Die Internetriesen Meta und Yandex sind beim Tracken ihrer Nutzer erwischt worden. Das klingt kaum nach einer Neuigkeit, doch der Knackpunkt ist die Art und Weise dieses Trackings: Facebook, Instagram, Yandex Maps und einige andere Yandex-Apps haben Nutzer auch dort verfolgt, wo es weder vertretbar noch technisch möglich erscheint: im Browser außerhalb der App.

Dabei haben Meta und Yandex nicht nur die expliziten Wünsche ihrer Nutzer ignoriert – gängige Anti-Tracking-Maßnahmen wie der Inkognito-Modus, sich auszuloggen oder Cookies zu löschen waren wirkungslos – sondern auch Sicherheitskonzepte von Android absichtlich ausgehebelt. Die Podcast-Hosts sehen sich an, wie skrupellos und trickreich die Firmen dabei vorgingen, gestützt auf die Analyse „Local Mess“. Unter diesem Titel dokumentierten die ursprünglichen Entdecker des Verhaltens ihre Ergebnisse.

Christopher und Sylvester ringen dabei immer wieder um Worte, denn das Vorgehen von Meta und Yandex ist so perfide, nutzerfeindlich und offensichtlich absichtlich, dass die Hosts kaum noch Unterschiede zu typischer Malware sehen. Im Podcast zeichnen die beiden nach, wie das Tracking technisch umgesetzt wurde – auch diese Tricks erinnern an klassische bösartige (und illegale) Software, was sie wenigstens interessant macht.

Außerdem diskutieren die Hosts, wie Meta und Yandex reagierten, als sie auf das Verhalten ihrer Apps angesprochen wurden, was eigentlich Google, die Hüterin der Play-Store- und Android-Richtlinien dazu sagt, und woran es liegen könnte, dass iOS offenbar nicht betroffen war. Zuletzt reden die beiden darüber, wie man sich vor solchen Methoden schützen kann und welche Vorschläge es gibt, dergleichen in Zukunft zu unterbinden. Denn eigentlich sollte niemand die Isolationsschichten zwischen Apps überwinden können, wenn Nutzer das nicht wollen – ganz gleich, ob die Apps von Hackern mit kriminellen Absichten oder von Firmen ohne moralischen Kompass stammen.

Das Chrome-Entwicklerteam hat zwischenzeitlich seine Pläne konkretisiert, lokale Netzwerkzugriffe aus dem Google-Browser heraus an die Erlaubnis des Nutzers zu knüpfen. Bereits mit Chrome 138 können Desktop-Nutzer den „Local Network Access“ testen, Android wird später folgen.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(syt)

„23andme hat dabei versagt, grundlegende Maßnahmen zum Schutz personenbezogener Daten zu setzen“, zeiht John Edwards, Chef der britischen Datenschutzbehörde, das US-Unternehmen für Genanalysen, „Ihre Sicherheitssysteme waren inadäquat, die Warnsignale waren da und die Firma hat langsam reagiert.“ Das Ergebnis ist bekannt: Fast sieben Millionen Datensätze von Kunden 23andmes gelangten 2023 in falsche Hände und im Darknet zum Verkauf. Edwards Behörde verhängt nun eine Strafe von umgerechnet gut 2,7 Millionen Euro über die Genfirma.

Die der Strafe zugrundeliegende Untersuchung war gemeinsame Arbeit der britischen und der kanadischen Bundesdatenschutzbehörde. Letztere darf, sehr zum anhaltenden Ärger ihres Chefs Philippe Dufresne, keine Strafen verhängen, sondern muss sich auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein.

Die Methode des Angreifers war banal: Credential Stuffing. Dabei werden Logins und Passwörter, die bei Einbrüchen in andere Dienste offengelegt worden sind, ausprobiert. Hat der User die gleiche Kombination eingesetzt, und gibt es keine Multifaktor-Authentifizierung, kann sich der Angreifer einloggen. Das ist bei 23andme im Jahr 2023 bei über 18.000 Konten gelungen. Viele 23andme-Kunden haben in ihren Konten die Option aktiviert, ihre Daten mit Verwandten zu teilen. Daher konnte der Angreifer über gut 18.000 Konten die Daten von fast sieben Millionen Menschen abgreifen.

Fünf Monate nichts mitbekommen

Fünf Monate lang, ab Ende April 2023, konnte der Täter ungestört ein Passwort nach dem anderen ausprobieren. Denn, so die kanadische und die britische Behörde, 23andme hatte ineffektive Erkennungssysteme sowie unzulängliches Logging und Monitoring. Zudem sei die Untersuchung von Anomalien inadäquat gewesen, sonst hätte 23andme die Vorgänge Monate früher als erst im Oktober 2023 erkannt.

