Die Unternehmen asgoodasnew und Kirstein haben ihre Kunden in E-Mails über IT-Vorfälle in ihren Onlineshops informiert. Gemein ist beiden das genutzte Oxid-eShop-System, auf das womöglich gerade eine Angriffswelle anläuft. Inzwischen ist klar, dass ein Zahlungsmodul die Sicherheitslücke aufweist.

Der Musikinstrument-Versender Kirstein weist auf einer eigenen Webseite auf den IT-Sicherheitsvorfall hin. Demnach bemerkte das Unternehmen am 27. Februar 2026 „eine sicherheitsrelevante Auffälligkeit“ und versetzte den Onlineshop zunächst in den Wartungsmodus, um ihn etwa 15 Minuten nach Kenntnis vollständig offline zu nehmen. Der Cyberangriff stehe „im Zusammenhang mit einem Modul“ des Onlineshops (derzeit Oxid eShop Enterprise Edition Version 6). Die Sicherheitslücke sei geschlossen und die Schutzmechanismen sowie das Monitoring verstärkt worden – genauere Informationen nennt Kirstein jedoch nicht.

Die Angreifer können Zugriff auf Zugangsdaten zum Onlineshop erlangt haben, laut Kirstein also E-Mail-Adresse und gegebenenfalls Passwort-Hash – der lässt sich jedoch nicht einfach in das Passwort rückübersetzen. Hinweise darauf, dass weitere Adressdaten und Kundeninformationen wie Liefer- und Rechnungsanschriften oder Bestell- und Zahlungsdaten betroffen sind, gebe es bisher nicht. Zur Sicherheit hat Kirstein aktive Sitzungen beendet und die Kunden-Logins zurückgesetzt, sodass Kunden neue Passwörter setzen müssen. Kirstein warnt die Kunden zudem vor möglichem Phishing mit gefälschten Nachrichten: Echte Mails stammen ausschließlich von der @kirstein.de-Domain, das Unternehmen frage nicht nach Passwörtern und schließlich sollten Kunden die Zugangsdaten nur auf der korrekten kirstein.de-Domain eingeben.

Weiterer geknackter Onlineshop

Auf der Webseite von asgoodasnew findet sich keine Versionsnummer des verwendeten Oxid-eShop-Systems. Das Unternehmen weist in E-Mails an Kunden jedoch auf den Hersteller hin und erklärt, dass der Onlineshop am 1. März 2026 durch einen gezielten Cyberangriff kompromittiert wurde. asgoodasnew wird jedoch etwas konkreter: Auch andere Onlineshops seien betroffen, die Sicherheitslücke betreffe ein Zahlungsmodul eines Drittanbieters für das System. Angreifer konnten dadurch Zugriff auf die Datenbank erlangen. Welches Zahlungsmodul von welchem Anbieter konkret verwundbar ist, führt das Start-up nicht aus.

Bei asgoodasnew sind nach bisherigen Erkenntnissen die Stammdaten wie Name und Anschrift sowie die E-Mail-Adresse, der Bestellverlauf und Passwort-Hashes vom Datenleck betroffen. Auch asgoodasnew warnt vor gezieltem Phishing, das mit diesen Daten glaubhafter gestaltet werden kann. Kunden sollen sicherheitshalber die „Passwort vergessen“-Funktion auf der Webseite nutzen, um ihr Passwort zurückzusetzen. Auf der Webseite finden sich anders als bei Kirstein jedoch keine Hinweise auf den IT-Vorfall.

Oxid eShop: Lücke gefunden, Kundeninformation geplant

Der Hersteller des Oxid-eShop-Systems konnte jedoch Licht ins Dunkel bringen. Auf telefonische Anfrage teilte Oxid uns mit, dass das Unternehmen im Laufe des Donnerstags dieser Woche eine E-Mail an potenziell betroffene Kunden versenden will, die über eine Sicherheitslücke im Klarna-Payment-Modul informiert. Ein Patch ist demnach bereits verfügbar. Die E-Mail soll zudem eine konkrete Anleitung zum Schließen des Sicherheitslecks enthalten. Shopbetreiber, die noch keine Informationen dazu haben, sollten bis dahin zumindest das Klarna-Modul deaktivieren oder entfernen und ihr System auf Spuren von unbefugten Zugriffen untersuchen. Derzeit sind uns noch keine Hinweise für (erfolgreiche) Angriffe (Indicators of Compromise, IOC) bekannt. Wir ergänzen gegebenenfalls diese Meldung bei Verfügbarkeit.

