Connect with us

Datenschutz & Sicherheit

Datenschutzbehörde findet Verstöße bei Berliner Werbefirma


Es kommt nicht alltäglich vor, dass Datenschutzbehörden für Vor-Ort-Kontrollen bei Unternehmen anrücken. Im vergangenen Jahr war es in der Hauptstadt jedoch wieder soweit. Wie im Jahresbericht 2024 der Berliner Datenschutzbehörde steht, führte die Behörde eine Prüfung bei einem Unternehmen durch, „das im Bereich der Onlinewerbung als Datenhändler tätig ist“. Dabei stellte die Behörde weitreichende Datenschutzverstöße bei den „sehr invasiven Verarbeitungen personenbezogener Daten“ fest.

Das Unternehmen biete verschiedene Dienste an, heißt es in dem Bericht ab Seite 94. Ein Teil dieser Dienste beruhe auf Auswertungen, welche Nutzer:innen vermeintlich bestimmte Eigenschaften aufweisen. Die Werbetreibenden und deren Dienstleister könnten betreffenden Nutzer:innen dann gezielt auf diese Zielgruppe zugeschnittene Werbung anzeigen. Ein anderer Teil der Dienste des Unternehmens beruhe darauf, die Aufenthaltsorte von Nutzer:innen auszuwerten und daraus Informationen abzuleiten.

Untersuchung ist Folge unserer Berichterstattung

Um welches Unternehmen es sich dabei handelt, schreibt die Behörde in ihrem Bericht nicht. Die Schilderungen erinnern jedoch stark an ein Berlin Unternehmen, dessen mutmaßliche Datenschutzverstöße netzpolitik.org im Jahr 2023 aufgedeckt hatte: Adsquare.

Die Werbe- und Datenfirma war eines von mehreren deutschen Unternehmen, die als Anbieter umfassender Tracking-Daten in der Angebotsliste des US-Datenhändlers Xandr auftauchten. Werbekund:innen konnten mithilfe von Adsquare offenbar Menschen als Zielgruppe auswählen, die in Kategorien wie „Fragile Senioren“, „Familien in Schwierigkeiten“ und „Glücksspiel“ gesteckt wurden oder mutmaßlich Geldautomaten der Berliner Sparkasse und Luxusgeschäfte besucht hatten. Adsquare betonte damals auf Anfrage, dass es sich dabei teilweise um veraltete Kategorien handelte.

Wir haben aufgrund der Ähnlichkeit der geschilderten Geschäftspraktiken bei der Datenschutzbehörde nachgefragt und die Bestätigung erhalten, dass es sich bei dem im Jahresbericht genannten Unternehmen tatsächlich um Adsquare handelt:

Wir können bestätigen, dass es sich bei der im genannten Jahresberichts-Kapitel genannten Firma um Adsquare handelt und die Untersuchung eine Folge der Berichterstattung von netzpolitik.org ist.

Adsquare selbst antwortete nicht auf eine Presseanfrage von netzpolitik.org.

Erhebliche Mängel bei Einwilligungen

Im Rahmen der Berichterstattung aus dem Jahr 2023 teilte Adsquare gegenüber netzpolitik.org noch mit, sich an datenschutzrechtliche Vorgaben zu halten. Das sieht die Berliner Datenschutzbehörde nach ihrer Kontrolle in den Räumen der Firma offenbar anders.

Schwerpunktmäßig richtet sich die Kritik der Behörde auf Probleme mit der Einwilligung und somit das Fehlen einer gültigen Rechtsgrundlage für die invasive Überwachung von Verbraucher:innen. 2023 teilte Adsquare gegenüber netzpolitik.org mit, dass es in der Verantwortung der Datenlieferanten liege, für die Wirksamkeit der Einwilligungen zu sorgen.

