„The Länd“-Shop gehackt: Gambio Zero-Day Sicherheitslücke ausgenutzt

Cyberattacke auf „The Länd“-Shop: Zero-Day Sicherheitslücke in Gambio ausgenutzt

Der Onlineshop der baden-württembergischen Landesmarke „The Länd“ ist Ende Dezember Ziel eines gezielten Cyberangriffs geworden. Nach Angaben des Staatsministeriums nutzten die Angreifer zwischen dem 27. und 29. Dezember 2025 eine bislang unbekannte Sicherheitslücke im eingesetzten Shopsystem aus. Der Shop wurde mit der Shopsoftware Gambio betrieben – als Selbstinstallation auf einem eigenen Server, nicht in der Cloud-Umgebung des Anbieters.

Nach aktuellem Kenntnisstand handelt es sich um eine Zero-Day-Schwachstelle , also eine Sicherheitslücke, die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt oder durch Updates geschlossen war.

Manipulierte Bezahlseite zur Abgreifung von Kreditkartendaten

Der Angriff richtete sich gezielt gegen die Zahlungsabwicklung des Shops . Zwar waren offiziell nur Vorkasse (Überweisung) und PayPal als Zahlarten vorgesehen, doch die Täter richteten im Hintergrund eine gefälschte Bezahlseite ein.

Auch bei kostenlosen Artikeln, etwa den bekannten gelben „Nett hier“-Stickern, versuchten die Angreifer, Zahlungsdaten abzufragen und Zahlungen auszulösen, obwohl dafür regulär keinerlei Zahlungsinformationen notwendig gewesen wären.

Ziel war es offenbar, Kreditkartendaten abzugreifen und missbräuchlich zu verwenden.

Zugriff auf Kundendaten bestätigt

Nach Angaben des Staatsministeriums hatten die Angreifer Zugriff auf bestimmte Kundendaten aller Shopkunden, insbesondere auf E-Mail-Adressen. Darüber hinaus könnten Kreditkartendaten jener Kunden kompromittiert worden sein, die im genannten Zeitraum über die manipulierte Bezahlseite bestellt haben.

Die vollständige Aufklärung des Datenabflusses ist noch nicht abgeschlossen.

Verdächtige Abbuchungen über ukrainische Neobank

Kunden werden ausdrücklich darauf hingewiesen, ihre Konto- und Kreditkartenabrechnungen zu prüfen. Besonderes Augenmerk soll auf Abbuchungen zugunsten der Monobank gelegt werden. Dabei handelt es sich um eine ukrainische Neobank, die in der Vergangenheit wiederholt im Zusammenhang mit betrügerischen Transaktionen genannt wurde.

Bei Auffälligkeiten wird empfohlen:

• Kreditkarte umgehend zu sperren
• das eigene Kreditinstitut zu informieren
• Strafanzeige zu erstatten

Shop offline genommen, Ermittlungen laufen

Nach Bekanntwerden des Vorfalls wurde der „The Länd“-Shop offline geschaltet, eine Strafanzeige gestellt und betroffene Kunden informiert. Der Shop wird vom Staatsministerium betrieben und vertreibt Merchandising- und Werbeartikel wie Kleidung, Tassen, Sticker und Souvenirs rund um die Landesmarke.

Die Ermittlungen zu Umfang, Ursache und Verantwortlichen des Angriffs dauern an.

Selbst gehostete Gambio-Shops im Fokus

Der Vorfall zeigt, dass selbst gehostete Gambio-Shops ein attraktives Ziel für Angreifer zu sein scheinen – auch im staatlichen Umfeld. Unbekannte Sicherheitslücken, unerkannte Manipulationen im Checkout und fehlende Echtzeitüberwachung können dazu führen, dass Angriffe über Tage unbemerkt bleiben.

Gerade der Einsatz von Gambio-Selbstinstallationen erhöht das Risiko, wenn:

• Sicherheitsupdates nicht sofort verfügbar sind
• zusätzliche Schutzmechanismen im Zahlungsprozess fehlen
• Checkout-Seiten nicht aktiv überwacht werden

Wendet euch unbedingt jetzt an Gambio und fragt nach wann die Lücke geschlossen ist. Eigen Angaben nach nutzen aktuell 25.000 Shopbetreiber Gambio als Shopsoftware.

Aus Unternehmenskreisen war zu hören, dass bereits ein Fix ausgerollt werden kann. Offiziell gab es auf Wortfilter-Nachfrage keine Stellungnahme dazu. Auf der Gambio Internetseite findet sich kein Hinweis. Diese Vorgehensweise scheint sehr fraglich zu sein und es ist bemerkenswert, dass der Investor Oakley-Capital das hinnimmt.

Update 1. Jan. 2026 13:35

Link zum Fix: https://www.gambio-support.de/de/downloads/download/20f9bebc-b848-41e9-8dcc-64ecf1471e04