Wer online Schrauben, Werkzeug oder Gartenmöbel bestellt, vertraut dem Händler nicht nur sein Geld, sondern auch seine Identität an. Die europäische Heimwerker-Plattform ManoMano, die monatlich rund 50 Millionen Besucher verzeichnet, muss nun eingestehen, dass dieses Vertrauen massiv erschüttert wurde. Aktuelle Berichte von The Register und BleepingComputer bestätigen Ende Februar 2026 ein katastrophales ManoMano Datenleck, das die persönlichen Informationen von schätzungsweise 38 Millionen Kunden quer durch Europa offenlegt.
Ich habe die forensischen Details dieses Vorfalls analysiert. Das Erschreckende daran: Die hochsicheren Kern-Server von ManoMano selbst wurden überhaupt nicht geknackt. Die Angreifer wählten einen viel subtileren Weg durch die Hintertür. Hier ist meine ungeschönte Aufarbeitung dieses massiven Supply-Chain-Angriffs, was die Täter jetzt über dich wissen und wie du den bevorstehenden Phishing-Tsunami abwehrst.
Der blinde Fleck beim Kundenservice
Moderne E-Commerce-Giganten machen nicht mehr alles selbst. Kundenservice, Chat-Systeme und Ticket-Bearbeitung werden oft an externe Dienstleister (Subunternehmer) ausgelagert. Genau hier, in dieser oft unzureichend überwachten Lieferkette, lag die tödliche Schwachstelle.
Nach aktuellen Informationen drang ein Hacker mit dem Pseudonym „Indra“ bereits im Januar 2026 in die Systeme eines externen Support-Dienstleisters (mutmaßlich über eine Zendesk-Umgebung) ein. Die Täter saugten laut eigenen Angaben in Untergrundforen etwa 43 Gigabyte an Daten ab. Das Problem: Dieser Subunternehmer hatte legitimen und weitreichenden Zugriff auf die Kundendaten von ManoMano, um Support-Anfragen bearbeiten zu können. Wenn du also die Firewall deines eigenen Hauses perfekt sicherst, den Schlüssel aber einem unachtsamen Handwerker gibst, ist dein Tresor trotzdem verloren.
Was die Hacker haben – und was nicht
Wenn eine E-Mail mit dem Betreff „Sicherheitsvorfall“ im Posteingang landet, geraten viele Nutzer in Panik. Lass uns die Fakten strikt und sachlich sortieren.
Die gute Nachricht ist: Deine Passwörter und direkten Zahlungsinformationen (wie Kreditkartennummern) waren von diesem Leak nicht betroffen. ManoMano hat bestätigt, dass diese Daten sicher auf den eigenen Servern liegen und nicht vom kompromittierten Dienstleister verarbeitet wurden.
Die schlechte Nachricht: Die Täter erbeuteten Vor- und Nachnamen, E-Mail-Adressen, Telefonnummern und – das ist der kritischste Punkt – über 900.000 Historien von Kundenservice-Interaktionen inklusive Dateianhängen. Die Hacker wissen nun exakt, wann du dich bei ManoMano über einen defekten Rasenmäher beschwert hast oder welche Rechnungsfragen offen waren.
Schütze dich vor dem Phishing-Tsunami
Was bedeutet das für dich im Alltag? Die Täter werden diese 38 Millionen Datensätze nicht einfach löschen. Sie werden sie nutzen, um hochgradig personalisierte Betrugs-E-Mails (Spear-Phishing) zu versenden.
Du könntest in den nächsten Wochen eine täuschend echte E-Mail erhalten, die dich namentlich anspricht und sich auf deine letzte Bestellung oder Support-Anfrage bei ManoMano bezieht. Darin wirst du aufgefordert, wegen eines „Zahlungsfehlers“ auf einen Link zu klicken oder eine angebliche „Gutschrifts-Bestätigung“ herunterzuladen. Klickst du darauf, infizierst du deinen Rechner mit Malware oder übergibst deine echten Bankdaten freiwillig an Betrüger.
Sicherheits-Tipp der Redaktion: Die Betrüger kennen jetzt deine Kaufhistorie. Ihre kommenden Phishing-Mails werden extrem echt aussehen. Wenn du versehentlich dein Passwort auf einer gefälschten Login-Seite eintippst, rettet dich nur noch eine Hardware-Barriere. Schütze deine wichtigsten Konten (wie E-Mail und PayPal) zwingend mit einem physischen FIDO2-Schlüssel wie dem YubiKey 5C NFC (hier aktuelle Modelle auf Amazon ansehen). Er verweigert bei gefälschten Webseiten automatisch den Dienst und blockiert Hacker komplett.