(dmk)

In der vergangenen Woche hat Microsoft angekündigt, dass der Microsoft Authenticator Entra-ID-Zugänge am Ende von Mobilgeräten löschen wird, die er als gerootet oder gejailbreakt erkennt. GrapheneOS wurde für sicherheits- und datenschutzbewusste Menschen konzipiert – Microsoft will es jedoch offiziell nicht unterstützen. Die Nutzung des Microsoft Authenticators mit Entra-ID-Konten steht dort auf wackeligen Füßen. Das teilte das Unternehmen auf Anfrage von heise security mit.

GrapheneOS genießt einen ausgezeichneten Ruf bezüglich Datenschutz und Sicherheit. Es lässt sich auf Google-Pixel-Smartphones besonders datensparsam nutzen, kann aber auch Google-Dienste einsetzen und legt ihnen jedoch die Leine an: sie starten wie alle anderen Apps in einer Sandbox mit Rechteverwaltung. Durch die weitreichende Kompatibilität etwa mit Banking-Software und Streamingdiensten, die auf vielen Custom-ROMs nicht starten, hat GrapheneOS sich zu einem der beliebtesten Custom-ROMs entwickelt. Die Entwickler sind schnell mit dem Schließen von Sicherheitslücken, gelegentlich fließt sogar Code von GrapheneOS zurück ins Android-Projekt.

Auf dem Mobile World Congress (MWC) in Barcelona verkündete zudem Motorola am Montag dieser Woche, offiziell GrapheneOS zu unterstützen. Damit ist das sichere Betriebssystem nicht mehr exklusiv auf Pixel-Smartphones zu Hause. Motorola will damit nicht weniger als „mithilfe von GrapheneOS die Smartphone-Sicherheit neu definieren“. GrapheneOS bringt demnach einen „verstärkten Sicherheitskern“ und „Schutz vor komplexen Bedrohungen“ mit. Motorola will „spezielle hochsichere Geräte“ anbieten, die etwa in Unternehmen, Behörden und so weiter eingesetzt werden können.

Sichereres Custom-ROM reicht nicht

Für die sichere Nutzung von Unternehmens-E-Mails und zum sicheren Datenaustausch über Smartphones wirkt GrapheneOS damit prädestiniert. Da inzwischen viele ihre Dienste mit Microsofts Identitätsverwaltungsangebot Entra-ID zur Anmeldung ausstatten, ist der Microsoft Authenticator für die Nutzung in Unternehmen wichtig. Er dient als zweiter Faktor zur Anmeldung. Die Entra-ID-Konten müssen sich mit der Smartphone-App daher nutzen lassen, oder Nutzer und Nutzerinnen werden ausgesperrt.

Gegenüber heise security sagte ein Microsoft-Sprecher auf Anfrage: „Microsoft Authenticator wird auf GrapheneOS nicht offiziell unterstützt, und Entra-Konten können in Zukunft auf Geräten mit GrapheneOS beeinträchtigt sein, die als gerootet erkannt werden.“

Unklar ist, ob GrapheneOS-Geräte generell vom Microsoft Authenticator als gerootet erkannt werden. Es bleibt zu hoffen, dass Microsoft da gegebenenfalls doch noch seine Position ändert und das sicherere Android-OS auch offiziell unterstützt. Etwas komplizierter und ohne Microsofts Sicherheitserweiterungen im Authenticator lassen sich alternativ jedoch auch andere Authenticator-Apps mit Microsoft-Konten verknüpfen. Dahinter steckt jedoch auch die Frage, ob etwa die IT-Abteilung die Nutzung davon freigibt.

(dmk)

Heute startet in Bochum die zweitägige Konferenz Bits & Bäume NRW 26. Anne Mollen von der Universität Münster gehört zum Team der Organisator:innen. Gegenüber netzpolitik.org erläutert sie, was die Akteur*innen aus Wissenschaft, Zivilgesellschaft und Verwaltung von der Landespolitik fordern, warum es wichtig ist, Digitalisierung von Anfang an nachhaltig zu gestalten, und wie das die Abhängigkeit von Tech-Konzernen verringert.

netzpolitik.org: Anne Mollen, warum findet die Konferenz in NRW statt?

