Datenleck bei Onlinehändler asgoodasnew: Was Betroffene jetzt wissen sollten
Nach einem Hackerangriff auf den Onlinehändler asgoodasnew electronics GmbH könnten Daten von rund 1,8 Millionen Kund:innen betroffen sein. Die Verbraucherzentralen raten Betroffenen, besonders aufmerksam zu sein und Passwörter zu ändern.
Das Wichtigste in Kürze:
- Beim Onlinehändler asgoodasnew sollen bei einem Cyberangriff Daten von etwa 1,8 Millionen Kund:innen abgegriffen worden sein.
- Betroffen sein können Name, Adresse, E-Mail, Bestellhistorie sowie verschlüsselte Passwörter.
- Kund:innen sollten ein neues Passwort einrichten.
- Vorsicht vor Phishing-Mails und weiterem Datenmissbrauch.
Was ist bei asgoodasnew passiert?
Der deutsche Onlinehändler asgoodasnew ist Opfer eines Cyberangriffs geworden. Unbekannte konnten offenbar in die vom Unternehmen genutzten Systeme eindringen und auf Kundendaten zugreifen. Rund 1,8 Millionen Kundenkonten könnten betroffen sein. Asgoodasnew ist ein Onlinehändler für Elektronik, der sich auf den Ankauf und Wiederverkauf (Refurbishment) gebrauchter Elektronik wie Smartphones, Tablets oder Laptops und Kameras spezialisiert hat.
Der Angriff soll Anfang März 2026 entdeckt worden sein. Nach ersten Erkenntnissen nutzten die Angreifer eine bislang unbekannte Sicherheitslücke in einem Zahlungsmodul aus, das in den Shop integriert war. Die Software stammt von einem Drittanbieter und wird auch bei anderen Onlinehändlern eingesetzt.
Als mögliches Einfallstor gilt das Shopsystem Oxid eShop, über das der Händler seinen Onlineverkauf organisiert. Gelang es den Angreifern tatsächlich, darüber Zugriff auf die Datenbank zu erhalten, konnten sie dort gespeicherte Kundendaten einsehen und möglicherweise kopieren.
Das Unternehmen informiert derzeit seine Kund:innen über den Vorfall.
Um welche Daten geht es beim Datenklau bei asgoodasnew?
Nach aktuellem Stand haben die Angreifer auf verschiedene Informationen zugegriffen. Dazu gehören insbesondere:
- Name und Anschrift,
- E-Mail-Adresse,
- persönliche Bestellhistorie,
- verschlüsselt gespeicherte Passwortdaten.
Gut zu wissen: Die Passwörter waren nicht im Klartext gespeichert, sondern verschlüsselt. Dennoch besteht ein Risiko, dass sie mit genügend Aufwand entschlüsselt werden könnten.
Aus Vorsicht soll das Unternehmen alle Kundenpasswörter zurückgesetzt haben. Wer sich künftig wieder anmelden möchte, muss zunächst über die Funktion "Passwort vergessen" ein neues Passwort festlegen.
Warum warnen die Verbraucherzentralen vor Phishing?
Gestohlene Daten werden häufig für weitere Betrugsversuche genutzt. Besonders problematisch: Wenn Kriminelle auch die Bestellhistorie kennen, können sie personalisierte und damit täuschend echte Nachrichten formulieren.
In solchen E-Mails könnten sich Kriminelle etwa als Mitarbeiter:innen des Unternehmens ausgeben und behaupten, es gebe ein Problem mit einer Bestellung oder Zahlung. Durch diese glaubwürdigen Details versuchen sie, beim Empfänger Vertrauen zu erwecken und sie dazu zu bringen,
- auf einen Link zu klicken,
- zusätzliche Daten preiszugeben oder
- Zahlungsinformationen einzugeben.
Diese Form des Betrugs nennt man Phishing. Ziel ist es, weitere persönliche Informationen, insbesondere Zugangsdaten, zu stehlen oder das Gerät mit einer Schadsoftware zu infizieren. Woran Sie Phishing-Mails erkennen, lesen Sie im verlinkten Beitrag.
Was sollten betroffene Kund:innen von asgoodasnew jetzt tun?
Wenn Sie ein Kundenkonto bei asgoodasnew haben oder dort einmal bestellt haben, sollten Sie vorsorglich einige Sicherheitsmaßnahmen ergreifen. Tipps für Verbraucher:innen:
- Neues Passwort vergeben: Legen Sie für Ihr Kundenkonto ein neues, starkes Passwort fest.
- Passwörter auch bei anderen Diensten ändern: Nutzen Sie dasselbe Passwort noch auf anderen Webseiten, sollten Sie diese ebenfalls aktualisieren.
- Verdächtige E-Mails kritisch prüfen: Öffnen Sie keine unbekannten Anhänge und klicken Sie nicht unüberlegt auf Links.
- Passwortmanager nutzen: Sie helfen dabei, für jeden Online-Dienst ein eigenes, sicheres Passwort zu verwenden. Praktisch ist außerdem, dass Sie dort auch direkt die Internetadresse, also die URL des jeweiligen Anbieters speichern können. So gelangen Sie mit einem Klick aus dem Passwortmanager direkt auf die richtige Webseite.
- Datenleck prüfen: Über Dienste wie Have I Been Pwned, den Leak Checker der Uni Bonn und dem Tool des Hasso-Plattner-Instituts der Uni Potsdam können Sie kontrollieren, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht.
Wie können Verbraucher:innen ihre Onlinekonten besser schützen?
Der Vorfall zeigt einmal mehr, wie wichtig gute Sicherheitsgewohnheiten im Internet sind. Viele Menschen verwenden dieselben Zugangsdaten auf mehreren Webseiten. Wird ein Konto gehackt, können Kriminelle dann leicht auch auf andere Dienste zugreifen.
Ein grundlegender Schutz besteht darin, für jeden Online-Dienst ein eigenes starkes Passwort zu verwenden. Empfehlenswert sind lange Passwörter oder sogenannte Passphrasen mit mehreren Wörtern.
Zusätzlich kann eine Zwei-Faktor-Authentifizierung sinnvoll sein. Dabei reicht das Passwort allein nicht aus. Beim Login wird ein zusätzlicher Code wie zum Beispiel ein einmaliger Code benötigt, der über eine Authenticator-App versendet wird. Wie Sie starke Passwörter erstellen, lesen Sie außerdem auf der verlinkten Seite. Als Alternative zu Passwörtern können Sie auch Passkeys zum Schutz von Online-Accounts nutzen.
Können noch weitere Händler betroffen sein?
Da die mutmaßliche Sicherheitslücke in einer Softwarekomponente eines Drittanbieters steckte, besteht die Möglichkeit, dass auch andere Onlinehändler betroffen sind, die die gleiche Technik nutzen.
Experten schließen daher nicht aus, dass in den kommenden Wochen weitere Unternehmen ihre Kunden über ähnliche Sicherheitsvorfälle informieren müssen.
Für Verbraucher:innen bedeutet das vor allem eines: Wachsam bleiben, ungewöhnliche Nachrichten kritisch prüfen und bei Onlinekonten regelmäßig die Sicherheitseinstellungen kontrollieren.
