Das Unternehmen Gambio, das die gleichnamige Webshop-Software entwickelt, hat Ende vergangener Woche Sicherheitsupdates veröffentlicht. Gambio empfiehlt Shop-Betreibern dringend, die Aktualisierungen anzuwenden. Cloud-gehostete Shops wurden kompromittiert, zudem auch On-Premises-Installationen.

Das lässt sich einem Foreneintrag bei Gambio entnehmen. Demnach gibt es ein Security-Update 2026-03 v1.1 für Gambio-Versionen von 4.0 bis 4.9 und höher. Insgesamt handelt es sich um drei Versionszweige, die jeweils ein eigenständiges Update-Paket erhalten – für Gambio v4.0 bis 4.6, für Gambio v4.7 bis v4.8 und für Gambio V4.9 und neuer. Wer ältere Gambio-Versionen einsetzt, soll auf die neueren Fassungen migrieren. Die Cloud-Fassungen hat der Hersteller den eigenen Angaben zufolge bereits aktualisiert. Ein erster Patch, Version 1.0 des Sicherheitsupdates, hatte offenbar Probleme mit den Shops verursacht, in denen er angewendet wurde. Gambio hat daher eine v1.1 hinterhergeschoben, die ohne weitere Symptome die Schwachstelle ausbessern soll.

Das Update zum Update hat bei einigen Shopbetreibern offenbar für Verwirrung gesorgt, aber inzwischen fasst der initiale Beitrag in dem Gambio-Forum die Situation korrekt zusammen und nennt auch Abhilfe für den Fall, dass der Patch v1.0 Störungen im Shop-System verursacht.

Offenbar erfolgreiche Angriffe auf Gambio-Shops

Zunächst nicht öffentlich, sondern lediglich in E-Mails an Kunden, hat Gambio beobachtete Angriffe auf die Schwachstellen eingeräumt. Anscheinend installieren die bösartigen Akteure eine Datei auf dem System und kompromittieren es damit. Das legt ein gelöschter Beitrag in dem Forum nahe, der mittlerweile gelöscht wurde. Weil weitere Foristen geantwortet haben, kann der Text noch eingesehen werden. Er legt nahe, dass Gambio konkrete Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) kennt. Weiteren Posts zufolge legen die Angreifer im „Theme“-Ordner einen neuen Unterordner an – an einer Stelle wird von einem Scan aus dem Internet auf einen Ordner namens „gx_se_cache“ geschrieben.

Weitere Hinweise auf erfolgreiche Angriffe, die sich dort finden, deuten auf Kopien der Shopordner wie „admin“ oder „includes“ im „Theme“-Ordner hin. Außerdem finden sich in „upload/tmp“ weitere Ordner, die eine Datei namens „cache.php“ enthalten – die gehört da ebenfalls nicht hin.

Hinweise auf konkrete Schwachstellen

In Gambio-Shopsystemen klafften den Hinweisen zufolge bis zum Sicherheits-Update 2026-03 v1.1 drei Sicherheitslecks. Übermittelte Daten etwa nach Artikelauswahl im Shop durch Kunden wurden unzureichend gefiltert, sodass ohne vorheriges Login eine SQL-Injection möglich war. Außerdem ermöglicht eine Schwachstelle demnach zumindest Denial-of-Service-Angriffe, da das System zur dynamischen Preisberechnung einige Parameter ungefiltert verwendet. Zudem soll die Erzeugung von Sicherheitsschlüsseln zur Nutzerauthentifizierung im Design-Bereich (StyleEdit) vorhersehbar gewesen sein, da sie etwa auf dem Installationszeitpunkt des Shops basierte. Die Rede ist jedoch von einem theoretischen Problem – die Lücke ist für die nun erfolgten Angriffe wohl nicht relevant.

160 Cloud-Shops angegriffen

Eine eigene Seite auf dem Gambio-Webauftritt erklärt einige Details zu den Angriffen und Schwachstellen und verlinkt FAQs für Shop-Betreiber. Allerdings verweist das Unternehmen auch dort lediglich auf die IOCs, die in den Kunden-E-Mails zu finden sind. Gegenüber heise security hat Gambio jedoch noch weitere Informationen preisgegeben. Demnach wurden rund 160 Webshops in der Gambio-Cloud attackiert. Der Hersteller hat betroffene Shop-Betreiber bereits direkt kontaktiert. Angaben zur Anzahl attackierter On-Premises-Installationen liefert Gambio nicht.