Anne Mollen: Es gab schon zwei Konferenzen in den Jahren 2018 und 2022, allerdings auf Bundesebene. Bereits damals ging es darum, die Themen Nachhaltigkeit und Digitalisierung zusammenzubringen. Aber die Bits-&-Bäume-Bewegung besteht aus vielen lokalen Zweigen, einer davon ist der nordrhein-westfälische. Uns vor Ort war schnell klar: Wir müssen auch die Landespolitik adressieren. Denn sie nutzt ihre politischen Handlungsspielräume nur unzureichend oder gar nicht.

Beim Bau von Rechenzentren Probleme gemeinsam betrachten

netzpolitik.org: In NRW baut Microsoft gerade Hyperscaler-Rechenzentren im Rheinischen Revier. Das Braunkohlegebiet soll zukünftig als Vorzeigeregion für strukturellen Wandel gelten. Was ist daran falsch?

Anne Mollen: So einiges. Der Bund für Umwelt und Naturschutz NRW hat etwa die Flächenversiegelung kritisiert, weil für die Rechenzentren nicht bereits brachliegende Flächen genutzt werden, sondern landwirtschaftliche Nutzflächen wegfallen.

Und natürlich geht es auch um den Energieverbrauch. Denn Microsoft hat wichtige Informationen nicht öffentlich gemacht. Zum Beispiel, wie sie den Bedarf an erneuerbaren Energien decken wollen. Solche fehlenden Informationen sind ein wiederkehrendes Muster. An anderen Orten sehen wir, dass Unternehmen dann klimaschädliches Gas zur Energiegewinnung einsetzen, wenn nicht ausreichend Grundlaststrom vorhanden ist.

Diese Intransparenz ist ein Problem. Wir wissen aus der Forschung, wie sich Rechenzentren etwa in Irland Zusagen für erneuerbare Energien holen, um sich klimaneutral zu präsentieren. Im Anschluss kommt es dann aber zu Verteilungskonflikten, weil Privathaushalte das Nachsehen haben. Deswegen fordern wir einen ganzheitlichen, nachhaltigen Strukturwandel, der lokale Akteur*innen stärkt.

netzpolitik.org: Aber profitieren strukturschwache Regionen nicht wenigstens von neuen Arbeitsplätzen?

Anne Mollen: Microsoft hat versprochen, 450 Arbeitsplätze in der Region zu schaffen. Ich habe aber nicht herausgefunden, wie sie auf diese Zahl kommen.

Angaben aus den USA zeigen, dass pro Terawattstunde, die ein Rechenzentrum an Energie aufnimmt, in der Regel sehr wenige langfristige Vollzeitarbeitsplätze geschaffen werden. Kurzfristig entstehen natürlich Jobs, um die Rechenzentren hochzuziehen. Aber bei dem Bedarf, den wir im Rheinischen Revier mit dem Wegfall des Kohleabbaus haben, ist das ein Tropfen auf den heißen Stein.

Diese Transformationserzählung, dass Rechenzentren den Strukturwandel bringen und die auch die Landespolitik weiterträgt, ist hochproblematisch. Denn wenn man genauer hinschaut, wohin die Milliardeninvestitionen fließen, wird dieses Versprechen nicht eingelöst.

Microsoft hat Investitionen in Höhe von 3,2 Milliarden Euro zugesagt, die ins Rheinische Revier fließen sollen. Ein Großteil des Geldes wird aber für die Hardware der Rechenzentren aufgewendet. Die wird jedoch nicht in NRW hergestellt, im Zweifel nicht einmal in Deutschland.

Unabhängige Gutachten müssen Transparenz schaffen

netzpolitik.org: Was wäre denn die Alternative?

Anne Mollen: Damit Prozesse transparenter sind, müssten den Unternehmen klare Auflagen gemacht werden. Es braucht verpflichtende unabhängige Gutachten zu den ökologischen Auswirkungen. Und die Unternehmen müssten nachweisen, wie sie Umweltschäden eindämmen wollen.

Außerdem sollten kommunale Akteur*innen massiv gestärkt und sensibilisiert werden, wenn es um Verhandlungen mit großen Playern wie Microsoft geht. Damit sie einschätzen können, was es bedeutet, wenn ein Konzern bei ihnen vor Ort ein Rechenzentrum aufmacht.

netzpolitik.org: Aber reicht der Blick aufs Lokale?