Hinzu kommt unzureichende Vorbeugung. Die beiden Behörden kritisieren, dass 23andme keine verpflichtende Multifaktor-Authentifizierung (MFA) hatte, dass es nicht überprüft hat, ob Kunden anderswo kompromittierte Passwörter wiederverwenden, dass es keine zusätzliche Überprüfung bei der Anforderung der Gen-Rohdaten gab, und dass die Passwortregeln zu lasch waren: 23andme schrieb mindestens achtstellige Passwörter mit „minimalen Komplexitätsregeln“ vor; eine Richtlinie der britischen Datenschutzbehörde ICO (Information Commissioner’s Office) empfiehlt mindestens zehnstellige Passwörter ohne Zwang der Verwendung von Sonderzeichen und ohne Längenbeschränkung.

Selbst als 23andme die unberechtigten Zugriffe erkannt hatte, reagierte es nicht so, wie sich die Datenschutzbehörden das vorstellen. Es dauerte vier Tage, bis die Firma alle Passwörter zurücksetzte und laufende Sitzungen schloss. Bis zur Einführung verpflichtender MFA und zusätzlicher Absicherung der Rohdaten verging gar ein Monat. Zu allem Überdruss waren die rechtlich vorgeschriebenen Mitteilungen der Firma an die britische und die kanadische Datenschutzbehörde auch noch unvollständig.

Nach Insolvenz kommt Wojcicki wieder ans Ruder

Einige Monate nach dem Vorfall stellte 23andme Insolvenzantrag. Daher ist nicht gesichert, dass die britische Strafe in der festgesetzten Höhe bezahlt wird. Das Unternehmen könnte auch noch Rechtsmittel ergreifen.

23andme wurde 2006 gegründet, ist 2021 an die Börse gegangen, hat aber nie Gewinn geschrieben. Nach einigem Hin und Her im Insolvenzverfahren dürfte Mitgründern Anne Wojcicki über ihre Forschungsfirma TTAM die Konkursmasse 23andmes aus dem Konkursverfahren erwerben. TTAM hat dafür 305 Millionen US-Dollar geboten, mehr als die Pharmafirma Regeneron. Wojcicki war bis 2015 mit Google-Mitgründer Sergey Brin verheiratet und ist die jüngste Schwester der im August an Lungenkrebs verstorbenen Susan Wojcicki, der ersten Marketingleiterin Googles und langjährigen Chefin Youtubes.

(ds)

Die politische Lage in den USA spitzt sich zu. Vergangene Woche hat der autoritär auftretende Präsident Donald Trump Militärtruppen nach Kalifornien entsandt, um Proteste gegen die Einwanderungsbehörde ICE zu ersticken. Erschreckende Bilder wie die Abführung des demokratischen Senators von Kalifornien, Alex Padilla, gingen um die Welt.

Am Wochenende nahm Trump an seinem Geburtstag eine Militärparade in der Hauptstadt Washington ab – höchst ungewöhnlich für die USA, selbst wenn die Armee am gleichen Tag ihren 250. Geburtstag hatte. Zugleich regt sich immer mehr Widerstand in der Bevölkerung, nicht nur in Los Angeles. Landesweit kam es am Samstag zu massiven Protesten unter dem Motto „No King“ – „Kein König“ in mehr als 2.000 Städten.

Sind die USA noch vor der autoritären Komplettübernahme durch Trump und seine Bewegung zu retten? Wir haben den Verfassungsrechtler Anthony Michael Kreis gefragt, was gerade passiert und worauf es jetzt ankommt. Kreis ist Professor an der Georgia State University und begleitet die Umwälzungen kritisch unter anderem auf Bluesky.

Das Interview wurde auf Englisch geführt und lässt sich hier im Original nachlesen.

„Strategisches Chaos“ der Trump-Regierung

netzpolitik.org: Hierzulande beobachten viele Menschen ungläubig, was mit einem der wichtigsten Verbündeten Deutschlands und einem Land geschieht, das sie immer als stabile Demokratie wahrgenommen haben. Wie würden Sie die Ereignisse der vergangenen Monate in Ihrem Land beschreiben?

Anthony Kreis: Das Beste, was ich dazu sagen kann, ist „strategisches Chaos“. Die Trump-Regierung arbeitet mit Hochdruck daran, Institutionen zu zerstören und die Handlungsfähigkeit des Staates zu schwächen, oft unter Missachtung des Rechts. Und sie vertritt Positionen, die die Verfassung zutiefst verletzen. Leider gab es so viele Angriffe auf die Verfassung und die amerikanische Demokratie, dass es schwer ist, den Überblick zu behalten.

netzpolitik.org: Wie wir in den zurückliegenden Wochen gesehen haben, hat Donald Trump Nationalgarde und Marines in Kalifornien eingesetzt, um Proteste niederzuschlagen. Gibt es dafür einen Präzedenzfall, und was sagt das Gesetz über den Einsatz von Streitkräften im Inland?