Anzeige
- Für über 1000 Konten: Er ist mit gängigen Konten wie Google, Microsoft und Apple kompatibel. Ein einzelner YubiKey 5C NFC sichert mehr als 100 Ihrer bevorzugten Konten, einschließlich E-Mail, Passwortmanager und mehr.
- Schnelle und bequeme Anmeldung: Stecken Sie Ihren YubiKey 5C NFC über USB-C ein und tippen Sie darauf, oder halten Sie ihn zur Authentifizierung an Ihr Smartphone (NFC). Weder Batterien noch Internet noch Zusatzgebühren erforderlich.
- Der sicherste Passkey: Unterstützt FIDO2/WebAuthn, FIDO U2F, Yubico OTP, OATH-TOTP/HOTP, Smart Card (PIV) und OpenPGP. Das bedeutet, dass er vielseitig ist und fast überall funktioniert, wo Sie ihn brauchen.
Reagiere ab sofort mit absolutem Misstrauen auf jede Kommunikation, die scheinbar von ManoMano, Paketdienstleistern oder Inkassobüros stammt. Öffne niemals Anhänge aus unerwarteten Mails.
FAQ: Häufige Fragen zum ManoMano Datenleck
In der aktuellen Krisensituation kursieren viele Gerüchte. Hier sind die verifizierten Fakten zu diesem Sicherheitsvorfall.
Was genau ist beim ManoMano Datenleck passiert?
Im Januar 2026 drangen Hacker über eine Schwachstelle in die Systeme eines externen Dienstleisters ein, der den Kundenservice für ManoMano abwickelt. Die Täter konnten dadurch auf eine Datenbank mit rund 38 Millionen Kundenprofilen aus ganz Europa zugreifen und diese illegal kopieren.
Wurden meine Passwörter oder Zahlungsdaten gestohlen?
Nein. ManoMano hat offiziell bestätigt, dass Passwörter und sensible Zahlungsinformationen (wie Kreditkartendaten) nicht von diesem Vorfall betroffen sind, da diese auf den internen, sicheren Servern des Unternehmens gespeichert bleiben.
Welche meiner Daten haben die Hacker jetzt?
Die erbeuteten Daten umfassen Vor- und Nachnamen, E-Mail-Adressen, Telefonnummern sowie teilweise die Historie deiner Interaktionen mit dem Kundenservice (Support-Tickets und Dateianhänge).
Was muss ich als betroffener Kunde jetzt tun?
Du musst extrem wachsam gegenüber E-Mails oder SMS sein, die sich als ManoMano, Paketzusteller oder Inkassobüros ausgeben. Da die Täter deine Bestell- oder Support-Historie kennen, wirken diese Phishing-Mails täuschend echt. Klicke auf keine Links und öffne keine unerwarteten Anhänge.
Weiterbildung für dich und dein Team: Der Angriff auf den ManoMano-Dienstleister zeigt, dass oft der Mensch (der Kundensupport) die größte Schwachstelle ist. Wenn du in deinem Unternehmen oder privat verstehen willst, wie Täter psychologisch vorgehen, empfehle ich dir den internationalen Bestseller „Die Kunst der Täuschung“ von Kevin Mitnick (hier bei Amazon erhältlich). Es ist eine Pflichtlektüre, um Manipulationstaktiken im digitalen Alltag sofort zu entlarven.
Anzeige
Im Endeffekt beweist das ManoMano Datenleck schonungslos, dass die Lieferkette heute die verwundbarste Achillesferse der digitalen Wirtschaft ist. Unternehmen können intern Millionen in Cybersecurity investieren; wenn der externe Support-Dienstleister patzt, sind die Daten der Kunden trotzdem im Darknet. Für dich als Nutzer bedeutet das: Deine E-Mail-Adresse und Telefonnummer sind längst öffentliche Güter. Nur wer seine Accounts konsequent mit Multi-Faktor-Authentifizierung absichert und bei jeder E-Mail reflexartig die Absenderadresse prüft, kann den Betrügern auf Dauer entkommen.
Andere Artikel:
