Häufige Fragen zum Sicherheitsvorfall

In diesem Dokument beantworten wir die häufigsten Fragen zum Sicherheitsvorfall bei Gambio. Alle Informationen richten sich an dich als Cloud-Shopbetreiber.

Was ist passiert?

In der Gambio-Software wurde eine Sicherheitslücke identifiziert, die von einem externen Angreifer ausgenutzt wurde. Dabei wurden Daten aus betroffenen Cloud-Shops ausgelesen. Die Schwachstelle ist geschlossen und die zuständige Datenschutzbehörde wurde informiert.

Ist mein Shop betroffen?

Wenn du eine individuelle E-Mail von uns zu diesem Vorfall erhalten hast, ist dein Shop betroffen. Wenn du keine solche E-Mail erhalten hast, ist dein Shop nach aktuellem Kenntnisstand nicht betroffen und du musst nichts weiter tun.

Muss ich technisch etwas tun?

Nein. Die Sicherheitslücke wurde serverseitig für alle Cloud-Shops geschlossen. Du musst keinen Patch installieren oder sonstige technische Massnahmen ergreifen.

Welche Daten könnten betroffen sein?

Nach aktuellem Kenntnisstand können folgende Daten betroffen sein: Kontaktdaten deiner Endkunden (Name, E-Mail-Adresse, ggf. Adresse und Telefonnummer), Bestellhistorie sowie Passwörter in gehashter Form.

Zahlungsdaten sind nicht betroffen. Diese werden nicht in der Gambio-Datenbank gespeichert, sondern ausschliesslich von externen Zahlungsdienstleistern verarbeitet.

Sind Zahlungsdaten meiner Kunden betroffen?

Nein. Zahlungsdaten werden nicht in der Gambio-Datenbank gespeichert. Die Zahlungsabwicklung läuft vollständig über externe Payment-Provider (z.B. PayPal, Klarna, Kreditkartenanbieter). Diese Daten waren zu keinem Zeitpunkt zugänglich.

Wurden Bestellungen manipuliert oder sind Bestellungen verloren gegangen?

Nach aktuellem Kenntnisstand handelt es sich um ein Auslesen von Daten. Es gibt keine Hinweise darauf, dass Bestellungen manipuliert oder Shopinhalte verändert wurden. Es sind keine Bestellungen verloren gegangen. Dein Shop war lediglich für einen kurzen Zeitraum nicht erreichbar, während wir die Sicherheitsmassnahmen umgesetzt haben.

Wenn du in deinem Shop trotzdem Auffälligkeiten bemerkst, melde dich bitte sofort bei uns.

Warum wurden die Passwörter meiner Endkunden nicht automatisch zurückgesetzt?

Wir können Passwörter in deinem Shop nur mit deinem ausdrücklichen Einverständnis zurücksetzen, da du als Shopbetreiber der Verantwortliche für die Daten deiner Kunden bist. Sobald du uns dein OK gibst, setzen wir das umgehend um. Eine kurze Bestätigung per Mail an uns reicht.

Muss ich meine Endkunden über den Vorfall informieren?

Wenn dein Shop betroffen ist und personenbezogene Daten deiner Endkunden potenziell ausgelesen wurden, bist du als Shopbetreiber verpflichtet, deine Endkunden darüber zu informieren (Art. 34 DSGVO). Wenn du dabei Unterstützung brauchst, melde dich bei uns. Wir können dir eine Vorlage bereitstellen, die du an deine Kunden anpassen kannst.

Wie informiere ich viele Endkunden auf einmal?

Am einfachsten geht das über einen E-Mail-Versanddienst. Anbieter wie Rapidmail oder CleverReach sind deutsche Dienste, DSGVO-konform und bieten kostenlose Einstiegstarife an. Exportiere die E-Mail-Adressen deiner Kunden aus dem Gambio-Admin, lade sie im Dienst hoch und verschicke die Benachrichtigung.

Da es sich um eine gesetzliche Informationspflicht nach Art. 34 DSGVO handelt, brauchst du dafür kein Opt-In deiner Kunden.

Muss ich den Vorfall bei der Datenschutzbehörde melden?

Gambio hat den Vorfall bereits bei der für uns zuständigen Datenschutzbehörde gemeldet. Als Cloud-Shopbetreiber kann je nach Konstellation eine eigene Meldung erforderlich sein. Wir empfehlen dir, das mit deinem Datenschutzbeauftragten zu klären.

Die für dich zuständige Behörde richtet sich nach dem Sitz deines Unternehmens. Eine Übersicht findest du hier: bfdi.bund.de

Gibt es weitere Sicherheitsupdates?

Ja, wir arbeiten derzeit an weiteren Sicherheitsverbesserungen. Mit dem neuen Release im April werden zusätzliche sicherheitsrelevante Updates ausgeliefert. Für Cloud-Shops wird dieses Update automatisch eingespielt. Du musst nichts weiter tun.

An wen kann ich mich bei weiteren Fragen wenden?

Bei Fragen zu diesem Vorfall erreichst du uns über den normalen Supportweg. Wir helfen dir gerne weiter.