Bei der attackierten Sicherheitslücke handelt es sich um eine SQL-Injection-Schwachstelle, die Angreifer ohne vorherige Authentifizierung missbrauchen können. Die Angreifer haben in den bekannten Fällen die Kundendatenbanken ausgelesen, die Kontaktdaten, den Bestellverlauf und Passwort-Hashes umfassen. Insbesondere, wenn die Passwörter noch mit MD5 gehasht wurden, sollten sie daher als kompromittiert angesehen werden. Gambio empfiehlt jedoch, einen Passwort-Reset für alle Kunden von betroffenen Shops auszulösen. Außerdem sind der FAQ zufolge Shop-Betreiber dazu verpflichtet, Endkunden gemäß Artikel 34 DSGVO zu informieren, sollte der Shop erfolgreich attackiert worden sein.

Nicht ausgelesen wurden Gambio zufolge etwa Kreditkartennummern, Bankverbindungen und Zugangsdaten zu Payment-Providern. In der FAQ weist Gambio darauf hin, dass keine Zahlungsdaten in der Gambio-Datenbank gespeichert werden, sondern dass Zahlungen ausschließlich über externe Zahlungsanbieter abgewickelt werden.

Gambio-Shop-Betreiber sollten die Aktualisierungen umgehend installieren. Möglicherweise finden sich die Hersteller-E-Mails mit den konkreteren IOCs im Spam-Ordner. Dort sollten Kunden einmal suchen, die die E-Mail bislang nicht gesehen haben, und ihre Systeme auf erfolgreiche Angriffe basierend auf den Hinweisen in der E-Mail untersuchen.

Gambio-Webshops standen Ende vergangenen Jahres bereits im Visier von Angreifern. Dort wurde der Fall des gekaperten „Fänshop“ von Baden-Württemberg bekannt, der vermutlich ebenfalls auf Gambio basiert.

(dmk)

Vor einer Woche wurden Sicherheitslücken in Citrix Gateway und Netscaler ADC bekannt, von denen eine kritische auf ein potenzielles „CitrixBleed 3“ hindeutete. Zunächst haben IT-Sicherheitsforscher erste Sondierungen von Cyberkriminellen auf Honeypots entdeckt, doch inzwischen gibt es offenbar deutliche Hinweise auf akute Angriffe auf die Schwachstelle.

Die Sicherheitslücke CVE-2026-3055 kann zu überlangen Speicher-Lesezugriffen aufgrund unzureichender Eingabeprüfung führen (CVSS4 9.3, Risiko „kritisch“). Details zur Schwachstelle sind knapp, erinnern jedoch an „CitrixBleed 2“ aus Mitte 2025. Aufgrund eines ähnlichen Speicherlecks konnten Angreifer aus dem Netz dieses Leck zum Abgreifen von Zugangstoken missbrauchen. Die IT-Sicherheitsexperten von watchTowr erklären auf LinkedIn, dass sie am Wochenende Hinweise auf Ausforschung ihrer Honeypot-Systeme auf das Vorhandensein dieser Sicherheitslücke beobachtet haben.

IT-Forscher entdecken Angriffe auf Citrix-Lücke

IT-Sicherheitsforscher von DefusedCyber haben auf X erklärt, dass sie am Sonntag aktive Angriffe auf die Lücke CVE-2026-3055 beobachtet haben. „Angreifer senden präparierte SAMLRequest-Pakete an ‚/saml/login‘ und lassen das ‚AssertionConsumerServiceURL‘-Feld dabei leer, wodurch die Appliance Speicherinhalte durch das ‚NSC_TASS-Cookie‘ preisgibt“, erörtern sie dort. Die Honeypot-Daten zeigten Angriffe, die dieselbe Payload-Struktur wie der Proof-of-Concept-Exploit von watchTowr aufwiesen.

