Noch zwei Informationssplitter zu Sicherheitsvorfällen bei Online-Shops in Deutschland, auf die Blog-Leser hingewiesen haben. Der Online-Shop des Musikhändlers kirstein.de hat einen Fremdzugriff erlitten. Weiterhin wurde der Online-Händler für Gebraucht-Elektronik, AsGoodAsNew, Opfer eines Cyberangriffs. Beide wurden über eine Sicherheitslücke in der Software des Online-Shop gehackt. Ergänzung: Zudem hat LexisNexis einen Datenabfluss bestätigt.
Sicherheitsvorfall bei kirstein.de
Das 1987 gegründete und im Schongau (Bayern) beheimatete Musikhaus Kirstein bietet Musikinstrumente und Ausrüstung, auch über einen Online-Shop an. Laut Eigenaussage zählt Kirstein umsatzmäßig zu den größten Musikhäusern Deutschlands.
Blog-Leser Cedric F. hat mich zum 4. März 2026 per E-Mail darüber informiert (danke), dass es bei kirstein.de einen Sicherheitsvorfall gab. In einer E-Mail, die mir vorliegt, informiert kirstein.de betroffene Kunden über den Vorfall. Laut Betreiber wurde am 27.02.2026, um 17:05 Uhr, eine sicherheitsrelevante Auffälligkeit am Shop-System festgestellt. Die Technik hat sofort reagiert, und ab 17:10 Uhr lief der Shop im Wartungsmodus. Bereits um 17:20 Uhr wurde der Online-Shop vollständig offline genommen.
Der Betreiber schreibt, dass es zu einem Cyberangriff im Zusammenhang mit einem Modul im Online-Shop kam. Die identifizierte Ursache sei behoben, die Sicherheitslücke geschlossen und zusätzliche Schutzmaßnahmen aktiviert worden. Es kann nach aktuellem Stand nicht ausgeschlossen werden, dass Zugangsdaten zu Shop-Konten von Kunden betroffen sind. Zahlungsdaten sind nicht betroffen, da separat gespeichert.
Dies kann dazu führen, dass die E-Mail-Adresse von Kunden gegenüber Unbefugten offengelegt wurde. Die Passwörter der Konten wurden hingegen nicht im Klartext gespeichert, sondern als nicht direkt lesbarer Prüfwert (Hash). Daraus lässt sich das Passwort nicht einfach ablesen, schreibt der Anbieter.
Nach bisherigen Prüfungen liegen keine Hinweise auf den Abfluss von Adressdaten oder weitere Kundendaten (z. B. Liefer-/Rechnungsanschriften, Bestell- oder Zahlungsdaten) vor. Trotzdem hat Kirstein als Vorsichtsmaßnahme alle Kunden-Logins zurückgesetzt, die bisherigen Passwörter sind nicht mehr gültig. Kunden sollten direkt auf die URL des Shop-Systems gehen (keine Links in E-Mails anklicken) und auf der Anmeldeseite die Funktion Passwort vergessen nutzen.
Neben den technischen Maßnahmen zur Absicherung der Systeme wurden Belege und Protokolle gesichert. Außerdem wurden die zuständigen Stellen (Datenschutzbeauftragter, Polizei, Datenschutzaufsichtsbehörde) informiert.
Sicherheitsvorfall bei AsGoodAsNew
Zudem haben Cedric und Blog-Leser Stefan L. (danke für den Hinweis) mich gestern und heute über einen Sicherheitsvorfall bei AsGoodAsNew informiert. AsGoodAsNew ist seit 2008 ein Spezialist für generalüberholte, nachhaltige und geprüfte Gebraucht-Elektronik. In einer E-Mail informiert der Anbieter ebenfalls über einen Sicherheitsvorfall.
Der OXID-eShop des Unternehmens wurde am 01.03.2026 durch einen gezielten Hackerangriff kompromittiert. Von dem Angriff auf die Systeme des AsGoodAsNew Online-Shops seien auch andere Online-Shops des verwendeten Softwareanbieters betroffen. Dabei hätten bislang unbekannte Dritte eine zum Angriffszeitpunkt unbekannte Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters ausgenutzt, um Zugriff auf die AsGoodAsNew-Datenbank zu erlangen.
Nach den vorliegenden forensischen Informationen ist leider davon ausgzugehen, dass auch personenbezogenen Daten von Kunden durch die Angreifer ausgelesen wurden. Konkret betroffen sind Stammdaten (Name, Anschrift), die E-Mail-Adresse, die Bestellhistorie sowie verschlüsselte Passwort-Daten. Der Shop-Betrieber hat die zuständige Datenschutzbehörde bereits über den Vorfall in Kenntnis gesetzt. Zudem arbeite man eng mit unserem Hosting-Dienstleister und IT-Forensikern zusammen, um die Systeme gegen zukünftige Angriffe abzusichern.
