Billige Schnäppchen haben meist einen Preis, der nicht auf dem Etikett steht. Giftige Schwer­metalle in Ohrringen, unsicheres Kinderspielzeug oder überhitzende Ladegeräte: Verbraucherschutzorganisationen warnen seit Langem wiederholt vor Online-Ramschläden wie der aus China stammenden Handelsplattform Temu.

Nun untermauert die EU-Kommission die Warnungen mit Konsequenzen. In einer eigenen Untersuchung hat die Brüsseler Behörde festgestellt, dass Kund:innen in der EU einem hohen Risiko ausgesetzt sind, auf der Temu-Plattform unwissentlich illegale Produkte zu erwerben. Damit habe Temu gegen den Digital Services Act (DSA) verstoßen, gab die EU-Kommission heute bekannt. Als Folge muss Temu eine Geldbuße in der Höhe von 200 Millionen Euro bezahlen. Zudem muss der Anbieter der Kommission bis Ende August einen Plan vorlegen, wie er die illegalen Praktiken künftig abstellen wird.

Strenge Auflagen für sehr große Anbieter

Temu gilt als sehr großer Online-Dienst nach dem DSA. Für derart eingestufte Anbieter, darunter auch soziale Medien wie Snapchat oder Porno-Dienste wie XVideos, gelten schärfere gesetzliche Bestimmungen als für kleinere Dienste. Sie müssen etwa regelmäßig das Risiko ihrer Angebote bewerten und gegebenenfalls gegensteuern. Kommen sie den Auflagen nicht nach, drohen ihnen empfindliche Geldbußen von bis zu sechs Prozent des weltweiten Jahresumsatzes.

Seit dem Start im Frühjahr 2023 ist das Europa-Geschäft von Temu rasant gewachsen. Bei der Einstufung als sehr großer Online-Dienst vor zwei Jahren konnte der Anbieter monatlich rund 75 Millionen aktive Nutzer:innen in der EU verzeichnen. Im ersten Halbjahr 2025 waren laut eigenen Angaben bereits durchschnittlich knapp 116 Millionen Kund:innen monatlich aktiv. Schätzungen zufolge hat der chinesische Anbieter im Jahr zuvor allein in Deutschland rund 3,4 Milliarden Euro umgesetzt. Auf dem Radar der Kommission dürfte das Unternehmen von Beginn an gewesen sein, die aktuelle Untersuchung hat sie bereits im Herbst 2024 eingeleitet.

Tatsächlich hatte Temu im Jahr 2024 eine Risikobewertung vorgenommen. Dabei habe der Anbieter jedoch keine spezifischen Einzelheiten zu seinem eigenen Marktplatz untersucht, sondern sich auf allgemeine Informationen der Branche verlassen, so die EU-Kommission.

Verdeckte Testkäufe

Bei eigenen verdeckten Streifzügen durch den Online-Laden sei die Kommission etwa über einen „sehr hohen Anteil“ an Ladegeräten gestolpert, die grundlegende Sicherheitstests nicht überstanden hätten. Auch bei Spielzeug bestehe eine hohe Gefahr, dass diese Produkte unter anderem Schwellenwerte für toxische Chemikalien überschreiten und Kinder schädigen würden. Zudem habe Temu nicht ausreichend untersucht, ob seine Empfehlungssysteme womöglich zur Verbreitung illegaler Produkte beitragen würden, moniert die Kommission.

Anders als andere Tech-Konzerne reagierte Temu zunächst zurückhaltend auf die Entscheidung aus Brüssel. Der Anbieter habe während des gesamten Prozesses „konstruktiv mit der Kommission zusammengearbeitet“ und werde dies auch weiterhin tun, teilt ein Unternehmenssprecher auf Anfrage mit. Den Beschluss der EU-Kommission nehme man zur Kenntnis, werde ihn „sorgfältig prüfen und alle verfügbaren Optionen in Betracht ziehen“, so der Sprecher.

In einer später nachgereichten Stellungnahme stellt Temu jedoch klar, mit der Entscheidung der Kommission nicht einverstanden zu sein und die Geldbuße für unangemessen zu halten. „Die Entscheidung bezieht sich auf unsere erste DSA-Bewertung im Jahr 2024 und spiegelt nicht den aktuellen Stand unserer Systeme wider.“ Seitdem habe man „weitere Schritte unternommen, um die Risikobewertung, die Plattform-Governance sowie den Schutz von Nutzer:innen zu stärken“, sagt der Sprecher.

