Neu WaWi wurde gehackt

[uwego]

Hallo Zusammen,
meine Wawi wird bei einem JTL Dienstleister gehostet, nun wurden bei diesem die Server gehackt
Dummerweise befanden sich die produktiven Daten und die Sicherungen auf den selben Server.
Worst Case - alle Daten weg!
Der Onlineshop ist davon nicht betroffen.

Gibt es die Möglichkeit (ohne Ameise) Artikeldaten aus dem Shop zu exportieren und in eine neue WaWi zu importieren?

 

[recent.digital]

Ja, wende dich bitte an den JTL Support oder schreib uns eine PN, dann nennen wir dir einen Partner der ggf. helfen kann bzw. einen ähnlichen Fall hat.

 

[Sirko W.]

Hallo,

bitte über das Kundencenter ein Ticket mit Betreff "Datensicherung mide-Online" einreichen.
Für Kunden mit einem im Einsatz befindlichen JTL- Shop können wir helfen, vorhandene Shop-Daten zu extrahieren und für den Import in die JTL-Wawi bereitzustellen.

 

[hula1499]

@Sirko W.

Darf ich fragen, warum die MIDe-online GmbH weiterhin als Service Partner von JTL angeführt wird, nach den Ereignissen und Infos?
https://www.jtl-software.com/de/servicepartner/mide-online-gmbh_117

 

[uwego]

@Sirko W.

Darf ich fragen, warum die MIDe-online GmbH weiterhin als Service Partner von JTL angeführt wird, nach den Ereignissen und Infos?
https://www.jtl-software.com/de/servicepartner/mide-online-gmbh_117
Den Anhang 130786 betrachten

Warum ist der offizielle Servicepartner nicht in der Lage zu helfen? Schließlich kassiert er noch immer für das Wawi- Hosting!

 

[Sirko W.]

Hallo,

zu den Fragen rund um den Servicepartner werden wir uns hier öffentlich nicht äußern, das sollte verständlich sein. Wir sind jedoch intern bereits mit dem Vorgang befasst und stehen auch im engen Kontakt mit dem SP.
Wir möchten an der Stelle den Betroffenen nur schnellstmöglich eine Hilfe anbieten.

@uwego: Bitte reichst du das Ticket wie in Beitrag #3 beschrieben ein, sofern noch nicht geschehen. Wir schauen, was wir auf Basis der Daten tun können, und melden uns zeitnah.

 

[uwego]

Hallo,

zu den Fragen rund um den Servicepartner werden wir uns hier öffentlich nicht äußern, das sollte verständlich sein. Wir sind jedoch intern bereits mit dem Vorgang befasst und stehen auch im engen Kontakt mit dem SP.
Wir möchten an der Stelle den Betroffenen nur schnellstmöglich eine Hilfe anbieten.

@uwego: Bitte reichst du das Ticket wie in Beitrag #3 beschrieben ein, sofern noch nicht geschehen. Wir schauen, was wir auf Basis der Daten tun können, und melden uns zeitnah.

Das Ticket habe ich erstellt, hoffe das ich da alles richtig ausgefüllt habe.

 

[MichaelH]

Ja, man kann nur hoffen, dass hier alle an einem Strang ziehen um diesen 30 JTL-Kunden zu helfen !!! Es geht ja wohl um Existenzen.

 

[uwego]

@ MichaelH - wie kommst Du auf 30 Kunden?

 

[MichaelH]

Verwechsle ich hier etwas, dann bitte sagen, dann lösche ich es wieder, ansonsten weiß ich auch nur was hier steht:
https://wortfilter.de/mide-online-ransomware-30-haendler-verlieren-alles/

Falls du einer davon bist, steht dort auch so etwas wie eine To-Do-List:
https://wortfilter.de/hoster-gehackt-jtl-wawi-daten-weg-was-haendler-jetzt-tun/

Also echt mein Mitleid, das ist arg. Helfen kann ich dir allderdings nicht.

 

[RealCasi]

Erst mal ein Riesen-Danke an das JTL-Team vom Shop

Wir betreuen als SP einen der betroffenen Händler und haben bereits heute Nachmittag die Artikeldaten und Kundendaten aus dem JTL-Shop zur Verfügung gestellt bekommen. Es sind CSV, die man noch für die Ameise aufbereiten muss, ist aber für Servicepartner nix Aufregendes. Stücklisten-Infos und einige weitere Aspekte sind weg, aber es ist massive Schadensbegrenzung.
Dann haben wir noch eine Inventur-CSV vom Jahreswechsel gefunden, daraus lässt sich viel über bestandsführende Artikel und Stücklisten ableiten, uff.
Meine Kollegin macht Nachtschicht und importiert fleißig in den neuen Server bei "dem" Hoster, wo die meisten sind. Ich denke, ab Donnerstag läuft der Versand wieder über JTL.

Unser Kunde wird mit zwei blauen Augen da raus kommen - ich hoffe das Gleiche für die anderen Betroffenen 🙏

 

[uwego]

@RealCasi - Deine Kunden können sich glücklich schätzen. Die Firma Mide hüllt sich in Schweigen, Hilfe und Unterstützung Fehlanzeige.

