Am 23. März 2026 haben Angreifer eine Sicherheitslücke in der Gambio-Shopsoftware ausgenutzt. Rund 160 Cloud-Shops waren betroffen – Kundendatenbanken wurden vollständig ausgelesen. Kontaktdaten, Bestellhistorien, Passwort-Hashes. Der Sicherheitspatch kam drei Tage später, hatte eigene Fehler, und die Kommunikation richtete in der Community fast mehr Schaden an als der Angriff selbst.

Inhaltsverzeichnis

Fasse den Artikel im Bullet-Stil zusammen.

ChatGPT öffnen Perplexity öffnen

Was passiert ist

Ende März 2026 wurde eine Sicherheitslücke in der Gambio-Shopsoftware identifiziert und von einem externen Angreifer ausgenutzt. Über diese Schwachstelle wurde auf die Kundendatenbanken von rund 160 Cloud-Shops zugegriffen.

Dabei wurden Kontaktdaten, Bestellhistorien und Passwort-Hashes abgezogen. Accounts, die noch den veralteten Hash-Algorithmus MD5 verwendeten, gelten als kompromittiert.

Nach bisherigem Kenntnisstand handelt es sich um eine reine Datenexfiltration – also ein Auslesen von Daten. Hinweise auf Manipulation von Bestellungen gibt es nicht, Zahlungsdaten wurden nicht abgegriffen, da Zahlungsabwicklungen über externe Payment-Provider laufen und nicht in der Gambio-Datenbank gespeichert werden.

Die weit überwiegende Mehrheit der Gambio-Kunden ist von diesem Vorfall nicht betroffen.

Drei Tage Funkstille – dann Chaos

Gambio veröffentlichte am 26. März 2026 – drei Tage nach dem Angriff – einen Sicherheitshinweis im offiziellen Forum und verschickte eine E-Mail an Kunden. Beides löste in der Community sofort Kritik aus.

Das erste Problem: Die E-Mail enthielt Download-Links zu externen URLs. Mehrere Nutzer hielten die Nachricht für einen Phishing-Versuch und löschten sie. Forenmitglied thomas_kaefer schrieb explizit, der Link verweise auf eine „fremde/unbekannte URL“ – so kommuniziere man einen Security-Patch nicht. Ein anderer Nutzer ergänzte: „Hab die sofort gelöscht.“

Das zweite Problem: Gambio musste den Patch kurz nach Veröffentlichung aktualisieren. Wer die Version 1.0 installiert hatte, bekam fehlerhafte Dateien mitgeliefert – konkret CSVSource.php, CSVFunctionLibrary.inc.php und CheckoutProcessProcess.inc.php. Nach der Installation konnten mehrere Shopbetreiber den Bereich Artikel → Import/Export nicht mehr aufrufen; Cronjobs für Datenexporte warfen PHP-Fatal-Errors.

Gambio veröffentlichte daraufhin Version 1.1 – ohne diese drei Dateien, stattdessen mit dem Hinweis, sie per Backup wiederherzustellen. Forenmitglied Walter Lenk brachte die Kritik auf den Punkt: Man könne nicht fehlerhafte Dateien in Version 1.0 ausliefern und sie dann in Version 1.1 einfach weglassen, ohne den Betroffenen klar zu sagen, was sie tun müssen.

Einordnung: Gambio-Kommunikation im Krisenfall
Die Kritik der Händler an der anfänglichen Kommunikation ist nachvollziehbar. Auch Gespräche mit Betroffenen zeigen, dass der Start nicht optimal verlief.
Gleichzeitig deutet vieles darauf hin, dass Gambio sehr schnell gelernt hat. Die Entwicklung der Kommunikation lässt sich sinnbildlich als „Hockeystick“ beschreiben: ein schwacher Beginn, gefolgt von einer deutlichen Verbesserung.
Nach aktuellem Eindruck war Gambio auf einen solchen Vorfall schlicht nicht vorbereitet. Die anfängliche Kommunikation wirkte teilweise von Unsicherheit und Überforderung geprägt. Auch im technischen Bereich zeigte sich dies: Beim ersten Versuch, die Datenlücke zu schließen, trat offenbar ein Fehler auf, sodass ein zweiter Patch notwendig wurde.
Entscheidend ist jedoch die Entwicklung im weiteren Verlauf: Auf konkrete Nachfrage folgte eine ausführliche, sachliche und transparente Stellungnahme. Ohne Beschönigungen, klar formuliert – genau so, wie man es sich in einer solchen Situation wünscht.
Bewertung
  • ❌ Schwacher Start in der Kommunikation
  • ❌ Technische Nachbesserung durch zweiten Patch notwendig
  • ✔ Deutlich erkennbare Lernkurve
  • ✔ Spätere Kommunikation transparent und professionell
  • ✔ Offene und sachliche Stellungnahme

Das dritte Problem: Zur Version 1.1 verschickte Gambio erneut eine E-Mail – diesmal wieder mit externen Links. Nutzer beschwerten sich, dass kein Hinweis kam, dass es überhaupt ein Nachfolge-Update gab; sie hatten den Thread als erledigt abgehakt.

