Ich gestehe, ich habe einen Facebook-Account. Und um es noch peinlicher zu machen: Dieser Facebook-Account ist mit meiner Handynummer verknüpft. Ich wollte Facebook nie meine Nummer geben. Ich nutze es auch schon ewig nicht mehr. Aber eines Tages wollte ich doch mal wieder rein, um eine Person zu kontaktieren, zu der ich keinen anderen Kontakt hatte.

Facebook stellte mich vor die Wahl: Personalausweiskopie oder Handynummer. Es gab keine andere Möglichkeit, um Zugang zu erhalten. Dann eben die Handynummer, dachte ich. Das hat sich gerächt.

2021 sind Daten von rund 530 Millionen Facebook-Mitgliedern außerhalb Facebooks aufgetaucht. Sie wurden wohl durch eine Sicherheitslücke gestohlen, die bis Sommer 2019 offen stand. Damals waren Daten wie Name, Handynummer, E-Mail-Adresse, Wohnort, Beziehungsstatus, Geschlecht und Geburtsdatum ungeschützt abrufbar. Von mir findet man beispielsweise Name, Geschlecht und Handynummer im Netz.

Ominöse Jobangebote und eine Vielzahl von Hallos

Jetzt bekomme ich regelmäßig ominöse Jobangebote auf mein Telefon oder Anfragen von Menschen, die mich angeblich als Guide buchen wollen für ihre Deutschlandtour oder auch einfach nur „Hallo“ schreiben. Viele dieser Anfragen kommen von Accounts, deren Profilfotos junge Frauen zeigen.

Die Unterhaltungen lassen sich mit einem Tippen löschen und die Accounts blockieren und melden. Schwieriger wird es, wenn die Menschen, die versuchen, mich zu scammen, mich anrufen. Denn dann muss ich rangehen oder zurückrufen. Es könnte ja eine Quelle sein, die eine neue Geschichte für mich hat.

Ich arbeite seit bald 30 Jahren mit dieser Telefonnummer. Ich kann sie nicht einfach wechseln, weil ich nicht von allen Menschen, die mich möglicherweise als Journalisten kontaktieren wollen, einen Kontakt habe. Also hebe ich gelegentlich auch für Scammer ab.

So schließt man sich der Sammelklage an

Ich finde, Mark Zuckerbergs Konzern Meta, dem Facebook ja gehört, schuldet mir dafür eine Entschädigung. Deshalb habe ich geklagt. Es gibt mehrere Kanzleien, die Menschen vertreten, deren Datenschutzrechte durch den Facebook-Leak verletzt wurden, WBS.LEGAL zum Beispiel. Ich habe Dr. Stoll & Sauer gewählt, die Kanzlei klagt auch für den Verbraucherzentrale Bundesverband (vzbv) gegen Meta.

Dieser Musterfeststellungsklage haben sich bereits etwa 11.000 Menschen angeschlossen. Die Teilnahme kostet nichts und gibt die Hoffnung, ebenfalls Geld von Meta zu erhalten. Ob du berechtigt bist, teilzunehmen, zeigt der „Klage-Check“ des vzbv. Ob deine Telefonnummer dank Facebook im Internet kursiert, erfährst du im „Datenleak-Check“ von Dr. Stoll & Sauer.

Die mündliche Verhandlung ist am 10. Oktober. Bis drei Wochen danach kann mensch sich der Sammelklage noch anschließen. Sechs Millionen Menschen aus Deutschland steht womöglich ein Schmerzensgeld zu, denn so viele deutsche Telefonnummern finden sich in dem Leak. Betroffen sind potenziell alle, die 2019 und früher ein Facebook-Konto hatten.

Anspruch auf mindestens 100 Euro

Laut Bundesgerichtshof rechtfertigt allein der Kontrollverlust über die persönlichen Daten einen Schadensersatz von 100 Euro, unabhängig von tatsächlichen Schäden. Henning Fischer, der die Sammelklage für den vzbv betreut, hofft, „dass derartige Verfahren Meta motivieren, den Datenschutz ernster zu nehmen“.

Ich habe als Einzelperson gegen Facebook geklagt. Obwohl die Fälle seit Anfang 2025 eigentlich als verjährt gelten, gebe es weiterhin rechtliche Möglichkeiten, auch als Einzelne*r den Kampf aufzunehmen, sagt Christian Grotz, Geschäftsführer von Dr. Stoll & Sauer. Das lohne sich, wenn man besondere Nachteile durch das Datenleck gehabt habe und bereit sei, persönlich vor Gericht aufzutreten.

