Der Dienstleister 4SELLERS, der sich als "einer der größten deutschen Anbieter für E-Commerce-Lösungen" bezeichnet, ist Opfer eines Cyberangriffs geworden. Ich hatte hier im Blog berichtet. Im Nachgang hat der Dienstleister mir über seine Rechtsvertretung weitere Informationen zum Vorfall zukommen lassen, die ich hier nachtrage. Es sind nach Mitteilung "keine Kundensysteme" betroffen.
Rückblick auf den 4SELLERS Cyberangriff
Im Beitrag Dienstleister für Webshops, 4SELLERS, Opfer eines Cyberangriffs hatte ich am 5. Mai 2026 über einen Cybervorfall bei diesem Anbieter berichtet. 4SELLERS, ein Dienstleister, der sich als "einer der größten deutschen Anbieter für E-Commerce-Lösungen" bezeichnet, ist Opfer eines Cyberangriffs geworden. Das Unternehmen bietet eine ERP-Software für E-Commerce an.
In der Nacht vom 30.4.2026 kam es demnach zu einem "gezielten" Cyberangriff (Ransomware) auf das Unternehmen, der – so die Eigenaussage – von "professionellen" Angreifern durchgeführt wurde. Trotz Schutzmaßnahmen des Unternehmens ist es den Angreifern gelungen, Teile der Systeme von 4SELLERS zu beeinträchtigen. Der Anbieter hat diesen Vorfall gegenüber seinen Kunden eingeräumt.
Information von 4SELLERS über neue Erkenntnisse
Zum 12. Mai 2026 hat mich die von 4SELLERS beauftragte Anwaltskanzlei per E-Mail kontaktiert, um mir neue Erkenntnisse mitzuteilen. Hier die betreffende Information:
Im Namen und Auftrag unserer Mandantschaft 4SELLERS GmbH nehmen wir Bezug auf Ihren Blogeintrag Dienstleister für Webshops, 4 SELLERS, Opfer eines Cyberangriffs vom 05.05.2026.
Zunächst vielen Dank für Ihre schnelle Berichterstattung und die intensive Begleitung des Themas. Uns ist bewusst, dass die Einordnung aktueller IT-Sicherheitsvorfälle oft unter hohem Zeitdruck und auf Basis sich laufend verändernder Informationen erfolgt.
Da sich die technische Analyse weiterhin fortlaufend konkretisiert, möchten wir Ihnen einige ergänzende Informationen zum aktuellen Stand übermitteln, damit die Einordnung möglichst präzise erfolgen kann.
Nach dem aktuellen Stand der Untersuchungen sind keine Kundensysteme betroffen; eine Betroffenheit ist nach derzeitigem Kenntnisstand ausgeschlossen. Betroffen war ausschließlich ein internes Verwaltungsnetzwerk der 4SELLERS GmbH.
Unsere produktiven Kundensysteme, Cloud-Umgebungen und Hosting Umgebungen sind physikalisch, infrastrukturell und geografisch getrennt betrieben und nach aktuellem Stand nicht betroffen. Ebenso liegen derzeit keine Hinweise darauf vor, dass Daten aus Kundensystemen unbefugt verarbeitet, verändert oder exfiltriert wurden.
Richtig ist, dass es durch den Vorfall am 30.04. zeitweise Einschränkungen im Zusammenhang mit unserem internen Lizenzdienst gab. Die betroffenen Dienste konnten jedoch binnen weniger Stunden wiederhergestellt werden.
Einen technischen Punkt möchten wir zudem gerne präzisieren:
Die 4SELLERS-Anwendung benötigt grundsätzlich keine Domänen-Admin-Rechte auf Kundensystemen. Generell werden Systemzugriffe stets individuell mit dem jeweiligen Kunden abgestimmt und entsprechend der jeweiligen Sicherheitsanforderungen umgesetzt. Dabei kommen abhängig vom Einsatzszenario unterschiedliche Zugriffskonzepte zum Einsatz, die durch geeignete technische und organisatorische Maßnahmen abgesichert werden.
Zusätzlich wurden höchst vorsorglich umfassende Sicherheitsmaßnahmen umgesetzt, darunter:
- die vollständige Isolation der betroffenen Infrastruktur,
- der Aufbau einer neuen getrennten Umgebung,
- die Überprüfung relevanter Kundensysteme,
- sowie die Rotation administrativer Zugangsdaten.
Auf Basis der aktuell vorliegenden Erkenntnisse geht die 4SELLERS GmbH derzeit nicht von einer Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO in Bezug auf Kundendaten aus.
Wir würden uns freuen, wenn diese ergänzenden Informationen bei Gelegenheit berücksichtigt bzw. präzisierend aufgenommen werden könnten.