 

[RealCasi]

@RealCasi - Deine Kunden können sich glücklich schätzen. Die Firma Mide hüllt sich in Schweigen, Hilfe und Unterstützung Fehlanzeige.

Da spielt vermutlich eine Menge Psychologie mit bei Michael D. Er hat zumindest unserem Kunden gegenüber Aussagen getroffen, die tief blicken lassen, aber das möchte ich hier nicht breittreten.

Meinen früheren Geschäftspartner hat 2025 genau das gleiche erwischt. Der konnte nicht mehr klar denken vor Stress und hat dann auch den Kopf in den Sand gesteckt und seine Kunden nicht mehr unterstützt.

Du schreibst, dein Onlineshop ist nicht betroffen. Hast du denn im Shop alle/viele Artikeldaten? Wie oben gesagt, in Sachen Shop-Export zaubert das JTL-Shop-Team gerade richtig.
Oder alternativ bei ebay? Da lassen sich Artikeldaten auch recht gut zurückholen.
Evtl. - je nach Kundenstruktur- Einzeldebitoren für größere Kunden in der Buchhaltung? <- Zurückholen via DATEV (o.ä.)
In dieser Scheiß-Situation muss man sich an alles klammern, was zumindest einen sinnvollen Teil der Artikeldaten/Kundendaten liefert.

 

[wawi-dl]

Heftig, ich will niemand angreifen, aber warum zum Teufel macht man nicht auf 2 oder mehr getrennten Systemen Sicherungen???
Wir haben 4 Ablagen von Sicherungen, man weis ja nie ... aufwachen, verlasst euch auf NIEMANDEN!

Was MIDe-Online betrifft, ich will die Firma nicht in Schutz nehmen, man muss sich nur mal selbst versuchen in die Lage zu denken, was man selbst tun würde.
"Meine Firma ist gehackt, was zur Hölle mache ich jetzt? Ich habe keine Kontrolle über meine Daten, meine Firma ist hopps, ich muss Leute entlassen, ich muss Meldungen machen ..." ich glaube da hat man keinen Kopf für Kunden.

OK, dass die Firma dann nicht mal Sicherungen hat, selbst wenn die auf Platten sind, Wochen/Monate alt sind, ist das besser als nichts ... aber garnichts???
Wow wow wow ... ich hoffe die Betroffenen finden eine Lösung, damit keine Existenzen drauf gehen, VIEL GLÜCK und ERFOLG!

 

[MichaelH]

"Meine Firma ist gehackt, was zur Hölle mache ich jetzt? Ich habe keine Kontrolle über meine Daten, meine Firma ist hopps, ich muss Leute entlassen, ich muss Meldungen machen ..." ich glaube da hat man keinen Kopf für Kunden.

https://mide-online.de/wie-sicher-ist-cloud-hosting
Siehe Punkt 8.

"Notfallmanagement
Für den seltenen Notfall sieht unser Sicherheitsmanagement einen Notfallplan vor. Die Sicherheit Ihrer Daten ist nie gefährdet."

Wenn man Shopbetreiber mit ggf. wenig Know-How ist, dann sind solche Aussagen verlockend.
Unklar ist natürlich was genau damit gemeint ist und was man als Backup für seine WAWI bzw. Shop doch noch beachten muss.

"nie, immer und alles" sind Worte die hellhörig machen sollten, egal um was es geht.

 

[JohnFrea]

Kommt auch drauf an, wie intensiv da attackiert wurde.

Wenn eine professionelle Hacker-Organisation WIRKLICH einen Laden auseinander nehmen will, dann nutzen auch extern gelagerte Backups wenig.
Wenn die Backups automatisiert ausgelagert werden, z.B. per SQLBackupAndFTP, kann man auch die Zugangsdaten des externen Speichers erbeuten und den ebenfalls attackieren.
Ja, man kann auch automatisert vom externen Backup Space Snapshots machen lassen...aber wer macht das tatsächlich?

Machen wir uns nichts vor.
Wenn Profis wirklich wollen, dann machen sie einen Laden platt. Da hilft auch kein ISO Marketing.

 

[igel-max]

tag leute,

auch uns hat es mit wawi voll erwischt Gott sei dank habe ich Herr Dernbacher von MIDE seit anfangs Februar mit Mails bombardiert, da wir nicht mal Datenbank Sicherung machen könnten (obwohl ich dafür bezahlt habe).
Irgendwann hat es wieder eingestellt und ich hatte mit meinen Bauchgefühl die letzte DB Sicherung am 14.03.2026 gemacht.

Über den Hacking habe ich bereits am Wochenende erfahren und fast alle Firmen angeschrieben die laut JTL Partner sind und könnten unser Datenbank hosten.
Übrigens auch JTL und obwohl ich meine Shop hoste, hat sich bis heute keine von JTL gemeldet.

Herr Dernbacher hat mir lediglich angeboten das er mir helfen kann meine Sicherung von 14.03 auf meine PC aufzuspielen, meine Daten sind definit futsch, man kann die nicht wiederherstellen und er als Firma MIDE wohl die Firma aufgibt.

