Auf das Preisvergleichsportal guenstiger.de hat es einen Cyberangriff gegeben. Das geht aus Presseberichten hervor. Laut diesen Berichten sollen – nach einer Infektion mit Ransomware – auch Daten verloren gegangen sein. Auf dem Preisvergleichsportal habe ich bisher noch nichts gefunden – lediglich auf LinkedIn gibt es eine "schmale" Meldung.
Hintergrund guenstiger.de
guenstiger.de ist ein Online-Preisvergleichsportal, welches 1999 von Philipp Hartmann und Torsten Schnoor gegründet wurde. Der Betreiber, die guenstiger.de GmbH hat ihren Sitz in Hamburg.
Auf der Seite finden sich neben Preisvergleichen für diverse Produktkategorien (Elektronik wie Computer, Telekommunikation, TV, Haus und Garten, Mode, Freizeit, Beauty und Gesundheit) auch Testberichte.
Cyberangriff auf das Unternehmen
Die Webseite security-incidents.de fasst hier die Kernpunkte des Sicherheitsvorfalls zusammen. Laut Meldung griff eine bislang unbekannte Ransomware-Gruppe den Hamburger Standort des Vergleichsportals guenstiger.de in der Nacht zum 23. April 2025 an.
Die Ransomware war so erfolgreich, dass Daten im IT-Netzwerk der guenstiger.de GmbH abgezogen und gelöscht werden konnten, bevor das IT-Team des Unternehmens die Systeme vom Netzwerk trennen konnte.
Als Folge führte dies nach Angaben von guenstiger.de zu technischen Schwierigkeiten, die sich in langsamen Ladezeiten auf der Webseite und fehlenden Daten in Preistabellen zeigen. Auch eine beeinträchtigte Kommunikation wird gemeldet.
Golem berichtet in diesem Beitrag vom Vorfall und hat die LinkedIn-Seite mit der Meldung der guenstiger.de GmbH verlinkt.
Der Mitteilung entnehme ich, dass die IT bisher noch kaum was weiß, außer, dass es einen Ransomware-Angriff gab. Daher könne man auch Partner und Kunden, die von diesem Angriff betroffen sein könnten, nicht persönlich informieren, heißt es auf LinkedIn.
Laut heise, die den guenstiger.de-Geschäftsführer Harald Schiffauer zitieren, seien Daten verloren gegangen. Laut Schiffauer kommt es "daher aktuell zu technischen Einschränkungen auf der Website und in der Kommunikation" mit guenstiger.de. Sichtbare Auswirkung des Vorfalls ist laut heise, dass in den guenstiger-Preistabellen in den Beiträgen von heise online und bei anderen Partnerseiten des Unternehmens teilweise Daten fehlen, und Produktbilder nur verzögert laden. Bei heise heißt es (entgegen der obigen LinkedIn-Meldung, dass die Geschäftskunden von guenstiger.de so weit als möglich bereits direkt informiert worden seien.
Auch verweist heise darauf, dass Betroffene auf LinkedIn in Kenntnis gesetzt worden seien. Laut heise wurde auch der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, informiert wurde. Es steht nach meiner Lesart aber wohl noch nicht fest, welche Daten genau und in welchem Umfang durch diesen Vorfall abgeflossen sind. Wer dort (z.B. per Händleranmeldung) mit Kundendaten "registriert" ist, oder einen Newsletter als Interessent abonniert hat, dürfte potentiell vom Vorfall betroffen sein. Ist jemand betroffen und hat eine Mitteilung der guenstiger.de GmbH erhalten?
MVP: 2013 – 2016
Weiß eigentlich jemand wie die Informationen auf dem Portal landen? Ich weiß zum Beispiel von einem unserer Zulieferer, dass deren Server gehackt und verschlüsselt wurden. Der Zulieferer war so transparent und hat das per Mail kommuniziert, im Portal finde ich von diesem Vorfall aber nichts. Ist das eine freiwillige Sache?
Ich vermute das Portal wird es selber veröffentlichen, es sind im Portal immer Nachrichtenwebseiten/Blogs als Quelle ernannt. Irgendeine Rechtsgrundlage um sowas zentral auf einem Portal zu veröffentlichen gibt es nicht.
Wobei ich nicht von "Portal" sprechen würde, dahinter steht eine GmbH die wohl Schulungen zu dem Thema anbietet. Ob die Seite die Fälle auch mehr oder weniger "vollständig" erfasst weiß ich nicht, weiß nicht ob es als Anlaufstelle für solche Vorfälle taugt. Scheint aber zumindest ein ganz guter Überblick zu sein.
Danke!
Eine Abfrage bei "UrlScan.io" zeigte eine Screenshot eines z.Z. häufigen Angriffs. Die Frage "Bot oder Mensch" sollte unter keinen Umständen angeklickt werden.
Kann jemand die Code de-obfuscaten?
@Die Frage "Bot oder Mensch" sollte unter keinen Umständen angeklickt werden.
Der Leser aus dem Beitrag Metz Consumer Electronic: Postfach gehackt, Betrugs-Mails verschickt schrieb, dass in der Mail ein Link auf eine linkin .bio-Seite führe, wo man bestätigen solle, dass man kein Bot, sondern ein Mensch sei. Er hat es in einer Sandbox getestet, und kam zu einer Seite, bei der man sich über ein Cloudflare-Captcha als Mensch outen soll. Anschließend habe er aber keinen Inhalt sehen können.
Im Code ist es schwer zu sehen, aber es könnte versucht werden einen "Service-Worker" zu installieren. Das würde dann jeder Zeit "push-Nachrichten" ermöglichen.
Ohne die Details zu kennen.
Bei anderen Preisportalen weiss ich die kippen CSV Dateien rein.
Aber zum Reinreplizieren der Preisänderungen könnten die Couchdb / Erlang verwendet haben.
Dann könnte es CVE 2025 32433 gewesen sein.
Was ich herauslese: Da ist die Webseite guenstiger.de und deren Office-Netz wurde über eine Ransomware gehackt, und jetzt funktioniert die Preisauskunft nicht mehr, weil Daten fehlen. Das heißt, die extern erreichbaren Webserver ziehen ihre Daten direkt von internen Servern im Office-Netz? Sowas macht man nicht!
Oder die extern erreichbaren Webserver ziehen ihre Daten von dafür vorgesehenen Datenbanken deren Aktualisierung und ggf. Moderation usw. aber von internen Servern im Office-Netz getriggert wird?