{"id":324966,"date":"2026-05-15T00:05:35","date_gmt":"2026-05-14T22:05:35","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324966"},"modified":"2026-05-13T23:48:40","modified_gmt":"2026-05-13T21:48:40","slug":"cyberangriff-auf-4sellers-wohl-keine-kundensysteme-betroffen-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/15\/cyberangriff-auf-4sellers-wohl-keine-kundensysteme-betroffen-teil-2\/","title":{"rendered":"Cyberangriff auf 4SELLERS: Wohl keine Kundensysteme betroffen &#8211; Teil 2"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Der Dienstleister\u00a0<em>4SELLERS<\/em>, der sich als \"einer der gr\u00f6\u00dften deutschen Anbieter f\u00fcr E-Commerce-L\u00f6sungen\" bezeichnet, ist Opfer eines Cyberangriffs geworden. Ich hatte hier im Blog berichtet. Im Nachgang hat der Dienstleister mir \u00fcber seine Rechtsvertretung weitere Informationen zum Vorfall zukommen lassen, die ich hier nachtrage. Es sind nach Mitteilung \"keine Kundensysteme\" betroffen.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf den 4SELLERS Cyberangriff<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/d1c057d2cb7e476889b013ac56efab98\" alt=\"\" width=\"1\" height=\"1\" \/>Im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2026\/05\/05\/dienstleister-fuer-webshops-4sellers-opfer-eines-cyberangriffs\/\">Dienstleister f\u00fcr Webshops, 4SELLERS, Opfer eines Cyberangriffs<\/a> hatte ich am 5. Mai 2026 \u00fcber einen Cybervorfall bei diesem Anbieter berichtet. <em>4SELLERS<\/em>, ein Dienstleister, der sich als \"einer der gr\u00f6\u00dften deutschen Anbieter f\u00fcr E-Commerce-L\u00f6sungen\" bezeichnet, ist Opfer eines Cyberangriffs geworden. Das Unternehmen bietet eine ERP-Software f\u00fcr E-Commerce an.<\/p>\n<p>In der Nacht vom 30.4.2026 kam es demnach zu einem \"gezielten\" Cyberangriff (Ransomware) auf das Unternehmen, der &#8211; so die Eigenaussage &#8211; von \"professionellen\" Angreifern durchgef\u00fchrt wurde. Trotz Schutzma\u00dfnahmen des Unternehmens ist es den Angreifern gelungen, Teile der Systeme von 4SELLERS zu beeintr\u00e4chtigen. Der Anbieter hat diesen Vorfall gegen\u00fcber seinen Kunden einger\u00e4umt.<\/p>\n<h2>Information von 4SELLERS \u00fcber neue Erkenntnisse<\/h2>\n<p>Zum 12. Mai 2026 hat mich die von 4SELLERS beauftragte Anwaltskanzlei per E-Mail kontaktiert, um mir neue Erkenntnisse mitzuteilen. Hier die betreffende Information:<\/p>\n<blockquote><p>Im Namen und Auftrag unserer Mandantschaft 4SELLERS GmbH nehmen wir Bezug auf Ihren Blogeintrag Dienstleister f\u00fcr Webshops, 4 SELLERS, Opfer eines Cyberangriffs vom 05.05.2026.<\/p>\n<p>Zun\u00e4chst vielen Dank f\u00fcr Ihre schnelle Berichterstattung und die intensive Begleitung des Themas. Uns ist bewusst, dass die Einordnung aktueller IT-Sicherheitsvorf\u00e4lle oft unter hohem Zeitdruck und auf Basis sich laufend ver\u00e4ndernder Informationen erfolgt.<\/p>\n<p>Da sich die technische Analyse weiterhin fortlaufend konkretisiert, m\u00f6chten wir Ihnen einige erg\u00e4nzende Informationen zum aktuellen Stand \u00fcbermitteln, damit die Einordnung m\u00f6glichst pr\u00e4zise erfolgen kann.<\/p>\n<p>Nach dem aktuellen Stand der Untersuchungen sind keine Kundensysteme betroffen; eine Betroffenheit ist nach derzeitigem Kenntnisstand ausgeschlossen. Betroffen war ausschlie\u00dflich ein internes Verwaltungsnetzwerk der 4SELLERS GmbH.<\/p>\n<p>Unsere produktiven Kundensysteme, Cloud-Umgebungen und Hosting Umgebungen sind physikalisch, infrastrukturell und geografisch getrennt betrieben und nach aktuellem Stand nicht betroffen. Ebenso liegen derzeit keine Hinweise darauf vor, dass Daten aus Kundensystemen unbefugt verarbeitet, ver\u00e4ndert oder exfiltriert wurden.