Ein Händler hat gestern in der offiziellen JTL-Facebook-Gruppe geschrieben: Sein JTL-Wawi-Hoster mide-online wurde gehackt. Daten weg, kein Zugriff, Backup vermutlich ebenfalls betroffen. Wer seine Warenwirtschaft bei einem kleinen Hoster betreibt, geht ein enormes Sicherheitsrisiko ein, das hat schon die Modern Solution -Insolvenz gezeigt.
Inhaltsverzeichnis
- Was ist passiert?
- Hosting von On-Premise-Software
- SaaS vs. gehostete On-Premise-Software
- Welche Daten sind bei einem solchen Hack betroffen?
- Meldepflicht nach DSGVO: Was jetzt zu tun ist
- Was betroffene Händler jetzt tun müssen
- Die Wahrheit über kleine Hosting-Anbieter
- Sicherheit ist kein Luxus, sondern Pflicht
Fasse den Artikel im Bullet-Stil zusammen.
Was ist passiert?
Ein Händler berichtete gestern in der offiziellen JTL-Facebook-Gruppe, eine E-Mail von seinem JTL-Wawi-Hoster mide-online erhalten zu haben. Er schrieb: „Habe heute vormittag eine Mail vom Wawi-Hoster mide-online bekommen, dass sie gehackt wurden und die Daten von JTL Wawi Hosting gehackt wurden und wahrscheinlich weg sind. Ist hier sonst wer betroffen oder weiß wer mehr? Es soll das JTL-Hosting betroffen sein. Kein Zugriff möglich. Finde aber keine Infos im Netz darüber.“ Der Hoster ist JTL-Servicepartner, also ein offiziell zertifizierter Anbieter im JTL-Ökosystem.
Offenbar sollte auch das Backup vom selben Anbieter übernommen werden – womit auch die Datensicherung betroffen sein dürfte. Der Händler berichtet, dass er im Netz keine Infos zum Vorfall findet und fragt, ob andere ebenfalls betroffen sind. Offizielle Stellungnahmen von mide-online gibt es zum Zeitpunkt dieser Meldung nicht.
Hosting von On-Premise-Software
JTL-Wawi ist keine SaaS-Lösung (Software as a Service), sondern klassische On-Premise-Software – also ein Programm, das auf einem Server installiert wird und lokal oder remote betrieben werden kann. Viele Händler entscheiden sich, diese Software nicht selbst zu hosten, sondern an Spezial-Hoster auszulagern. Auf den ersten Blick praktisch – auf den zweiten Blick ein massives Risiko.
Anders als bei echten SaaS-Anbietern wie Shopify, Billbee oder plentymarkets tragen diese Hoster die gesamte Verantwortung für Betrieb, Sicherheit, Updates und Backups – oft mit sehr begrenzten Ressourcen, kleinen Teams und ohne die Sicherheitsinfrastruktur großer Cloud-Anbieter. Das Ergebnis sind Systeme, die zwar günstig und einfach klingen, aber im Ernstfall katastrophal versagen können. Das scheint jetzt bei mide-online so zu sein, bei Modern Solution war es auf jeden Fall so.
SaaS vs. gehostete On-Premise-Software
Bei einer echten SaaS-Lösung liegt die gesamte Verantwortung für Infrastruktur, Datensicherheit und Verfügbarkeit beim Anbieter – und dieser ist vertraglich dazu verpflichtet, entsprechende Standards einzuhalten. Das schließt regelmäßige Penetrationstests, ISO-27001-Zertifizierungen, redundante Datenspeicherung und professionelle Incident-Response-Teams ein.
Ein Hoster, der JTL-Wawi auf einem gemieteten Server betreibt, hat davon in der Regel nichts. Er ist weder vertraglich noch technisch selten in der Lage, dasselbe Sicherheitsniveau zu garantieren. Wenn ein solcher Anbieter gehackt wird, sind Händlerdaten – Kundendaten, Bestellhistorien, Lieferantenkontakte, Preiskalkulation – sofort exponiert oder verloren. Und mit ihnen womöglich die gesamte Betriebsbasis eures Unternehmens.
Welche Daten sind bei einem solchen Hack betroffen?
JTL-Wawi ist das operative Herzstück vieler Online-Händler. In der Datenbank liegen typischerweise:
- Vollständige Kundenstammdaten inkl. Adressen, E-Mail-Adressen, Telefonnummern
- Alle Bestellungen mit Artikeln, Preisen und Zahlungsinformationen
- Lieferanten- und Einkaufspreise
- Lagerbestände und interne Kalkulationen
- Zugangsdaten zu Marktplätzen (Amazon, eBay, Otto etc.) – je nach Konfiguration
- Kommunikations- und Tickethistorien mit Kunden
Ein Verlust oder eine Kompromittierung dieser Daten ist nicht nur betrieblich verheerend – er löst auch unmittelbare datenschutzrechtliche Pflichten aus.
Meldepflicht nach DSGVO: Was jetzt zu tun ist
Wer als Händler von diesem Hack betroffen ist, muss sofort handeln. Die DSGVO schreibt bei Datenschutzverletzungen klare Fristen und Meldepflichten vor – und Unwissenheit schützt nicht vor Bußgeldern.