Auch dies sieht die Datenschutzbehörde anders und listet zahlreiche Mängel auf. „Teilweise war bereits aus den Unterlagen des Unternehmens ersichtlich, dass keine oder keine wirksame Einwilligung erteilt worden war, teilweise konnte das Unternehmen wegen struktureller Defizite die Einwilligungen nicht nachweisen.“

Zu den Datenlieferanten gehören dem Bericht zufolge sowohl Unternehmen, die Apps betreiben, als auch andere Datenhändler, die Daten weiterverkaufen. Wie diese eine Einwilligung einholen, habe das Unternehmen zwar geprüft und wegen besonders schwerwiegender Verstöße auch einigen Datenlieferanten gekündigt. „Allerdings arbeitete das Unternehmen weiterhin mit diversen Datenlieferanten zusammen, bei denen es selbst festgestellt hatte, dass datenschutzrechtliche Mängel bestanden.“

Probleme bei der Datenqualität

Weil Adsquare Daten aus sehr vielen unterschiedlichen Quellen zusammenführe, habe man zudem einen interessanten Einblicke in die Qualität der Tracking-Daten erhalten, schreibt die Datenschutzbehörde weiter. Sie habe eine Stichprobe der Datensätze untersucht und dabei festgestellt, dass die „Zuschreibungen von Eigenschaften in erheblichem Umfang widersprüchlich waren.“ Beispielsweise sei derselben Person „praktisch jede Alters- und jede Einkommensklasse zugeschrieben“ worden.

Die durchwachsene Datenqualität ist in der Branche ein bekanntes Thema. Um ihre Datensätze künstlich aufzublasen, vergeben Datenhändler willkürlich IDs und Zuschreibungen. Das NATO-Forschungszentrum Stratcom schreibt dazu in einer Studie [PDF]: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Auch die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk bestätigten Probleme mit der Datenqualität. Gleichzeitig zeigte die Recherche, dass in anderen Fällen äußert akkurate Daten vorliegen, die es ermöglichen, Menschen bis in ihre Intimsphäre hinein auszuspähen.




Behörde empfiehlt gesetzliche Lösung des Einwilligungsproblems

Insgesamt weise der Fall Adsquare weit über die einzelne Firma hinaus, schreibt die Datenschutzbehörde in ihrem Jahresbericht. Er zeige exemplarisch, „welche Schwierigkeiten im Bereich des Trackings (…) bestehen“ – insbesondere im Hinblick auf die Wirksamkeit der Einwilligungen. Denn auch Firmen, die im Dickicht der Datenindustrie versteckt sind und keinen direkten Kontakt zu Betroffenen hätten, müssten wirksame Einwilligungen nachweisen können.

Das sei häufig nicht der Fall, weil „Hunderte Akteur:innen als Datenempfänger:innen aufgeführt werden, die Datenflüsse derart komplex sind, dass diese nicht transparent gemacht werden können und die Zwecke nicht ausreichend und transparent bezeichnet sind.“ Das führe regelmäßig dazu, dass die eingeholten Einwilligungen unwirksam sind.

Adsquare habe sich wie viele Firmen bei den Einwilligungen auf das Transparency & Consent Framework (TCF) der Branchenorganisation IAB Europe verlassen. „Im Rahmen des TCF wird regelmäßig eine Einwilligung für die Verarbeitung von mehreren Hundert Akteur:innen, die in dem Werbenetzwerk von IAB Europe tätig werden, zusammen eingeholt.“ Gerade erst hatte ein beglisches Gericht festgestellt, dass das aktuelle TCF-System in Teilen datenschutzwidrig ist.

Die Datenschutzbehörde verbindet ihren Bericht deshalb auch mit einer politischen Empfehlung: „Angesichts der Schwächen der Einwilligungslösung im Bereich des Onlinewerbetrackings wäre eine (…) klarere gesetzliche Regulierung des Onlinetrackings und -profilings wünschenswert.“

Firma muss mit Bußgeld rechnen

Welche Konsequenzen die festgestellten Datenschutzverstöße für die Firma haben werden, ist derzeit noch unklar. Im Jahresbericht heißt es dazu lediglich, dass ein Bußgeldverfahren „aufgrund der hohen Zahl betroffener Personen“ geprüft werden solle. Der Fall soll dafür an die Sanktionsstelle der Datenschutzbehörde übergeben werden.

