Der WaWi- und ERP-Anbieter 4Sellers ist Opfer einer Ransomware-Attacke geworden, wie Günter Born von borncity.com berichtet. Der Angriff erfolgte in der Nacht zum 30. April 2026 – also direkt vor dem langen Wochenende. Mit über 300 Händlern als Kunden ist die Tragweite enorm. Onlinehändler, die 4Sellers einsetzen, müssen jetzt selbst aktiv werden. Zumal 4sellers meist große Onlinehändler in der Kundschaft hat. Zu diesen gehören zum Beispiel Bandel Automobiltechnik GmbH, ATP Autoteile GmbH oder die Eris Car Design GmbH von Johannes Lange.
Inhaltsverzeichnis
Fasse den Artikel im Bullet-Stil zusammen.
Was im Schreiben des Geschäftsführers steht
Geschäftsführer Julius Hansen hat seine Kunden inzwischen per E-Mail informiert. Im Anschreiben spricht er von einem „gezielten Cyberangriff“ durch „professionelle Angreifer“. Trotz „umfangreicher Schutzmaßnahmen“ sei es den Tätern gelungen, Teile der Systeme zu beeinträchtigen.
Externe Forensiker des Anbieters beforecrypt sind eingebunden, ebenso die Cybercrime-Abteilung der Kriminalpolizei. Eine Strafanzeige wurde erstattet, die Datenschutzaufsichtsbehörde vorsorglich informiert. Nach Aussage von 4Sellers gibt es bislang keine Hinweise auf kompromittierte Zahlungs-, Konto- oder Passwortdaten. Das Unternehmen will die Lage inzwischen unter Kontrolle haben.
RD-Gateway statt VPN – und Domain-Admin für alle
Born verweist auf zwei Details aus einem Leserhinweis. Erstens soll 4Sellers gegenüber Kunden auf einen RD-Gateway-Zugriff statt einer VPN-Anbindung bestanden haben. Zweitens sollen User der Software grundsätzlich Domain-Administrator-Rechte haben.
Sehr geehrte:r xxx,
Sie haben es heute vermutlich bereits selbst gemerkt und teilweise standen wir bereits in Kontakt : Bei uns lief nicht alles wie gewohnt. Deshalb möchten wir Sie offen und direkt informieren.
In den letzten Tagen waren wir Ziel eines gezielten Cyberangriffs (Ransomware), der von professionellen Angreifern in der Nacht vom 30.4 durchgeführt wurde. Trotz unserer umfangreichen Schutzmaßnahmen ist es den Angreifern gelungen, Teile unserer Systeme zu beeinträchtigen.
Die gute Nachricht vorweg: Wir haben die Situation inzwischen unter Kontrolle und alle Systeme stehen Ihnen wieder wie gewohnt zur Verfügung. Dabei werden wir von externen Spezialisten unterstützt, unter anderem von beforecrypt, einem führenden Anbieter im Bereich Cybersecurity und Incident Response.
Aktuell kann es intern noch zu Einschränkungen kommen, weshalb einzelne Prozesse vorübergehend langsamer oder eingeschränkt laufen können. Für Sie auf Kundenseite gilt jedoch: Ihre Abläufe können grundsätzlich weitergehen.
Gemeinsam mit externen Forensikern analysieren unsere IT-Teams derzeit detailliert den Vorfall. Nach aktuellem Stand können wir die betroffenen Bereiche eingrenzen. Ob tatsächlich Daten betroffen sind, ist noch Teil der laufenden Untersuchung. Wichtig für Sie: Es gibt bislang keinerlei Hinweise darauf, dass sensible Zahlungs- oder Kontodaten – insbesondere Passwörter und personenbezogene Daten – kompromittiert wurden.
Selbstverständlich haben wir unmittelbar nach Bekanntwerden des Angriffs die zuständigen Behörden informiert, Strafanzeige erstattet und stehen im engen Austausch mit der Cybercrime-Abteilung der Kriminalpolizei. Auch die Datenschutzaufsichtsbehörde wurde vorsorglich eingebunden.
Uns ist bewusst, dass so ein Vorfall Vertrauen kostet – und genau deshalb gehen wir sehr transparent damit um. Der Schutz Ihrer Daten hat für uns höchste Priorität. Wir arbeiten intensiv daran, unsere Systeme weiter zu stärken und noch besser gegen zukünftige Bedrohungen aufzustellen.
Sollten Sie konkret betroffen sein oder neue Erkenntnisse vorliegen, informieren wir Sie selbstverständlich umgehend.
Für Fragen haben wir die direkte Notfallnummer +49 157 35366423 eingerichtet.
Vielen Dank für Ihr Verständnis, Ihre Geduld und das Vertrauen, das Sie uns entgegenbringen.
Herzliche Grüße
Julius Hansen
Geschäftsführer
4SELLERS
Wer mit Active Directory arbeitet, weiß: Wenn das knallt, knallt es richtig. Das sind Einschätzungen eines IT-Dienstleisters. Aber sie passen ins Bild eines Anbieters, dessen Sicherheitskultur schon einmal in der Kritik stand.
Déjà-vu: 4Sellers stand 2020 schon einmal im Feuer
Wer den Namen 4Sellers länger im Ohr hat, weiß warum. Wortfilter.de hatte 2020 über ein Datenleck bei 4Sellers berichtet, bei dem über zwei Jahre lang vollständige ERP-Datenbanken von Händlern auf einem ungesicherten FTP-Server lagen. Lieferantendaten, Einkaufspreise, API-Schlüssel, Endkundendaten – alles offen.
Der Vorfall war dem Anbieter seit Ende 2019 bekannt, Kunden und Aufsichtsbehörde wurden damals nicht informiert. Sechs Jahre später steht 4Sellers erneut im Mittelpunkt eines IT-Sicherheitsvorfalls. Schon wieder mit über 300 Händlern, die plötzlich nicht mehr vernünftig arbeiten können.
Drei Backend-Pannen in fünf Monaten
Born stellt einen Bezug her, der weh tut: Modern Solution war Anfang 2026 insolvent , bei JTL-Wawi sind im März 2026 durch einen Hosting-Hack Händlerdaten verloren gegangen . Jetzt 4Sellers.
Drei Vorfälle bei zentralen Backend-Dienstleistern für deutsche Onlinehändler innerhalb weniger Monate. Die Frage, die sich jeder Händler stellen muss: Wie hängt mein Geschäft an einem einzigen externen Dienstleister – und was passiert, wenn der ausfällt? Ein Notfallplan ist kein Luxus, sondern Pflicht. Diese Unternehmen sind und bleiben einfach unprofessionelle Frittenbuden. Eigentlich gehören sie vom Markt. Wie schon öfters bemerkt: Der Log-in-Effekt kickt.