„Es wurde insbesondere ihr persönliches Erscheinen angeordnet“, steht im Schreiben des Landgericht Berlin II. Sollte ich nicht auftauchen, könne gegen mich ein Ordnungsgeld von 1.000 Euro festgesetzt werden. Eine Stunde bevor es losgehen soll, ruft mich mein Anwalt an. Er sagt, es reiche völlig, wenn ich mich per Videotelefonat einwähle. Vermutlich käme ich sowieso nicht zu Wort.

Wie Meta versucht, sich herauszuwinden

Also wähle ich mich ein. Der zuständige Richter sitzt in einem schmalen schlauchförmigen Raum, der extrem hallt. Die beiden zugeschalteten Anwälte sind ebenfalls kaum zu verstehen. Was ich mitbekomme: Der Meta-Vertreter versucht, den Fall für verjährt zu erklären. Die Klage sei im März 2025 zugestellt worden, ich hätte aber seit 2021 Kenntnis von dem Datenleck gehabt. Außerdem könne meine Nummer gleichzeitig auch anderswo frei im Netz erhältlich gewesen sein.

Der Meta-Vertreter bestreitet zudem die zeitliche Anwendbarkeit der Datenschutzgrundverordnung. Es sei möglich, dass der Datenverlust vor deren Inkrafttreten im Jahr 2018 stattgefunden habe. Und es sei nicht ersichtlich, ob die Screenshots, die ich von Spamanrufen in meiner Anrufliste machte, überhaupt Spamanrufe zeigten, und ob diese wirklich bei meiner Nummer eingegangen seien. All das sieht der Richter nicht ein. Wohl aber, dass der Datenverlust aufgrund meines Berufs besonders schwer wiegt. 250 Euro muss Meta mir zahlen, beschließt er, ohne mich anzuhören.

Gekostet hat meine anwaltliche Vertretung bislang 517,65 Euro brutto, so Grotz. Finanziell gelohnt hat sich der Kampf nicht. Aber mir geht es auch mehr darum, Meta mit dem Geschäftsgebaren nicht ungeschoren davonkommen zu lassen. Außerdem zahlt meine Rechtsschutzversicherung die Kosten. Und gerade prüft sie, ob sie bereit ist, mich auch in einer Berufung zu unterstützen. Grotz meint, ich könne noch mehr Geld von Meta erstreiten. Es ist aber auch möglich, dass Meta selbst in Berufung geht, weil der Konzern weiterhin gar nichts zahlen will.

vzbv will 600 Euro pro Person erklagen

Dr. Stoll & Sauer vertritt Fälle wie meinen mit Hilfe von Legal Tech: Eingabemasken, Textbaukästen, standardisierte Akten, KI-Texterkennung, automatisierte Fallbearbeitung. Gegen Facebook klagte Dr. Stoll & Sauer im Namen von 500 Menschen, es fielen 326 Urteile in erster Instanz und 33 in zweiter. Ergebnis: Zwischen null und 3.000 Euro für die Betroffenen.

In der parallelen Sammelklage, an der Verbraucher*innen sich kostenlos beteiligen können, hält der vzbv eine Entschädigung von mindestens 600 Euro für angemessen, wenn beispielsweise neben Facebook-ID, Name und Telefonnummer auch Wohnort, E-Mail-Adresse, Geburtsdatum sowie Beziehungsstatus öffentlich geworden sind. „Mit der Musterfeststellungsklage kann man seinen eigenen Anspruch sichern und sich zurücklehnen“, sagt Grotz. Er findet: „Man muss einen Großkonzern nicht mit so was durchkommen lassen. Wenn die Verbraucher*innen in ausreichend großer Masse aufstehen, ändert sich da was.“

Die Trump-Regierung hat am Mittwoch einen nationalen Aktionsplan zur Entwicklung von Künstlicher Intelligenz (KI) vorgestellt. Der 28-seitige Plan soll die Vormachtstellung der USA gegenüber China im KI-Bereich sichern.

Um dieses Ziel zu erreichen, will die Regierung „bürokratische Hürden“ beseitigen, etwa Umweltauflagen beim Bau neuer Datenzentren in den USA. Die USA sollen zudem mehr KI-Produkte an Verbündete exportieren. Damit kommt die Regierung den Wünschen von KI-Unternehmen wie Open AI entgegen.

Bemerkenswert ist jedoch die einzige Ausnahme von diesem Bürokratieabbau. Der Plan empfiehlt, dass große Sprachmodelle, die von der US-Regierung beschafft werden, „objektiv und frei von ideologischen Vorurteilen“ sein sollten. Gemeint sind Modelle wie etwa OpenAIs ChatGPT oder Grok von Elon Musks Unternehmen xAI.