DSA beginnt zu wirken

Temu ist der zweite sehr große Online-Dienst, dem offiziell eine Verletzung des seit 2022 geltenden Digitalgesetzes vorgeworfen wird. Im Winter hat die Kommission das soziale Netzwerk X des US-Milliardärs Elon Musk zu einer Strafe von 120 Millionen Euro verurteilt. X habe gegen DSA-Auflagen zur Transparenz verstoßen, kein funktionales Archiv für Werbeanzeigen geschaffen sowie Forschenden keinen DSA-konformen Datenzugang gewährt, stellte die Kommission fest.

Eine Untersuchung des ebenfalls aus China stammenden Temu-Konkurrenten Shein läuft seit vergangenem Februar. Der auf sogenannte Fast-Fashion spezialisierte Online-Marktplatz steht im Verdacht, massenweise illegale Waren zu verkaufen, darunter genehmigungspflichtige Waffen oder kinderähnliche Sexpuppen. Zudem sei der Dienst womöglich so gestaltet, um Nutzer:innen süchtig zu machen, vermutet die Kommission. Ob sich die Untersuchung ebenfalls über Jahre hinweg ziehen wird, bleibt offen: Die Kommission werde sie „vorrangig behandeln“, teilte sie damals mit.

Neben potenziellen Geldbußen kommt auf Billigimporteure ein strikteres Zollsystem zu. Bislang ließen sich Pakete im Warenwert von unter 150 Euro zollfrei nach Europa verschicken. Zunächst sollen sie ab Juli mit einer Abgabe in Höhe von drei Euro belegt werden. In einem weiteren Schritt sollen schließlich alle in die EU importierten Waren ab dem ersten Euro zollpflichtig sein.

Das FBI warnt vor gefälschten FIFA-Webseiten, die Cyberkriminelle aufsetzen, um damit etwa an Daten oder Geld von potenziellen Opfern zu gelangen. IT-Sicherheitsunternehmen haben etwa die Kampagne der kriminellen Gruppe „Ghost Stadium“ analysiert.

Die US-amerikanische Bundesbehörde [Link auf https://www.ic3.gov/PSA/2026/PSA260527]FBI verbreitet eine öffentliche Bekanntmachung zu betrügerischen, gefälschten FIFA-Webseiten. Die imitieren die legitime Webseite mitsamt des Brandings, Produktangeboten und weiterem. Sie dienen den bösartigen Akteuren dazu, persönliche Daten zu stehlen oder Finanzbetrug zu begehen.

Die Strafverfolger des FBI haben dabei beobachtet, dass die Täter persönliche Informationen sammeln, gefälschte Tickets und Merchandise verkaufen und möglicherweise noch weitere Straftaten begehen. Mit den persönlichen Daten können die Angreifer neue Konten im Namen der Opfer anlegen und diese letztlich betrügen, schreibt das FBI. Die falschen Webseiten imitieren auch die legitime URL, indem sie Typosquatting-Domains verwenden, etwa „fiffa[.]com“. Sie setzen aber auch thematisch passende Domains wie „jobs-fifa[.]com“.

Zig betrügerische Domains

Das FBI listet bereits zig bekannte betrügerische Domains auf, zu viele, um sie hier abzubilden. Die Ermittler betonen, dass es weitere geben wird und Interessierte daher wachsam bleiben sollen.

Die IT-Forscher von Group-IB haben zudem noch viel mehr betrügerische Webseiten entdeckt. Laut deren Erkenntnissen gibt es bereits mehr als 4300 betrügerische Domains seit August 2025, die die FIFA-Seite fälschen. Die Drahtzieher hinter einer solchen Kampagne nennen die Analysten „Ghost Stadium“. Sie sprechen der Group-IB-Analyse zufolge chinesisch und handeln aus finanziellen Motiven. Sie haben eine pixelgenaue Kopie der FIFA-Webseite erstellt, auch mit einer Single-Sign-on-Authentifizierung, die zudem elf Sprachen unterstützt.