⚠️ Infobox: Meldepflichten bei Datenpannen – Deutschland & Österreich
🇩🇪 Deutschland (DSGVO + BDSG)
- Frist zur Meldung bei der Aufsichtsbehörde: 72 Stunden nach Bekanntwerden der Verletzung (Art. 33 DSGVO) – auch wenn noch nicht alle Details bekannt sind. Meldung an die zuständige Landesdatenschutzbehörde (je nach Bundesland, z.B. BayLDA, LfDI Baden-Württemberg, DSB Berlin).
- Zuständigkeit: Der Hauptsitz des Unternehmens bestimmt die zuständige Behörde.
- Meldung an Betroffene: Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, müssen diese unverzüglich informiert werden (Art. 34 DSGVO).
- Dokumentationspflicht: Jede Datenpanne muss intern dokumentiert werden – auch wenn keine Meldepflicht besteht (Art. 33 Abs. 5 DSGVO).
- Bußgeld bei Verstößen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
🇦🇹 Österreich (DSGVO + DSG)
- Frist zur Meldung bei der Datenschutzbehörde (DSB): Ebenfalls 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Die zuständige Behörde ist die österreichische Datenschutzbehörde (DSB) in Wien.
- Meldeweg: Online über das Formular der DSB oder schriftlich: Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.
- Meldung an Betroffene: Wie in DE – bei hohem Risiko unverzüglich, verständlich und in klarer Sprache.
- Dokumentation: Pflicht zur internen Dokumentation aller Verletzungen (auch ohne Meldepflicht).
- Bußgeld bei Verstößen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Wichtig: Die 72-Stunden-Frist beginnt ab dem Moment, in dem du – nicht der Hoster – von der Verletzung erfährst. Im Zweifel: lieber zu früh melden als zu spät. Eine unvollständige Meldung ist besser als keine.
Was betroffene Händler jetzt tun müssen
Wenn du zu den betroffenen JTL-Wawi-Nutzern bei mide-online gehörst oder Ähnliches von einem anderen Hoster erfahren hast, gilt folgende Sofortcheckliste:
- Zustand dokumentieren: Screenshot der E-Mail, Zeitpunkt des Bekanntwerdens, alle verfügbaren Informationen sichern.
- Datenschutzbeauftragten informieren (falls vorhanden) oder selbst Handlungsbedarf prüfen.
- Aufsichtsbehörde benachrichtigen – innerhalb von 72 Stunden. Im Zweifel frühzeitig und mit Vorbehalt melden.
- Betroffene Kunden informieren, wenn ein hohes Risiko für deren Rechte besteht (z.B. bei Adress- oder Zahlungsdatenverlust).
- Anwalt einschalten – insbesondere wenn unklar ist, welche Daten betroffen sind.
- Hoster schriftlich in Verzug setzen und Schadensersatzansprüche prüfen.
- Backup-Situation klären – gibt es externe, hosterunabhängige Backups?
- Alternativen prüfen – Migration zu einem neuen System oder Anbieter vorbereiten.
- Plattformen informieren: Informiere Amazon, eBay & Co sofort mit objektiven Belegen, z.B. die Mail die du vom Hoster erhalten hast.
Die Wahrheit über kleine Hosting-Anbieter
Der Markt für JTL-Wawi-Hosting besteht aus dutzenden kleinen Anbietern, die oft von einzelnen Personen oder kleinen Teams betrieben werden. Viele davon sind JTL-Servicepartner, was ihnen Glaubwürdigkeit verleiht – aber keine technische Sicherheitsgarantie ist und erst recht kein Nachweis von Kompetenz. Die Zertifizierung sagt nichts darüber aus, ob ein Anbieter professionelle Backup-Konzepte, Intrusion-Detection-Systeme oder Notfallpläne hat.
Wer seine gesamte operative Infrastruktur – Warenwirtschaft, Kundendaten, Bestellabwicklung – in die Hände eines Ein-Mann-Hosters legt, akzeptiert ein Klumpenrisiko, das im Ernstfall den gesamten Betrieb lahmlegen kann. Und zwar nicht nur für Stunden, sondern möglicherweise dauerhaft. Das kann eine Insolvenz bedeuten.
Sicherheit ist kein Luxus, sondern Pflicht
Der Hack bei mide-online und auch die Modern Solution-Pleite zeigen exemplarisch, was passiert, wenn geschäftskritische Software bei Anbietern liegt, die weder die Ressourcen noch die Strukturen für professionelles Sicherheitsmanagement haben. Für Online-Händler bedeutet das: Wer JTL-Wawi oder ähnliche On-Premise-Lösungen betreibt, muss seine Hosting-Situation hinterfragen. Eigenes Backup außerhalb des Hosters? Notfallplan bei Ausfall? Vertragsklauseln zu Haftung und Datensicherung? Letztere helfen nicht, wenn ein Dienstleister in die Insolvenz rutscht.
Und wer sich das alles nicht selbst aufbauen will oder kann, sollte ernsthaft prüfen, ob eine vollständige SaaS-Lösung – mit professioneller Infrastruktur, klaren SLAs und echter Datenschutzverantwortung – nicht die sicherere Wahl ist. Günstiger Hosting-Preis und hohe Datensicherheit schließen sich maximal aus.
Hinweis: gegenüber Wortfilter hat der Händler gebeten weder das Posting noch seinen Namen oder den des Hosters zu veröffentlichen. Dem bin ich teilweise nachgekommen. Das Posting in der JTL-Gruppe ist verlinkt, der Hoster ist benannt. In der Abwägung überwiegt das Informationsinteresse.