Per Verfügung gegen „Woke-KI“

In einer Verfügung zur „Verhinderung von Woke-KI“, die US-Präsident Donald Trump gestern unterzeichnete, wird diese Vorgabe fixiert. Die Verfügung verbietet US-Bundesbehörden, Verträge mit Tech-Unternehmen abzuschließen, die ihre KI-Modelle nicht nach den Grundsätzen von „Wahrheitstreue“ und „ideologischer Neutralität“ entwickeln. Die Regierung dürfe nicht in Modelle investieren, „die Wahrhaftigkeit und Genauigkeit zugunsten ideologischer Ziele opfern“, heißt es weiter. Die Regeln greifen in 120 Tagen, also zu Ende Oktober.

Konkret benennt die Verfügung dabei Konzepte wie „Critical Race Theory, Transgenderismus, Intersektionalität und systematischen Rassismus“, die zu einer Verzerrung der Ergebnisse in den Modellen führen würden. Critical Race Theory und Intersektionalität sind Ansätze aus der akademischen Forschung zu Diskriminierung und Rassismus. Von „Transgenderismus“ oder „Gender-Ideologie“ sprechen transfeindliche rechte Kreise, um zu suggerieren, es handele sich bei der Identität von trans* Personen um eine Weltanschauung.

Auf einem KI-Gipfel am Mittwoch sagte Trump dazu: „Das amerikanische Volk will keinen woken marxistischen Wahnsinn in KI-Modellen.“

Was ist „ideologisch neutral“?

Es ist unklar, wie Unternehmen die Vorgaben umsetzen sollen oder werden. Die Definitionen der Vorgaben von „Wahrheitstreue“ und „ideologischer Neutralität“ in der neuen Verordnung sind so vage gehalten, dass die Regierung sie in Zukunft einsetzen könnte, um Druck auf Unternehmen auszuüben.

Anthropic, OpenAI, Google und xAI haben alle in der vergangenen Woche neue Verträge über jeweils bis zu 200 Millionen Dollar mit dem US-Verteidigungsministerium abgeschlossen, um autonome KI-Agenten zu entwickeln.

Fachleute befürchten, dass die Verfügung dafür sorgen könnte, dass Unternehmen in Zukunft ihre Trainingsdaten von Ansichten bereinigen, die nicht in das Weltbild der Trump-Regierung passen. Die KI-Expertin Rumman Chowdhury benennt im Gespräch mit TechCrunch das Problem: Der Begriff „woke“ sei zu einem Container für alle möglichen Dinge geworden, die der Regierung nicht passten.

„Anti-woke“ und außer Kontrolle

Chowdhury verweist auch auf Aussagen von Elon Musk, der bei der Ankündigung der neuen Version seines Sprachmodells Grok schrieb, er werde „das gesamte Wissen der Menschheit neu schreiben, fehlende Informationen hinzufügen und Fehler löschen“. xAIs Sprachmodell Grok gilt als mögliche Blaupause dafür, welche Folgen es haben kann, wenn die Sicherheitsmaßnahmen, die andere Unternehmen in ihre Modelle eingezogen haben, um gewalttätige und diskriminierende Ergebnisse zu verhindern, bewusst aufgehoben werden.

Elon Musk hatte Grok bewusst als „anti-woke KI“ konzipiert. Das Modell wird immer wieder ausfällig und verbreitet rechte Verschwörungsmythen wie etwa den vermeintlichen Genozid an weißen Südafrikanern. Zuletzt hatte Grok Anfang Juli antisemitische Beschimpfungen und Vergewaltigungsfantasien ausgespuckt, nachdem Entwickler*innen das Modell angewiesen hatten, sich „nicht zu scheuen, politisch unkorrekte Behauptungen aufzustellen“.

Die neuen KI-Pläne der US-Regierung sind Teil eines Kulturkrieges gegen Werte und Vorstellungen, die Trumps rechte MAGA-Anhängerschaft als links und woke verunglimpft. Bereits in der Vergangenheit hatte die Regierung gegen Tech-Unternehmen gewettert, deren Inhalte-Moderation ihrer Meinung nach linke Ideen und Inhalte favorisierte und zu hart gegen rechtskonservative Positionen und Desinformation vorging. Dies wertet die Regierung als Eingriff in die Meinungsfreiheit. Mehrere Tech-Konzerne hatten nach Trumps Wiederwahl ihre Inhaltemoderation entsprechend zurückgefahren, darunter Meta. Trumps aktuelle Verfügung wird im Aktionsplan als Maßnahme für die Sicherung der Meinungsfreiheit in der „Ära von KI“ bezeichnet.

Gelingt Strafverfolgungsbehörden ein größerer Schlag gegen Akteure und Infrastrukturen des Cybercrime, so ist der Rückgang der verbrecherischen Aktivitäten selten von Dauer: Nach ein paar internen Umbauten setzen sie ihre Angriffe häufig fort, als sei (fast) nichts geschehen.

