-Sicherheit als kontinuierlicher Prozess verstanden wird – nicht als einmaliges Projekt.

Call-to-Action: NIS2-Compliance strukturiert angehen

Fälle wie dieser verdeutlichen, warum NIS2 explizit ein systematisches Schwachstellenmanagement und Patch-Management als Pflichtbestandteil der Cybersicherheitsstrategie vorschreibt. Wenn Sie noch keinen strukturierten Prozess für diese Aufgaben haben, lohnt sich ein Blick auf spezialisierte NIS2-Compliance-Software: Moderne Tools helfen dabei, eingesetzte Softwarekomponenten zu inventarisieren, Schwachstellen automatisiert zu tracken, Meldepflichten fristgerecht zu verwalten und Nachweise für Behörden und Auditoren zu dokumentieren – und zwar nicht nur für WordPress-Installationen, sondern für Ihre gesamte IT-Landschaft. Ein strukturiertes Compliance-Framework spart im Ernstfall nicht nur Zeit, sondern kann auch bußgeldmindernd wirken.

Quellen: Bleeping Computer (16.05.2025), BSI-Grundschutz, ENISA Threat Landscape 2023, DSGVO Art. 33/34, PCI DSS v4.0, BSIG (NIS2-Umsetzungsgesetz)