<\/p>\n<p>Richtig ist, dass es durch den Vorfall am 30.04. zeitweise Einschr\u00e4nkungen im Zusammenhang mit unserem internen Lizenzdienst gab. Die betroffenen Dienste konnten jedoch binnen weniger Stunden wiederhergestellt werden.<\/p>\n<p>Einen technischen Punkt m\u00f6chten wir zudem gerne pr\u00e4zisieren:<\/p>\n<p>Die 4SELLERS-Anwendung ben\u00f6tigt grunds\u00e4tzlich keine Dom\u00e4nen-Admin-Rechte auf Kundensystemen. Generell werden Systemzugriffe stets individuell mit dem jeweiligen Kunden abgestimmt und entsprechend der jeweiligen Sicherheitsanforderungen umgesetzt. Dabei kommen abh\u00e4ngig vom Einsatzszenario unterschiedliche Zugriffskonzepte zum Einsatz, die durch geeignete technische und organisatorische Ma\u00dfnahmen abgesichert werden.<\/p>\n<p>Zus\u00e4tzlich wurden h\u00f6chst vorsorglich umfassende Sicherheitsma\u00dfnahmen umgesetzt, darunter:<\/p>\n<ul>\n<li>die vollst\u00e4ndige Isolation der betroffenen Infrastruktur,<\/li>\n<li>der Aufbau einer neuen getrennten Umgebung,<\/li>\n<li>die \u00dcberpr\u00fcfung relevanter Kundensysteme,<\/li>\n<li>sowie die Rotation administrativer Zugangsdaten.<\/li>\n<\/ul>\n<p>Auf Basis der aktuell vorliegenden Erkenntnisse geht die 4SELLERS GmbH derzeit nicht von einer Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO in Bezug auf Kundendaten aus.<\/p>\n<p>Wir w\u00fcrden uns freuen, wenn diese erg\u00e4nzenden Informationen bei Gelegenheit ber\u00fccksichtigt bzw. pr\u00e4zisierend aufgenommen werden k\u00f6nnten.<\/p><\/blockquote>\n<p>Bez\u00fcglich der obigen Ausf\u00fchrungen stelle ich fest, dass es positiv ist, dass nach bisherigem Kenntnisstand keine Kundendaten abgeflossen sind (hoffen wir, dass es bei dieser Erkenntnis bleibt). Die obige Aussage \"es sind keine Kundensysteme betroffen\" bezieht sich daher auf die Daten der Kunden und ggf. einen Befall durch Ransomware. Kunden waren, ausweislich der eigenen 4SELLERS-Mitteilung insofern tangiert, als wohl bestimmte Funktionen oder Dienstleistungen w\u00e4hrend des Vorfalls nicht voll zur Verf\u00fcgung standen (O-Ton: \"Sie haben es heute vermutlich bereits selbst gemerkt und teilweise standen wir bereits in Kontakt : Bei uns lief nicht alles wie gewohnt. Deshalb m\u00f6chten wir Sie offen und direkt informieren. [&#8230;]\u00a0Die gute Nachricht vorweg: Wir haben die Situation inzwischen unter Kontrolle und alle Systeme stehen Ihnen wieder wie gewohnt zur Verf\u00fcgung. [&#8230;]\u00a0Aktuell kann es intern noch zu Einschr\u00e4nkungen kommen, weshalb einzelne Prozesse vor\u00fcbergehend langsamer oder eingeschr\u00e4nkt laufen k\u00f6nnen.\"<\/p>\n<h2>Doch keine Domain-Admin-Rechte erforderlich<\/h2>\n<p>4SELLERS ist laut einem Leser, der meine Quelle f\u00fcr den initialen Blog-Beitrag war, wohl Opfer der Quilin-Ransomware geworden (ergibt sich aus dem nachfolgend erw\u00e4hnten Pr\u00fcf-Script). Eine Beschreibung eines Angriffs findet sich <a href=\"https:\/\/www.plextec.de\/wissen\/anatomie-qilin-ransomware-angriff-schutzstrategien-2026\" target=\"_blank\" rel=\"noopener\">in diesem Artikel<\/a>.<\/p>\n<p>Gestutzt habe ich \u00fcber die Aussage: \"<em>Die 4SELLERS-Anwendung ben\u00f6tigt grunds\u00e4tzlich keine Dom\u00e4nen-Admin-Rechte auf Kundensystemen. Generell werden Systemzugriffe stets individuell mit dem jeweiligen Kunden abgestimmt und entsprechend der jeweiligen Sicherheitsanforderungen umgesetzt<\/em>.\". Das basierte auf der Beobachtung eines als IT-Dienstleister fungierenden Lesers bei seinem Kunden. Der Leser ist als IT-Sicherheitssachverst\u00e4ndiger t\u00e4tig, schaut also \"hinter die Kulissen\" und hat einen (mir vorliegenden) Schriftwechsel mit 4SELLERS gef\u00fchrt. Der IT-Dienstleister hatte in einer Anfragen an 4SELLERS folgendes geschrieben:<\/p>\n<blockquote><p>Unabh\u00e4ngig davon m\u00f6chten wir die bisherigen Berechtigungen der 4SELLERS-Konten neu bewerten.