Grundsätzlich ermöglicht die Datenschutzgrundverordnung Bußgelder von bis zu 4 Prozent des Jahresumsatzes. Für Adsquare, das laut dem Branchendienst NorthData im Jahr 2023 einen Umsatz von 35 Millionen Euro gemacht hat, könnte es also teuer werden. Denkbar wäre auf dieser Basis ein Bußgeld von bis zu 1,4 Millionen Euro. In den vergangenen Jahren hatten Gerichte jedoch wiederholt Bußgelder von Datenschutzbehörden als zu hoch eingestuft.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Jugendschutz: Brandenburg will Belästigung im Netz im Unterricht thematisieren


Durch eine Thematisierung im Schulunterricht sollen Kinder in Brandenburg künftig besser vor den Gefahren von Cybergrooming und anderen Formen der Online-Kriminalität geschützt werden. Die Koalitionsfraktionen von SPD und Bündnis Sahra Wagenknecht (BSW) fordern mit einem Landtagsantrag, dass Schüler besser auf die Gefahren vorbereitet werden. Die Themen sollten im Schulunterricht verankert werden. Dazu soll es bis Ende 2026 ein Konzert geben, kündigte die Bildungsexpertin der SPD-Landtagsfraktion, Katja Poschmann, im Landtag in Potsdam an. Auch die Lehrkräfte sollen mithilfe von Fortbildungen geschult werden.

Jedes vierte Kind in Deutschland hat laut einer repräsentativen Befragung schon sexuell motivierte Annäherungsversuche Erwachsener im Internet erlebt. „Diese Zahlen müssen uns alarmieren“, sagte Landtagsabgeordnete Poschmann. In Deutschland ist Cybergrooming als eine Form des sexuellen Missbrauchs von Kindern verboten. Experten warnen auch vor Sextortion (sexuelle Erpressung) und „Taschengeld-Dating über sogenannte Sugardaddy-Plattformen“ – Plattformen, über die für Geld oder Geschenke Treffen mit Minderjährigen angebahnt werden.


(kbe)



Source link

Weiterlesen

Datenschutz & Sicherheit

Neuer NPM-Großangriff: Selbst-vermehrende Malware infiziert Dutzende Pakete


Verschiedene IT-Sicherheitsunternehmen warnen vor neuen Angriffen auf das npm-Ökosystem rund um node.js. Mehrere Dutzend Pakete (mindestens 40, in einem Bericht gar an die 150) sind mit einer Malware infiziert, die geheime Daten stiehlt und über einen Webhook ausleitet. Zudem repliziert sich die Schadsoftware selbsttätig – und ist somit ein Wurm.

npm, der Node Package Manager, kommt nicht zur Ruhe. Nachdem erst kürzlich unbekannte Angreifer die Zugangsdaten eines prominenten Entwicklers abgephisht und manipulierte Pakete eingeschleust hatten, hat die Verteilstation für node.js-Bibliotheken nun mit einem ausgewachsenen Wurm zu kämpfen.

Wie StepSecurity und Socket übereinstimmend berichten, befindet sich unter den kompromittierten Paketen auch @ctrl/tinycolor, das etwa zwei Millionen Mal pro Woche heruntergeladen wird. Auch etwa ein Dutzend weitere Pakete des Entwicklers @ctrl sind betroffen, einige der Nativescript-Community und wie Aikido auflistet, sogar solche des Security-Unternehmens Crowdstrike.

Der Schadcode nutzt „TruffleHog“, um interessante Daten zu erschnüffeln, etwa API-Credentials und Zugangsdaten für GitHub sowie die Clouds von Google und Amazon. Er erstellt dann GitHub-Repositories und -Workflows und exfiltriert seine Beute über einen Webhook auf der Domain webhook.site. Und er hat offenbar die Fähigkeit, sich selbst zu replizieren, indem er weitere Pakete infiziert und trojanisierte Paketversionen hochlädt.

Unklar ist noch, wo der Angriff begann – einen klaren „Patient Null“ nennen die drei analysierenden Unternehmen nicht. Auch sind die Urheber der Attacke nicht bekannt, möglicherweise sind es dieselben wie beim letzten Angriff.

Gottgleicher npm-Wurm?

Kurios: Die Angreifer sind offenbar Science-Fiction-Fans. Die Wurmkomponente ihrer Malware legt ein GitHub-Repository namens „Shai-Hulud“ sowie entsprechende Workflows an. „Shai-Hulud“, ursprünglich Arabisch für „Ding der Unsterblichkeit“, ist der Name der monumentalen Sandwürmer in Frank Herberts Epos „Dune“. Die Einwohner des Wüstenplaneten verehren die Sandwürmer als gottgleich.


Screenshot mit den Sandwürmern aus Dune

Screenshot mit den Sandwürmern aus Dune

Die Sandwürmer in „Dune“

(Bild: Warner Bros. Pictures)

JavaScript-Entwickler und insbesondere die Verwalter von auf npm gehosteten Paketen sollten größte Vorsicht walten lassen und die umfangreiche Liste infizierter Pakete konsultieren. Wer in eigenen Projekten infizierte Versionen vorfindet, sollte diese unmittelbar löschen, alle Zugangskennungen ändern, Tokens invalidieren und in eigenen GitHub-Repositories aufräumen. In StepSecuritys Blogeintrag finden sich detaillierte Handreichungen.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Patchstatus unklar: Angreifer attackieren Fertigungsmanagementtool DELMIA Apriso


Durch eine „kritische“ Sicherheitslücke in DELMIA Apriso kann Schadcode schlüpfen und Computer schädigen.

DELMIA Apriso ist eine Manufacturing-Operations-Management-Software (MOM) und ein Manufacturing Execution System (MES), das auch hierzulande unter anderem im Automobilbereich genutzt wird. Darüber werden etwa globale Produktionsabläufe gesteuert. Es ist davon auszugehen, dass eine erfolgreiche Attacke für Firmen weitreichende Folgen haben kann.

Der Anbieter der Software, Dassault Systèmes, erwähnte die Sicherheitslücke (CVE-2025-5086 „kritisch„) bereits im Juni dieses Jahres in einer äußerst knapp formulierten Warnmeldung. Daraus geht hervor, dass entfernte Angreifer Schadcode in diversen Releases aus den Jahren 2020 bis einschließlich 2025 ausführen können. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Angreifer nicht authentifiziert sein müssen, um Attacken einzuleiten

Anfang September warnte nun ein Sicherheitsforscher des SANS-Institut Internet Strom Center in einem Beitrag vor Exploitversuchen. Ihm zufolge versenden Angreifer SOAP-Requests mit Schadcode an verwundbare Instanzen. Was Angreifer konkret nach erfolgreichen Attacken anstellen, ist zurzeit unklar.

Mittlerweile warnt auch die US-Sicherheitsbehörde CISA vor Angriffen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar bleibt auch, ob es einen Sicherheitspatch gibt. Das geht weder aus der offiziellen Warnmeldung, noch aus den Warnungen des Sicherheitsforschers und der CISA hervor. heise security steht in Kontakt mit dem Softwareanbieter und wartet derzeit auf ein Feedback zum Sicherheitspatch. Wir aktualisieren die Meldung, wenn uns konkrete Informationen vorliegen.


(des)



Source link

Weiterlesen

Beliebt