Da verschlüsselte Passwort-Daten und Informationen zu bisherigen Bestellungen von Kunden betroffen sind, besteht das Risiko eines Identitätsdiebstahls oder von gezielten Betrugsversuchen (Phishing). Der Anbieter hat daher bereits vorsorglich sämtliche Kundenpasswörter zurückgesetzt. Ein Login mit dem alten Passwort ist somit nicht mehr möglich. Empfohlen werden, ein neues Passwort beim nächsten Besuch des Online-Shops über die Funktion Passwort vergessen zu vergeben.
Falls dieselbe Kombination aus E-Mail-Adresse und Passwort auch bei anderen Anbietern verwendet wurde, sollten diese umgehend geändert werden. Zudem sollten Kunden vorsichtig sein, wenn Mails eintreffen, die sich Bestellungen im Shop beziehen und die Empfänger zur Eingabe von Zahlungsdaten oder Passwörtern auffordern. Angreifer könnten die entwendeten Informationen benutzen, um täuschend echte Betrugsmails zu verfassen.
1,8 Millionen Kundendaten betroffen?
Ergänzung: Zum 11. März 2026 ist auf der Seite Sicher im Netz dieser Bericht erschienen. GoodAsNew hat darüber informiert, dass die Daten von rund 1,8 Millionen Kunden von obigem Vorfall betroffen sind.
Klarna-Zahlungsmodus in Oxid eShop Enterprise Editionen Ursache?
Ich habe das Ganze nicht weiter verfolgt – Hans weist in diesem Kommentar auf den heise-Beitrag IT-Einbrüche bei asgoodasnew und Kirstein: Mögliche Angriffswelle auf Oxid eShop hin. Einfallstor dürfte eine Schwachstelle in einem genutzten Zahlungsmodul von Klarna in den Oxid eShop Enterprise Editionen sein.
Datenabfluss bei LexisNexis bestätigt
Ergänzung: Zudem hat der Datenanalyse-Anbieter LexisNexis einen Datenabfluss in der Abteilung "Legal & Professional" bestätigt. LexisNexis ist laut eigenen Angaben führender Anbieter internationaler Nachrichten sowie Branchen- und Firmeninformationen. Mit den Online-Tools unterstützt der Data Analytics-Anbieter Unternehmen dabei, relevante Informationen zu finden.
The Register berichtet in diesem Artikel, dass LexisNexis den Vorfall wenige Tage nachdem die Cyberkriminellen-Gruppe Fulcrumsec die Verantwortung für den Hack übernommen hatte, eingestanden habe. Die Angreifer waren in der Lage, auf Daten "einiger Server" zuzugreifen. Die dort gespeicherten Daten seiten "größtenteils veraltete Daten aus der Zeit vor 2020" gewesen. Zu den Daten gehörten Kundennamen, Benutzer-IDs, geschäftliche Kontaktinformationen, verwendete Produkte, Kundenumfragen mit den IP-Adressen der Befragten und Support-Tickets.
MVP: 2013 – 2016
Ich vermute, dass was da in der Abteilung "Legal & Professional" stattgefunden hat, war illegal und unprofessionell. Außerdem für die Betroffenen nicht schön.
@Günter
https://www.heise.de/news/IT-Einbrueche-bei-asgoodasnew-und-Kirstein-Moegliche-Angriffswelle-auf-Oxid-eShop-11199884.html
Ein genutztes Zahlungsmodul von Klarna in den Oxid eShop Enterprise Editionen ist hier wohl der Übeltäter…
Laut Aussage eines Kunden von mir der ebenfalls Oxid 6 nutzt, ist das Klarna Modul standardmäßig installiert. Es dürften also recht viele Shops betroffen sein.
Ich erhielt ebenfalls am Freitag, 06.03.2026 von asgoodasnew eine E-Mail und wurde darüber informiert, dass meine personenbezogenen Daten durch die Angreifer ausgelesen wurden. Entdeckt habe ich die Mail aber erst am gestrigen Samstag im Spam-Ordner von Gmail.
Ich wunderte mich zunächst über diese Mitteilung, weil ich nie bewusst ein Kundenkonto bei asgoodasnew angelegt oder eine Bestellung aufgegeben hatte. Scheinbar legt asgoodasnew ein Kundenkonto ohne Passwort an, wenn man nur den Newsletter abonniert. Den Newsletter hatte ich im März 2025 abonniert und kurz darauf auch wieder abbestellt. Gestern konnte ich mit meiner E-Mail-Adresse ein neues Passwort anfordern und vergeben, was bestätigt, dass durch das Abonnieren des Newsletters automatisch ein Kundenkonto angelegt und dieses durch die Abmeldung nicht gelöscht wird.
Aus meiner Sicht ist das nicht in Ordnung und ich hoffe, die zuständige Datenschutzbehörde schaut da mal genauer hin. Kundenkonten und Newsletterabonnenten sollten voneinander getrennt werden. Wenn man sich vom Newsletter abmeldet, müssen die Daten gelöscht werden, weil es keine Grundlage mehr gibt, diese Daten aufzubewahren.
Ich befürchte, wie „FriedeFreudeEierkuchen" bereits geschrieben hat, dass davon viele Shops (OXID eShop) und Datensätze betroffen sein könnten. Vor allem, wenn für jeden Newsletterabonnenten ein verstecktes Kundenkonto angelegt wird.