Häufige Fragen zum Sicherheitsvorfall

In diesem Dokument beantworten wir die häufigsten Fragen zum Sicherheitsvorfall bei Gambio. Alle Informationen richten sich an dich als Betreiber eines selbst gehosteten Gambio-Shops.

Was ist passiert?

In der Gambio-Software wurde eine Sicherheitslücke identifiziert, die von einem externen Angreifer ausgenutzt wurde. Betroffen waren Gambio Cloud Shops sowie potenziell selbst gehostete Shops, die nicht zeitnah aktualisiert wurden. Die Schwachstelle ist geschlossen und die zuständige Datenschutzbehörde wurde informiert.

Ist mein Shop betroffen?

Ob dein Shop betroffen war, kannst du anhand der Prüfanleitung feststellen, die wir dir per E-Mail zugeschickt haben. Wenn die Prüfung keine Auffälligkeiten zeigt, ist dein Shop nicht betroffen.

Solltest du die E-Mail mit der Prüfanleitung nicht erhalten haben, melde dich bei uns und wir schicken sie dir erneut zu.

Was muss ich jetzt tun?

Stelle sicher, dass der aktuelle Sicherheitspatch installiert ist. Falls du den Patch aus unserer ersten E-Mail bereits eingespielt hast: Bitte installiere das aktuelle Update. Wir haben den ursprünglichen Patch erweitert, und das Update ersetzt die vorherige Version.

Führe anschliessend die Prüfung anhand unserer Anleitung durch, um festzustellen, ob dein Shop betroffen war.

Wenn du den Sicherheitspatch nicht selbst einspielen kannst, melde dich gerne bei uns. Wir helfen dir bei der Installation.

Ob dein Shop kompromittiert wurde, kannst du anhand unserer Prüfanleitung feststellen. Wenn du dabei Unterstützung brauchst, wende dich an deinen Hoster. Eine vollständige Prüfung der Serverumgebung kann nur dort erfolgen.

Meine Prüfung hat ergeben, dass mein Shop betroffen ist. Was jetzt?

Kontaktiere umgehend deinen Hoster und bitte ihn, ein Backup der Dateien von vor dem Angriff wiederherzustellen. Gambio kann die Bereinigung kompromittierter Shops nicht übernehmen, da diese auf deinem Server liegen und nur dein Hoster vollständigen Zugriff auf die Serverumgebung hat.

Stelle anschliessend sicher, dass der aktuelle Sicherheitspatch installiert ist, damit die Schwachstelle geschlossen bleibt. Wenn du dabei Hilfe brauchst, melde dich bei uns.

Warum gab es zwei Patches?

Wir haben den ursprünglichen Patch erweitert, um den Schutz zu vervollständigen. Das aktuelle Update ersetzt den vorherigen Patch. Falls du den ersten Patch bereits installiert hast, installiere bitte das aktuelle Update.

Welche Daten könnten betroffen sein?

Falls dein Shop betroffen war, können nach aktuellem Kenntnisstand folgende Daten betroffen sein: Kontaktdaten deiner Endkunden (Name, E-Mail-Adresse, ggf. Adresse und Telefonnummer), Bestellhistorie sowie Passwörter in gehashter Form.

Zahlungsdaten sind nicht betroffen. Diese werden nicht in der Gambio-Datenbank gespeichert, sondern ausschliesslich von externen Zahlungsdienstleistern verarbeitet.

Sind Zahlungsdaten meiner Kunden betroffen?

Nein. Zahlungsdaten werden nicht in der Gambio-Datenbank gespeichert. Die Zahlungsabwicklung läuft vollständig über externe Payment-Provider (z.B. PayPal, Klarna, Kreditkartenanbieter). Diese Daten waren zu keinem Zeitpunkt zugänglich.

Muss ich die Passwörter meiner Endkunden zurücksetzen?

Wenn dein Shop betroffen war, empfehlen wir dir dringend, die Passwörter deiner Endkunden zurückzusetzen. Der Sicherheitspatch stellt sicher, dass neue Passwörter mit einem sicheren Verfahren gespeichert werden. Wenn du dabei Unterstützung brauchst, melde dich bei uns.

Muss ich meine Endkunden über den Vorfall informieren?

Wenn dein Shop betroffen war und personenbezogene Daten deiner Endkunden potenziell ausgelesen wurden, bist du als Shopbetreiber verpflichtet, deine Endkunden darüber zu informieren (Art. 34 DSGVO). Wenn du dabei Unterstützung brauchst, melde dich bei uns. Wir können dir eine Vorlage bereitstellen, die du an deine Kunden anpassen kannst.

Wenn deine Prüfung ergeben hat, dass dein Shop nicht betroffen ist, musst du deine Endkunden nicht informieren.

Wie informiere ich viele Endkunden auf einmal?

Am einfachsten geht das über einen E-Mail-Versanddienst. Anbieter wie Rapidmail oder CleverReach sind deutsche Dienste, DSGVO-konform und bieten kostenlose Einstiegstarife an. Exportiere die E-Mail-Adressen deiner Kunden aus dem Gambio-Admin, lade sie im Dienst hoch und verschicke die Benachrichtigung.

Da es sich um eine gesetzliche Informationspflicht nach Art. 34 DSGVO handelt, brauchst du dafür kein Opt-In deiner Kunden.

Muss ich den Vorfall bei der Datenschutzbehörde melden?

Gambio hat den Vorfall bereits bei der für uns zuständigen Datenschutzbehörde gemeldet. Als eigenständiger Verantwortlicher für deinen Shop kann eine eigene Meldung nach Art. 33 DSGVO erforderlich sein. Wir empfehlen dir, das mit deinem Datenschutzbeauftragten zu klären.

Die für dich zuständige Behörde richtet sich nach dem Sitz deines Unternehmens. Eine Übersicht findest du hier: bfdi.bund.de

Gibt es weitere Sicherheitsupdates?

Ja, wir arbeiten derzeit an weiteren Sicherheitsverbesserungen. Mit dem neuen Release im April werden zusätzliche sicherheitsrelevante Updates ausgeliefert. Als Self-Hosted-Shopbetreiber solltest du die neue Version zeitnah installieren, sobald sie verfügbar ist.

Mein Shop ist nicht betroffen. Muss ich trotzdem etwas tun?

Stelle sicher, dass der aktuelle Sicherheitspatch installiert ist. Damit ist die Schwachstelle geschlossen und dein Shop ist geschützt. Darüber hinaus musst du nichts weiter tun.

An wen kann ich mich bei weiteren Fragen wenden?

Bei Fragen zu diesem Vorfall erreichst du uns über den normalen Supportweg. Wir helfen dir gerne weiter.