<\/p>\n<p>Bitte begr\u00fcnden Sie uns daher, ob und warum f\u00fcr die 4SELLERS-Benutzer tats\u00e4chlich <strong><u>Dom\u00e4nen-Admin-Berechtigungen (bspw. F\u00fcr den Taskservice)<\/u><\/strong>\u00a0erforderlich sind.<\/p>\n<p>Sollte dies nicht zwingend notwendig sein, werden wir die Rechte entsprechend reduzieren m\u00fcssen.<\/p><\/blockquote>\n<p>Es gab auch eine konkrete Antwort auf die obige Frage.\u00a0Ich zitiere mal eine Aussage des 4SELLERS-Mitarbeiters aus diesem Schriftwechsel.<\/p>\n<blockquote><p>Bzgl. Domain User Rechten: Die Consultants m\u00fcssen ggfs. f\u00fcr Ihre T\u00e4tigkeiten am System mit Dom\u00e4nen-Admin-Berechtigungen ausgestattet sein.<\/p>\n<p>Dienste User, wie z.B. der Service Account der f\u00fcr den Taskservice hinterlegt ist, ben\u00f6tigen nicht zwingend Adminrechte.<\/p><\/blockquote>\n<p>Ich leite davon ab, dass bei einem der 4SELLERS-Kunden wohl Domain-Administrator-Berechtigungen vergeben worden waren. Die obige Aussage bez\u00fcglich der Consultants bezieht sich m\u00f6glicherweise auf ein \"Incident Response Repository\" Script, welches die Dienstleister bei Kunden ausf\u00fchren sollen, um eine Infektion auszuschlie\u00dfen. Dieses Script wertet im Active Directory (AD) sowohl \"Privilegierte Gruppen\" als auch \"Lokale Administratoren\" aus, um das System auf Auff\u00e4lligkeiten zu pr\u00fcfen.<\/p>\n<p>Insofern trifft die obige Aussage von 4SELLERS zu, das nicht zwingend Domain-Administrator-Berechtigungen f\u00fcr die Software bzw. \"Dienste User\" erforderlich sind. Aber in der Praxis scheinen dann doch Domain-Administrator-Berechtigungen vergeben worden zu sein.<\/p>\n<p>Der Blog-Leser merkte nach Vorablekt\u00fcre dieses Texts noch an: \"4SELLERS hat sich in unserem konkreten Fall inzwischen darauf eingelassen, die bisherigen Dom\u00e4nen-Admin-Rechte abzugeben.\" Die entsprechenden Benutzer wurden vom IT-Dienstleister angepasst; f\u00fcr den betroffenen Service-Account wurden die Dom\u00e4nen-Admin-Rechte entzogen und stattdessen nur noch lokale Administratorrechte auf den tats\u00e4chlich ben\u00f6tigten Systemen vergeben.<\/p>\n<p>Aus Sicht des Lesers war dies der entscheidende Punkt. Nach einem solchen Vorfall sollte ein externer Dienstleister nicht pauschal und dauerhaft mit Dom\u00e4nen-Admin-Rechten auf Kundensystemen unterwegs sein, wenn sich die notwendigen T\u00e4tigkeiten auch mit deutlich eingeschr\u00e4nkteren Rechten abbilden lassen.<\/p>\n<p>Es\u00a0bleibt festzuhalten, dass die kritische Nachfrage zu den Berechtigungen offenbar nicht ganz unbegr\u00fcndet war \u2014 sonst h\u00e4tte man die Dom\u00e4nen-Admin-Rechte vermutlich nicht so ohne Weiteres reduzieren k\u00f6nnen. Aus Sicherheitssicht\u00a0zeigt der Fall ganz gut, dass solche Berechtigungskonzepte bei externen Dienstleistern regelm\u00e4\u00dfig hinterfragt werden sollten. Gerade dauerhafte Dom\u00e4nen-Admin-Rechte f\u00fcr Support- oder Service-Accounts sind als problematisch anzusehen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Dienstleister\u00a04SELLERS, der sich als \"einer der gr\u00f6\u00dften deutschen Anbieter f\u00fcr E-Commerce-L\u00f6sungen\" bezeichnet, ist Opfer eines Cyberangriffs geworden. Ich hatte hier im Blog berichtet. Im Nachgang hat der Dienstleister mir \u00fcber seine Rechtsvertretung weitere Informationen zum Vorfall zukommen lassen, die &hellip; <a href=\"https:\/\/borncity.com\/blog\/2026\/05\/15\/cyberangriff-auf-4sellers-wohl-keine-kundensysteme-betroffen-teil-2\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-324966","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324966"}],"version-history":[{"count":4,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324966\/revisions"}],"predecessor-version":[{"id":324972,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324966\/revisions\/324972"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}