Mehr als 300 Domains laufen mit der betrügerischen Infrastruktur im Hintergrund. Sie greifen das Ping-Identity-SSO-System der FIFA an, um Zugangsdaten abzugreifen. 140 weitere Domains gelten als verdächtig und 3800 sind noch geparkt und warten nur auf ihre Aktivierung. Insgesamt 2513 FIFA-Kontenzugangsdaten für die Domains fifa.com und fifa.org haben die IT-Forscher bereits im Darknet gefunden. Insgesamt hat Group-IB vier unabhängige Betrügerbanden ausgemacht und eine Phishing-as-a-Service-Lieferkette, die vorgefertigte „Betrugsbaukästen“ verkauft und auch automatisierte Ticket-kaufende Bots betreibt. Werbung für die Betrugsseiten läuft etwa über Facebook. Die verlinkte Analyse beleuchtet die betrügerischen Seiten und Hintergründe tiefgehend.

Als Sicherheitshinweise gibt das FBI die bekannten Tipps, etwa die FIFA-Webseite durch manuelle Eingabe der korrekten Adresse in die Adresszeile des Webbrowsers oder aus den Lesezeichen heraus zu besuchen. Bei der Nutzung von Suchmaschinen sollten die Treffer mit der Markierung „Sponsored“ gemieden werden, da die Betrüger oft Werbung für die falschen Domains schalten. Subdomains sollten nur von der offiziellen FIFA-Webseite aus angesteuert werden, nicht über Webseiten von Dritten.

Nach einer Vereinbarung zwischen FIFA und YouTube wird die Videoplattform offizieller Partner und zur bevorzugten Plattform der anstehenden Fußball-Weltmeisterschaft. Die c’t hat zudem einige Tipps für das heimische Public Viewing des Turniers zusammengestellt.

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA hat eine Warnung vor den kürzlich entdeckten Supply-Chain-Angriffen auf mehrere Produkte veröffentlicht. IT-Verantwortliche sollten das zum Anlass nehmen, zu prüfen, ob sie unwissentlich mit Malware verseuchte Pakete einsetzen.

Insgesamt warnt die CISA vor drei Vorfällen. An erster Stelle stehen die Daemon Tools, die zwischen dem 8. April und 5. Mai 2026 mit Malware infizierte Installer von Daemon Tools Lite ausgeliefert haben. Die Version 12.6 und neuere der Daemon Tools Lite enthalten keinen Schadcode mehr, versichert der Anbieter. Der Vorfall hat einen CVE-Schwachstelleneintrag erhalten (CVE-2026-8398, CVSS 9.8, Risiko „kritisch“). Ungewöhnlich ist die Dringlichkeit, die die CISA zum Fixen vorgibt: Statt der üblichen zwei Wochen haben US-amerikanische Behörden lediglich bis zum 30. Mai Zeit, die bereinigte Software zu verteilen.

Ein weiterer Lieferkettenangriff erfolgte auf TanStack. Dabei haben die bösartigen Akteure 42 Pakete kompromittiert, mit 84 kompromittierten Versionen. Nach nur 20 Minuten sind die infizierten Pakete aufgeflogen (der CVE-Eintrag spricht gar nur von 6 Minuten am 11. Mai 2026, von 19:20 bis 19:26 Uhr UTC) und seitdem als „deprecated“ markiert, es ist jedoch unklar, wie oft sie installiert wurden. Betroffene sollten ihre Zugangsdaten auf jeden Fall erneuern. Der zugehörige CVE-Schwachstelleneintrag hat die Nummer CVE-2026-45321 erhalten (CVSS 9.8, Risiko „kritisch“).

Dritte Supply-Chain-Attacke

Auch das Entwickler-Tool Nx Console wurde im Mai 2026 Opfer eines Supply-Chain-Angriffs. Die Version 18.95.0 war betroffen, zwischen 12:30 und 13:09 Uhr UTC stand kompromittierte Software zum Download bereit. Das Problem ging offenbar von einer vereinzelten Entwickler-Maschine aus, die eine Woche zuvor ein manipuliertes TanStack-Paket gezogen und dann eingebaut hat. Ein Postmortem-Bericht der Nx-Console-Maintainer geht in die Details. Der Schwachstelleneintrag lautet CVE-2026-48027 (CVSS 9.8, Risiko „kritisch“).

Der letzte Vorfall zeigt, dass eine Kompromittierung durch die Lieferkette rasch und zunächst unbemerkt erfolgen kann. Entwickler sollten gegebenenfalls die eingesetzten Pakete einmal prüfen, ob dort bekannt kompromittierte Pakete hereingerutscht sind.

(dmk)