IT-Einbrüche bei asgoodasnew und Kirstein: Mögliche Angriffswelle auf Oxid eShop

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Unternehmen asgoodasnew und Kirstein haben ihre Kunden in E-Mails über IT-Vorfälle in ihren Onlineshops informiert. Gemein ist beiden das genutzte Oxid-eShop-System, auf das womöglich gerade eine Angriffswelle anläuft. Inzwischen ist klar, dass ein Zahlungsmodul die Sicherheitslücke aufweist.

Der Musikinstrument-Versender Kirstein weist auf einer eigenen Webseite auf den IT-Sicherheitsvorfall hin. Demnach bemerkte das Unternehmen am 27. Februar 2026 „eine sicherheitsrelevante Auffälligkeit“ und versetzte den Onlineshop zunächst in den Wartungsmodus, um ihn etwa 15 Minuten nach Kenntnis vollständig offline zu nehmen. Der Cyberangriff stehe „im Zusammenhang mit einem Modul“ des Onlineshops (derzeit Oxid eShop Enterprise Edition Version 6). Die Sicherheitslücke sei geschlossen und die Schutzmechanismen sowie das Monitoring verstärkt worden – genauere Informationen nennt Kirstein jedoch nicht.

Die Angreifer können Zugriff auf Zugangsdaten zum Onlineshop erlangt haben, laut Kirstein also E-Mail-Adresse und gegebenenfalls Passwort-Hash – der lässt sich jedoch nicht einfach in das Passwort rückübersetzen. Hinweise darauf, dass weitere Adressdaten und Kundeninformationen wie Liefer- und Rechnungsanschriften oder Bestell- und Zahlungsdaten betroffen sind, gebe es bisher nicht. Zur Sicherheit hat Kirstein aktive Sitzungen beendet und die Kunden-Logins zurückgesetzt, sodass Kunden neue Passwörter setzen müssen. Kirstein warnt die Kunden zudem vor möglichem Phishing mit gefälschten Nachrichten: Echte Mails stammen ausschließlich von der @kirstein.de-Domain, das Unternehmen frage nicht nach Passwörtern und schließlich sollten Kunden die Zugangsdaten nur auf der korrekten kirstein.de-Domain eingeben.

Weiterer geknackter Onlineshop

Auf der Webseite von asgoodasnew findet sich keine Versionsnummer des verwendeten Oxid-eShop-Systems. Das Unternehmen weist in E-Mails an Kunden jedoch auf den Hersteller hin und erklärt, dass der Onlineshop am 1. März 2026 durch einen gezielten Cyberangriff kompromittiert wurde. asgoodasnew wird jedoch etwas konkreter: Auch andere Onlineshops seien betroffen, die Sicherheitslücke betreffe ein Zahlungsmodul eines Drittanbieters für das System. Angreifer konnten dadurch Zugriff auf die Datenbank erlangen. Welches Zahlungsmodul von welchem Anbieter konkret verwundbar ist, führt das Start-up nicht aus.

Bei asgoodasnew sind nach bisherigen Erkenntnissen die Stammdaten wie Name und Anschrift sowie die E-Mail-Adresse, der Bestellverlauf und Passwort-Hashes vom Datenleck betroffen. Auch asgoodasnew warnt vor gezieltem Phishing, das mit diesen Daten glaubhafter gestaltet werden kann. Kunden sollen sicherheitshalber die „Passwort vergessen“-Funktion auf der Webseite nutzen, um ihr Passwort zurückzusetzen. Auf der Webseite finden sich anders als bei Kirstein jedoch keine Hinweise auf den IT-Vorfall.

Oxid eShop: Lücke gefunden, Kundeninformation geplant

Der Hersteller des Oxid-eShop-Systems konnte jedoch Licht ins Dunkel bringen. Auf telefonische Anfrage teilte Oxid uns mit, dass das Unternehmen im Laufe des Donnerstags dieser Woche eine E-Mail an potenziell betroffene Kunden versenden will, die über eine Sicherheitslücke im Klarna-Payment-Modul informiert. Ein Patch ist demnach bereits verfügbar. Die E-Mail soll zudem eine konkrete Anleitung zum Schließen des Sicherheitslecks enthalten. Shopbetreiber, die noch keine Informationen dazu haben, sollten bis dahin zumindest das Klarna-Modul deaktivieren oder entfernen und ihr System auf Spuren von unbefugten Zugriffen untersuchen. Derzeit sind uns noch keine Hinweise für (erfolgreiche) Angriffe (Indicators of Compromise, IOC) bekannt. Wir ergänzen gegebenenfalls diese Meldung bei Verfügbarkeit.

(dmk)