Anthony Kreis: Der Einsatz von Bundestruppen oder der Nationalgarde ist äußerst selten – insbesondere, weil die lokalen Behörden nicht um Unterstützung gebeten haben. Nach amerikanischem Recht ist es unzulässig, Bundestruppen zur Durchsetzung ziviler Gesetze einzusetzen. Sie können Bundesgebäude und Beamte schützen, aber in der Regel ist dies eine Maßnahme der letzten Instanz. Die Tatsache, dass der Präsident so leichtfertig Truppen auf amerikanischen Straßen einsetzt, lässt mich vermuten, dass es hier um eine Machtdemonstration geht – und nicht um die Durchsetzung des Gesetzes und die Aufrechterhaltung der Ordnung. Angesichts der relativ isolierten Natur des Problems inmitten überwiegend friedlicher Demonstrierender hätte das alles auch von nichtmilitärischem Personal geleistet werden können.

Demokratie am Tiefpunkt

netzpolitik.org: Wenn das Ziel darin bestand, die Zivilgesellschaft von Protest abzuschrecken, scheint es gescheitert zu sein: Am vergangenen Wochenende gab es im ganzen Land massive „No King”-Proteste, selbst angesichts der politisch motivierten Ermordung einer demokratischen Abgeordneten in Minnesota. Wie gesund ist die US-Zivilgesellschaft derzeit, und wie mächtig können Proteste sein, um Veränderungen zu bewirken?

Anthony Kreis: Die amerikanische Demokratie befindet sich derzeit an einem Tiefpunkt. Die Drohungen mit politischer Gewalt, die Missachtung der Rechtsstaatlichkeit und die Versuche, demokratische Institutionen auszuhöhlen, zeigen, wie ernst die Lage ist. Proteste können natürlich dazu beitragen, die Öffentlichkeit zu mobilisieren und die Menschen zu ermutigen, sich am politischen Prozess zu beteiligen. Letztendlich müssen die Menschen jedoch protestieren – und wählen gehen. Es wird ein langfristiges, ernsthaftes Engagement von Millionen von Amerikanern erfordern, um dieses jüngste Kapitel des demokratischen Rückschritts in den USA zu beenden.

netzpolitik.org: Wahlen funktionieren nur, wenn sie Konsequenzen haben. Aber es scheint, dass der Kongress keinen nennenswerten Druck auf Trump ausübt. Ist das ein Problem, das durch das US-Verfassungssystem verursacht wird? Oder ist ein politisches Problem?

Anthony Kreis: Wir sprechen oft davon, dass die drei Gewalten sich gegenseitig kontrollieren und ausgleichen. Historisch gesehen geht es jedoch eher um die Trennung der Parteien als um die Trennung der Gewalten. Solange die Republikaner den Kongress und den Verfassungsgerichtshof kontrollieren, wird es weniger institutionellen Widerstand seitens der Legislative und der Judikative geben. Damit dies geschieht, müsste sich die Lage grundlegend ändern und Trump an Popularität unter den Republikanern verlieren. Ansonsten hängt für die Demokraten viel von den Wahlen im Jahr 2026 ab. Das ist dann ihre einzige echte Chance, den Abwärtstrend zu stoppen.

USA in der Verfassungskrise

netzpolitik.org: Haben die Demokraten bereits alle Hebel in Bewegung gesetzt oder haben sie noch Optionen?

Anthony Kreis: Sie haben kaum andere Möglichkeiten, als die Öffentlichkeit zu sensibilisieren und die öffentliche Meinung zu beeinflussen. Bislang haben sie das nicht besonders gut gemacht.

netzpolitik.org: Bis zu den Wahlen 2026 wird also der Supreme Court in den meisten dieser Fragen das letzte Wort haben. Bislang waren seine Entscheidungen für die Trump-Regierung eher durchwachsen. Aber Trump versucht weiterhin, offensichtlich illegale Anordnungen durchzusetzen, sei es der Einsatz des Militärs im Inland oder die Abschaffung des verfassungsmäßig garantierten Geburtsortsprinzips. Wir haben bereits gesehen, dass Trump Entscheidungen des Verfassungsgerichtshofs ignoriert hat. Befinden sich die USA bereits in einer Verfassungskrise?

Anthony Kreis: Jeder wird „Verfassungskrise” anders definieren. Für mich ist es ein Moment, in dem die Rechtsstaatlichkeit bedroht ist und die Machthaber versuchen, Regeln und Institutionen außerhalb eines legitimen Prozesses zu ändern – mit anderen Worten: willkürliche und instabile Regierungsführung („Governance“). Das ist seit Januar der Zustand in Amerika. Ich würde sagen, wir befinden uns in einer Verfassungskrise.