Sofern IT-Verantwortliche vergangene Woche noch nicht aktiv geworden sind, sollten sie spätestens jetzt ihre Citrix-Netscaler-Systeme absichern, indem sie sie auf den aktuellen Stand bringen. Citrix hat die Sicherheitslücken in folgenden Versionen gestopft:

• NetScaler ADC und NetScaler Gateway 14.1-66.59 oder neuer,
• NetScaler ADC und NetScaler Gateway 13.1-62.23 oder neuere Releases aus dem Versionsbaum 13.1,
• NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.262 sowie neuere Versionen von 13.1-FIPS und 13.1-NDcPP.

(dmk)

Es lässt mich nicht los, dieses kleine, viereckige Gerät. Das eine Ding, das ich immer bei mir trage, selbst wenn ich nur vom Schlafzimmer in die Küche laufe. In der Bahn, in Pausen, beim Warten an der Ampel, vorm Einschlafen, direkt nach dem Aufwachen: In jeder freien Sekunde geht mein erster Griff zum Smartphone. Selbst wenn ich Besseres zu tun hätte und selbst wenn mich der Inhalt eigentlich gar nicht interessiert oder ich vom Scrollen schon längst Kopfschmerzen habe. Auch dann, wenn ich eigentlich nicht frei habe. Wenn ich – so wie jetzt gerade – eine Hausarbeit für die Uni schreiben sollte oder eine Kolumne abgeben muss.

Meine durchschnittliche tägliche Bildschirmzeit auf Instagram beträgt zwei Stunden. Zwei Stunden jeden Tag. Auf ein Jahr hochgerechnet sind das 730 Stunden, die ich mit einer einzigen App verbracht habe. In dieser Zeit hätte ich im vergangenen Jahr eine Sprache lernen oder ein gesamtes zusätzliches Studiensemester im Umfang von 30 ECTS abschließen können. Ganz abgesehen von der Zeit, die ich auf WhatsApp, beim Surfen oder mit Serien verbringe. Mir ist das seit Jahren bewusst. Und trotzdem ändert sich nichts. Das ist kein persönliches Versagen. Es ist Systemdesign.

Laut einer Studie aus dem Jahr 2025 verbringen deutsche Jugendliche zwischen 12 und 19 Jahren im Schnitt über 200 Minuten täglich im Netz. Das entspricht einem Teilzeitjob. 68 Prozent der Befragten stimmen der Aussage zu: „Es kommt oft vor, dass ich mich vergesse und viel mehr Zeit am Handy verbringe, als ich geplant hatte.“ Das ist kein Charakterproblem. Das ist das Ergebnis von Milliarden Euro, die in Systeme investiert wurden, um genau das zu erreichen.

By Design

Soziale Medien sind längst nicht nur Unterhaltungsmedien. Sie sind Aufmerksamkeitsmaschinen. Ihr Geschäftsmodell basiert nicht auf guten Inhalten, die produzieren sie nicht einmal selbst. Und wenn wir ehrlich sind, ist der meiste Content in Sozialen Medien weder besonders unterhaltsam noch bereichernd.

Das Geschäftsmodell basiert darauf, menschliche Aufmerksamkeit zu binden, zu messen und in Werbeeinnahmen zu verwandeln. Je länger wir scrollen, desto wertvoller sind wir als Nutzer. Unsere Zeit ist das Produkt.

Die Mechanismen sind gut dokumentiert: Plattformen wie Meta und ByteDance setzen auf denselben neurobiologischen Mechanismus wie Spielautomaten: den variablen Verstärkungsplan. Das Gehirn schüttet Dopamin nicht aus, wenn es eine Belohnung erhält, sondern während es eine erwartet. Es ist das Vielleicht, das süchtig macht. Vielleicht unterhält mich der nächste Clip besser als der davor.

Dazu kommen Endlosscrolling ohne natürliche Pause, Push-Benachrichtigungen im Sekundentakt, Empfehlungssysteme, die nicht das Interessanteste zeigen, sondern das, was uns emotional am stärksten aktiviert. Der Schließen-Button kleiner und grauer als der Weiter-Button. Die Datenschutzeinstellungen hinter drei Menüs versteckt. Die Kündigung, die nach jeder Menge Kleingedrucktem den Account nur für dreißig Tage stilllegt.