Meine Anfrage (haben außer wie gesagt JTL) viele Firmen beantwortet, jedoch mit solchen Preisvorstellungen die man jenseits des gute und böse bezeichnen kann.
lediglich die Firma wnm-Systems GmbH Herr Walke hat mich gleich am Montag angerufen, beraten und wir haben am gleichen Tag um ca.. 18 Uhr wieder unsere Wawi bei neuen Hoster inkl. alle Einstellungen.
Danke dafür...

Grüße
Paul

 

[DerJöns]

Kommt auch drauf an, wie intensiv da attackiert wurde.

Wenn eine professionelle Hacker-Organisation WIRKLICH einen Laden auseinander nehmen will, dann nutzen auch extern gelagerte Backups wenig.
Wenn die Backups automatisiert ausgelagert werden, z.B. per SQLBackupAndFTP, kann man auch die Zugangsdaten des externen Speichers erbeuten und den ebenfalls attackieren.
Ja, man kann auch automatisert vom externen Backup Space Snapshots machen lassen...aber wer macht das tatsächlich?

Machen wir uns nichts vor.
Wenn Profis wirklich wollen, dann machen sie einen Laden platt. Da hilft auch kein ISO Marketing.

Hi... da gibt es ein paar Ideen, Anregungen.

Wir hatten mal einen Datensicherungstresor - in der alten Firma -
Sprich dort warn paar Festplatten drin, ne Stromversorung und nen Netzwerkanschluss sowie USB Anschluss.
Alles F90 ausgeführt, so dass die Hütte sogar abfackeln kann. Daten sicher.

Einfach an den Rechner einen USB Hub und dann ein / zwei / drei USB-Timer dran.
Die USB Timer können so programmiert werden, dass der USB Port nur zu bstimmten Zeiten freigeschaltet ist, sonst Stromversorgung unterbrochen, somit Hacker keinen Zugriff drauf..
An die USB Timer ein paar Sicherungsfestplatten dran und diese schön regelmäßig tauschen und auch mal eine Rücksicherung probieren.

Das hilft zwar nicht wirklich jetzt für die CLOUD aber wie schon oben beschrieben nur mal ne Anregung.

Gruss,
DerJöns
(schon mal Opfer einer Ransomware Attacke gewesen)

 

[uwego]

Heute konnte mir der JTL-Support sehr helfen.
Die Artikel und Kundendaten konnten alle wieder hergestellt werden. Auch die Shop Kategorien wurden gerettet.
Nun müssen die Daten noch irgendwie mit der Ameise in die neue Wawi.
Ich kann jedem MIDE Opfer nur raten sich an JTL zu wenden, die können helfen.

 

[RealCasi]

Kommt auch drauf an, wie intensiv da attackiert wurde.

Wenn eine professionelle Hacker-Organisation WIRKLICH einen Laden auseinander nehmen will, dann nutzen auch extern gelagerte Backups wenig.
Wenn die Backups automatisiert ausgelagert werden, z.B. per SQLBackupAndFTP, kann man auch die Zugangsdaten des externen Speichers erbeuten und den ebenfalls attackieren.
Ja, man kann auch automatisert vom externen Backup Space Snapshots machen lassen...aber wer macht das tatsächlich?

Machen wir uns nichts vor.
Wenn Profis wirklich wollen, dann machen sie einen Laden platt. Da hilft auch kein ISO Marketing.

Wir legen es allen Kunden wie folgt nahe und die meisten haben es.

In der Hoffnung, dass viele, die hier mitlesen, jetzt sensibilisiert sind:
Man braucht für lokale Backups einen normalen Windows PC mit - je nach JTL-Datenbankgröße - 200 - 1000 GB freiem Speicherplatz, auch über eine externe Festplatte machbar. Idealerweise einen PC, den man 24/7 durchlaufen lässt.
Darauf wird das anhängende Script laufen gelassen mit täglichem Start über den Windows-Aufgabenplaner.

Das Script ist Powershell und ist mit minimalen Anpassungen in den ersten Zeilen startklar für Ecomdata-Umgebungen.
Es zieht alle neuen Voll- und Differentialsicherungen auf die lokale Festplatte und lässt sie dort für 28 Tage liegen, dann werden sie gelöscht.

Der "Trick": Man lädt periodisch vom Ecomdata-FTP runter, angestoßen wird das von dem lokalen PC. Der FTP-Server weiß überhaupt nicht, wer da wann anruft, deswegen können im Falle eines Hacks auch keine Zugangsdaten in die Hände der Angreifer geraten.

Ich werfe das Script hier mal rein in der Hoffnung, die Welt ein bisschen besser zu machen

Üblicher Disclaimer: Es ist in dieser Form bei vielen Kunden im Einsatz und uns sind keine Probleme bekannt. Wir übernehmen aber keinerlei Verantwortung für den Einsatz in irgendeiner Form, auch nicht für die Lauffähigkeit in einer bestimmten Umgebung. Es bietet eine vernünftige zusätzliche Sicherheitsebene, das Risiko für Datenverluste durch Hacker-Angriffe ist trotzdem nicht Null.

LG Casi