Bezüglich der obigen Ausführungen stelle ich fest, dass es positiv ist, dass nach bisherigem Kenntnisstand keine Kundendaten abgeflossen sind (hoffen wir, dass es bei dieser Erkenntnis bleibt). Die obige Aussage "es sind keine Kundensysteme betroffen" bezieht sich daher auf die Daten der Kunden und ggf. einen Befall durch Ransomware. Kunden waren, ausweislich der eigenen 4SELLERS-Mitteilung insofern tangiert, als wohl bestimmte Funktionen oder Dienstleistungen während des Vorfalls nicht voll zur Verfügung standen (O-Ton: "Sie haben es heute vermutlich bereits selbst gemerkt und teilweise standen wir bereits in Kontakt : Bei uns lief nicht alles wie gewohnt. Deshalb möchten wir Sie offen und direkt informieren. […] Die gute Nachricht vorweg: Wir haben die Situation inzwischen unter Kontrolle und alle Systeme stehen Ihnen wieder wie gewohnt zur Verfügung. […] Aktuell kann es intern noch zu Einschränkungen kommen, weshalb einzelne Prozesse vorübergehend langsamer oder eingeschränkt laufen können."
Doch keine Domain-Admin-Rechte erforderlich
4SELLERS ist laut einem Leser, der meine Quelle für den initialen Blog-Beitrag war, wohl Opfer der Quilin-Ransomware geworden (ergibt sich aus dem nachfolgend erwähnten Prüf-Script). Eine Beschreibung eines Angriffs findet sich in diesem Artikel.
Gestutzt habe ich über die Aussage: "Die 4SELLERS-Anwendung benötigt grundsätzlich keine Domänen-Admin-Rechte auf Kundensystemen. Generell werden Systemzugriffe stets individuell mit dem jeweiligen Kunden abgestimmt und entsprechend der jeweiligen Sicherheitsanforderungen umgesetzt.". Das basierte auf der Beobachtung eines als IT-Dienstleister fungierenden Lesers bei seinem Kunden. Der Leser ist als IT-Sicherheitssachverständiger tätig, schaut also "hinter die Kulissen" und hat einen (mir vorliegenden) Schriftwechsel mit 4SELLERS geführt. Der IT-Dienstleister hatte in einer Anfragen an 4SELLERS folgendes geschrieben:
Unabhängig davon möchten wir die bisherigen Berechtigungen der 4SELLERS-Konten neu bewerten.
Bitte begründen Sie uns daher, ob und warum für die 4SELLERS-Benutzer tatsächlich Domänen-Admin-Berechtigungen (bspw. Für den Taskservice) erforderlich sind.
Sollte dies nicht zwingend notwendig sein, werden wir die Rechte entsprechend reduzieren müssen.
Es gab auch eine konkrete Antwort auf die obige Frage. Ich zitiere mal eine Aussage des 4SELLERS-Mitarbeiters aus diesem Schriftwechsel.
Bzgl. Domain User Rechten: Die Consultants müssen ggfs. für Ihre Tätigkeiten am System mit Domänen-Admin-Berechtigungen ausgestattet sein.
Dienste User, wie z.B. der Service Account der für den Taskservice hinterlegt ist, benötigen nicht zwingend Adminrechte.
Ich leite davon ab, dass bei einem der 4SELLERS-Kunden wohl Domain-Administrator-Berechtigungen vergeben worden waren. Die obige Aussage bezüglich der Consultants bezieht sich möglicherweise auf ein "Incident Response Repository" Script, welches die Dienstleister bei Kunden ausführen sollen, um eine Infektion auszuschließen. Dieses Script wertet im Active Directory (AD) sowohl "Privilegierte Gruppen" als auch "Lokale Administratoren" aus, um das System auf Auffälligkeiten zu prüfen.
Insofern trifft die obige Aussage von 4SELLERS zu, das nicht zwingend Domain-Administrator-Berechtigungen für die Software bzw. "Dienste User" erforderlich sind. Aber in der Praxis scheinen dann doch Domain-Administrator-Berechtigungen vergeben worden zu sein.
Der Blog-Leser merkte nach Vorablektüre dieses Texts noch an: "4SELLERS hat sich in unserem konkreten Fall inzwischen darauf eingelassen, die bisherigen Domänen-Admin-Rechte abzugeben." Die entsprechenden Benutzer wurden vom IT-Dienstleister angepasst; für den betroffenen Service-Account wurden die Domänen-Admin-Rechte entzogen und stattdessen nur noch lokale Administratorrechte auf den tatsächlich benötigten Systemen vergeben.
Aus Sicht des Lesers war dies der entscheidende Punkt. Nach einem solchen Vorfall sollte ein externer Dienstleister nicht pauschal und dauerhaft mit Domänen-Admin-Rechten auf Kundensystemen unterwegs sein, wenn sich die notwendigen Tätigkeiten auch mit deutlich eingeschränkteren Rechten abbilden lassen.
Es bleibt festzuhalten, dass die kritische Nachfrage zu den Berechtigungen offenbar nicht ganz unbegründet war — sonst hätte man die Domänen-Admin-Rechte vermutlich nicht so ohne Weiteres reduzieren können. Aus Sicherheitssicht zeigt der Fall ganz gut, dass solche Berechtigungskonzepte bei externen Dienstleistern regelmäßig hinterfragt werden sollten. Gerade dauerhafte Domänen-Admin-Rechte für Support- oder Service-Accounts sind als problematisch anzusehen.
MVP: 2013 – 2016