All das zusammen ergibt eine Architektur, in der Freiheit simuliert wird – du kannst ja jederzeit aufhören – aber strukturell verhindert. Wer hier „zu viel“ Zeit verbringt, hat nicht versagt. Er hat sich einem System ergeben, das dafür optimiert wurde, ihn auf der Plattform zu halten. Und das es gleichzeitig schafft, uns all das als emanzipatorisch zu verkaufen.

Soft Power reicht nicht aus

Auf solche Probleme antworten Entscheidungsträger gerne mit weichen Steuerungselementen: etwa mehr Medienkompetenz in der Schule. Das ist nicht falsch. Aber es ist unzureichend – selbst wenn dieser Forderung endlich einmal ernsthaft nachgegangen würde. Es wäre so, als würde man einem rauchenden Jugendlichen sagen, er solle mehr Willenskraft aufbringen, anstatt Tabakwerbung zu regulieren und Zigarettenhersteller zur Verantwortung zu ziehen.

Das strukturelle Problem ist eine fundamentale Machtasymmetrie: Auf der einen Seite Unternehmen mit Milliardenumsätzen und Tausenden Mitarbeitern, die sich rund um die Uhr mit einer Frage beschäftigen: Wie halten wir Menschen möglichst lange auf der Plattform? Und auf der anderen Seite Nutzer, die – selbst wenn sie wissen, wie ihnen da eigentlich geschieht – nahezu keine Möglichkeit haben, sich davor zu schützen und gleichzeitig weiterhin große Online-Plattformen zu nutzen.

Brüssel will mehr digitalen Verbraucherschutz

Nach Jahren der Diskussion plant die EU-Kommission den Digital Fairness Act (DFA); ein Gesetz, das das digitale Verbraucherrecht grundlegend neugestalten soll. Grundlage ist eine Erhebung aus dem Oktober 2024, deren Befund ernüchternd ausfiel: Die bestehenden EU-Verbraucherschutzgesetze taugen für das digitale Zeitalter nicht. Verbraucher werden durch manipulative Online-Praktiken zu Vertragsabschlüssen verleitet, die sie sonst nicht getätigt hätten.

Der DFA soll nach aktueller Beschreibung seitens des EU-Parlaments unter anderem vier Kernprobleme regulieren: Dark Patterns, suchterzeugendes Design, Influencer-Marketing und die unlautere Personalisierung durch die Plattformbetreiber selbst.

Kein Wunder, dass die Plattformen dagegen Sturm laufen. TikTok erklärte in der Konsultation zum geplanten Gesetz, es bestehe nur sehr begrenzter Bedarf an zusätzlicher Regulierung. ByteDance, Meta, Google: Sie alle wissen, was auf dem Spiel steht. Weniger manipulatives Design bedeutet weniger Verweildauer, weniger Werbeeinnahmen.

Die EU hat mit DSA, DMA und AI Act bereits ambitionierte Digitalgesetze verabschiedet. Diese Regelwerke haben eine gemeinsame Leerstelle: Sie regulieren Inhalte und Marktmacht, nicht das Design der Plattformen. Der DFA soll genau diese Lücke schließen. Entscheidend wird – wie so oft – die Durchsetzung des Acts sein. Die EU hat eine unrühmliche Geschichte, ambitionierte Gesetze zu verabschieden und sie anschließend unzureichend durchzusetzen.

„Langweiliger“, aber freier

Ich will keine App-freie Welt. Keine vordigitale Idylle, wie sie so mancher Kulturpessimist allzu gerne zeichnet. Was ich will, ist die tatsächliche Freiheit, darüber zu entscheiden, wie ich meine Zeit verbringe. Eine App-Architektur, die mich nicht gegen mich selbst ausspielt.

Soziale Medien müssen langweiliger werden. Nicht im Sinne schlechterer Inhalte – die sind ohnehin meist beliebig. Sondern im Sinne eines Designs ohne psychologische Fallen. Das zu ermöglichen, ist eine politische Entscheidung. Und es wird Zeit, dass diese Entscheidung zugunsten der Verbraucher in Brüssel getroffen wird.