Anne Mollen: Nein, die globale Perspektive entlang der Lieferketten ist natürlich ebenso wichtig. Werden Server so hergestellt und später entsorgt, dass ihre Einzelteile in einen Kreislauf überführt werden? Auch dafür sind verpflichtende Umweltgutachten wichtig.

Mit unseren politischen Forderungen gehen wir in die Breite. Und die Rechenzentren sind nur ein Aspekt von vielen. Ebenso setzen wir uns für partizipative Beteiligungsprozesse ein. In Chile können wir zum Beispiel sehen, wie lokale Proteste Wirkung zeigen. Dort hat die Ansiedlung von Microsoft-Rechenzentren die Wasserkrise massiv verschärft. Das Unternehmen ist daraufhin auf eine weniger wasserintensive Technologie umgestiegen. Und auch in Hessen hat lokaler Widerstand dazu geführt, dass ein Hyperscale-Rechenzentrum nicht gebaut wurde.

Deshalb fordern wir, dass die Zivilgesellschaft von vornherein eingebunden ist. Da stehen dann auch die kommunale Politik und die Landespolitik in der Verantwortung. Statt solchen Bodenwert leichtfertig an große Unternehmen abzugeben, könnten sie mehr Geld in digitale Souveränität investieren.

Selbstbestimmung statt digitale Abhängigkeiten fördern

netzpolitik.org: Digitale Souveränität ist ein gutes Stichwort. Was kann NRW hier aus eurer Sicht ausrichten?

Anne Mollen: Es ist wichtig, über alternative Formen der digitalen Infrastruktur zu sprechen. Und gerade Hochschulen verfügen über unabhängige digitale Infrastrukturen, die kommunale Rechenzentrumsbetreiber oder die Hochschulen selbst betreiben. Das Prinzip der digitalen Souveränität wird auf Grundlage von Open-Source-Anwendungen hier bereits seit rund 15 Jahren umgesetzt.

Aber auch bei generativer KI ist das Land NRW vorne dabei. Verschiedene Universitäten, auch bundesweit, hosten beispielsweise ein lokales großes Sprachmodell. Und es gibt das Projekt Open Source-KI.nrw. Das ist ein Servicezentrum, das KI-Infrastrukturen für Hochschulen und Forschungseinrichtungen anbietet.

Aber solche Angebote kosten Geld. Deswegen muss das Land NRW in Hochleistungsrechenzentren investieren, die diese KI-Dienste durch entsprechende Dauerstellen stützen.

Bisher gibt es landesweit noch Projekte, die zweigleisig unterwegs sind. Einige haben Schnittstellen zu kommerziellen Anbietenden. Langfristig sollten sich aber alle Akteur*innen zu souveränen Lösungen verpflichten, damit wir uns nicht in die nächste digitale Abhängigkeit begeben.

Denn die Abhängigkeit kostet auch. Gerade sind Lizenzkosten für kommerzielle KI-Modelle zwar noch massiv subventioniert. Forschende warnen aber davor, dass Lizenzkosten langfristig vermutlich deutlich höher ausfallen, als Investitionen in digitale Souveränität kosten würden.

Bürger*innen beteiligen, Forschung anhören, mit der Politik verbinden

netzpolitik.org: Lassen sich eure Forderungen auf andere Bundesländer übertragen?

Anne Mollen: Zunächst halten wir es für wichtig, auf Landesebene das Politikfeld nachhaltige Digitalisierung zu schaffen. Bisher ging es dort vor allem um die Frage, wie wir mit dem Einsatz digitaler Technologien Nachhaltigkeit erreichen können. Wir wollen aber die Perspektive etablieren, dass wir Digitalisierung gemeinsam und nachhaltig gestalten sollten.

Dabei darf die Landespolitik nicht allein in der Verantwortung sein, aber sie sollte neuen Ideen auch nicht im Wege stehen.

Wir wollen gemeinsam mit Menschen aus der Forschung und aus der Zivilgesellschaft darüber diskutieren, welche digitale Zukunft wir anstreben. Denn wir alle sollten die Möglichkeit haben, unsere digitale Zukunft zu gestalten, sei es an der Hochschule, in der Verwaltung oder auch im Verein.

Eine solche Zukunftsvorstellung, auf die wir hinarbeiten, können wir auch anderen Bundesländern anbieten. Unsere Hoffnung ist, dass unsere Forderungen eine Eigendynamik entwickeln und die Länder dann durch gute Beispiele voneinander lernen.