Das vierte Problem: Der Patch hinterlässt keinerlei Installationsnachweis im Backend – weder im Ordner Version_info noch sonst irgendwo. Shopbetreiber haben keine Möglichkeit, auf den ersten Blick zu erkennen, ob der Patch überhaupt korrekt eingespielt wurde.

Über das wortfilter.de-Whistleblower-Formular meldete sich ein Leser: Die Kommunikation sei „eine reine Katastrophe“. Dazu komme, dass etliche Cloud-Shopbetreiber noch Tage nach dem Hack keine Information erhalten hätten.

Was Gambio datenschutzrechtlich unternimmt

Gambio hat die Meldung an die Datenschutzaufsichtsbehörde fristgerecht gemäß Art. 33 DSGVO erstattet. Die Benachrichtigung betroffener Endkunden wird über die jeweiligen Shopbetreiber koordiniert; Gambio stellt dafür einheitliche Vorlagen und Handlungsanweisungen bereit.

Eine forensische Analyse läuft beim beauftragten IT-Infrastrukturdienstleister. Gambio arbeitet aktiv mit den betroffenen Shopbetreibern an der Aufarbeitung.

Gambio-CEO Friedhelm Tauber schrieb wortfilter.de direkt:

„Alle betroffenen Cloud-Shopbetreiber sind informiert: DSGVO-Meldepflicht, Passwort-Reset und die Rücksetzung auf den sicheren Stand. Der Rollback läuft seit gestern Nacht, wir sind bei rund 50+% der betroffenen Shops und werden das heute abschließen. Bei der Wiederherstellung können wir einen Teil der zwischenzeitlichen Bestellungen automatisch wieder in die Shops einspielen, so dass der Aufwand für die Händler minimal bleibt. Ab Montag begleiten wir jeden betroffenen Shopbetreiber persönlich bei der Wiederherstellung.“

Was jetzt technisch passiert

Mit dem aktuellen Patch wird die Unterstützung des veralteten MD5-Verfahrens beendet. Der Patch erzwingt die vollständige Migration aller verbliebenen MD5-Hashes auf bcrypt – diese Angriffsfläche wird damit plattformweit und dauerhaft geschlossen.

Für Cloud-Shops wurde serverseitig ein Sofort-Patch eingespielt und betroffene Shopbetreiber wurden direkt kontaktiert. Ein weiteres Release ist für April angekündigt, das zusätzliche sicherheitsrelevante Verbesserungen enthält und für Cloud-Shops automatisch ausgerollt wird.

Darüber hinaus investiert Gambio in den weiteren Ausbau der Sicherheitsinfrastruktur: neues deutsches Rechenzentrum, Cybersicherheit nach der NIS-2-Richtlinie und eine stärkere Entkopplung sensibler Daten von der Shop-Datenbank.

Was Shopbetreiber jetzt konkret tun müssen

Self-Hosted-Shops: Sicherstellen, dass die aktuellste Gambio-Version installiert ist, und anhand der bereitgestellten Anleitung prüfen, ob der eigene Shop betroffen war. Falls das Update noch nicht eingespielt wurde, sollte das umgehend geschehen.

Wer noch Patch v1.0 installiert hat, muss zusätzlich die drei fehlerhaften Dateien (CheckoutProcessProcess.inc.php, CSVFunctionLibrary.inc.php, CSVSource.php) aus einem Backup wiederherstellen und danach Patch v1.1 installieren.

Cloud-Shops: Kein weiterer Handlungsbedarf. Wer keine E-Mail von Gambio zu diesem Vorfall erhalten hat, ist nach aktuellem Kenntnisstand nicht betroffen.

Den Sicherheitspatch für alle Versionen ab Gambio v4.0 gibt es im Gambio-Forum. Die offizielle Stellungnahme von Gambio findet sich unter gambio.de/sicherheit .

Ein Hack mit noch etwas Todo

Gambio hat den Patch geliefert, die Behörden informiert und ist bei der Wiederherstellung der betroffenen Shops aktiv. Das ist das was man erwarten kann. Was fehlte, ist eine gute Kommunikation, die Vertrauen aufbaut.

Eine Patch-Mail, die wie Phishing aussieht. Ein erstes Update, das Shops lahmlegt. Kein Installationsnachweis im Backend. Kein proaktiver Hinweis auf das Nachfolge-Update. Das geht in Zukunft besser.

Gambio-Händler, die betroffene Kunden noch nicht informiert haben, sollten das jetzt tun – und zwar nicht mit einer Mail, die nach Phishing aussieht.

QR Code für die Wortfilter Händler Facebook-Gruppe
Komm in die Wortfilter Community auf Facebook und diskutiere mit

➡️Melde dich zum wöchentlichen Newsletter an!⬅️