So auch im Falle zweier Gruppen, die erst kürzlich zum Ziel internationaler Operationen wurden: Sicherheitsforscher haben neue Aktivitäten des berüchtigten Infostealers Lumma beobachtet, und auch die politisch motivierte russische dDoS-Gruppe (distributed Denial-of-Service) NoName057(16) attackierte schon nach wenigen Tagen Funkstille wieder munter deutsche Websites.

Parallel dazu wächst offenbar eine neue Bedrohung heran: US-Behörden haben eine gemeinsame Warnmeldung zu einer Ransomware namens Interlock veröffentlicht. Die ist zwar schon länger aktiv, soll nun jedoch ihre Aktivitäten ausgeweitet haben.

Lumma: wieder voll im Geschäft

Erst Ende Mai dieses Jahres war einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ein empfindlicher Schlag gegen Lumma gelungen. Nachdem Microsoft allein zwischen Mitte März und Mitte Mai rund 400.000 infizierte Windows-Rechner registriert hatte, schlug das Unternehmen zu: Es leitete die Kommunikation zwischen dem Schadprogramm und den Command-and-Control-Servern (C2) der Angreifer zu eigenen Servern um (Sinkholing) und unterband so die kriminellen Aktivitäten. Außerdem wurden nach Angaben Microsofts im Austausch mit Europol ermittelte Angreifer-Domains identifiziert und beschlagnahmt.

Zur „Zerschlagung“ des Lumma-Stealers, der auf infizierten Rechnern unter anderem Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumente im PDF- oder Word-Format abgreift, reichte das aber nicht. Sicherheitsforscher von Trend Micro haben beim gezielten Monitoring von Lumma-Aktivitäten festgestellt, dass der Informationsdiebstahl mittlerweile wieder in vollem Gange ist.

Gegenüber heise security bestätigte ein Experte von Trend Micro, dass es sich bei dem beobachteten Infostealer wahrscheinlich um Lumma handele: „We are sure that this resurgence is Lumma because we have our own automated process of sourcing (through internal rules) and validation of Lumma Stealer samples and Command and Control URLs“.

Statistiken aus Trend Micros Blogeintrag zur Lumma-Rückkehr bilden einen nahezu kompletten Stopp der Malware-Aktivitäten nach Microsofts am 21. Mai 2025 publik gemachten Sinkholing-Aktion ab. Doch bereits ab Anfang Juni kehrten die Gangster allmählich zum „business as usual“ zurück und erreichten im Laufe des Juli wieder ihr vorheriges Aktivitätsniveau.

Auffällig seien damit einhergehende Umbauten der C2-Struktur: Während Lumma zuvor stark auf das Hosting bei Cloudflare gesetzt habe, hätten die Kriminellen ihre Infrastruktur nun stärker diversifiziert. Zur neuen Mischung alternativer Provider zählten verstärkt auch legitime Data Center und Cloud-Infrastruktur-Anbieter mit Sitz in Russland.

NoName057(16): Vergeltungsaufrufe via Telegram

Noch schneller als die Lumma-Gang ließen die Drahtzieher hinter „NoName057(16)“ wieder von sich hören – nämlich schon wenige Tage nach der „Operation Eastwood“ internationaler Strafverfolger vergangene Woche. Laut Bundeskriminalamt (BKA) wurde bei besagter Aktion das Botnetz der Gruppierung abgeschaltet. Außerdem wurden drei Objekte durchsucht und sechs internationale Haftbefehle erlassen; die Fahndung läuft.

Grund für die seit November 2023 laufenden und in die Operation mündenden Ermittlungen waren zahlreiche dDos-Angriffswellen, in deren Zuge deutsche Firmen- und Behörden-Websites lahmgelegt wurden. Aber auch andere Länder wie etwa die Schweiz waren Ziel der Attacken, mit denen die Gruppe eine prorussische politische Botschaft aussenden wollte.

In ihrem Propagandakanal beim Messengerdienst Telegram zeigten sich die Russen unbeeindruckt von den Strafverfolgungsmaßnahmen. Sie bezeichneten die „Operation Eastwood“ als wertlos und riefen ihre Unterstützer zu Vergeltung auf. Nach eigener Aussage setzten sie am gestrigen Mittwoch die Website des Bundesministeriums für Digitalisierung und Staatsmodernisierung, verschiedene Polizeibehörden und die Internetpräsenz des Bundespräsidenten außer Gefecht.

Die Attacken dürften außerhalb der Telegram-Echokammer der Hacktivisten aber großteils unbemerkt geblieben sein – alle genannten Webseiten waren nach kurzer Zeit wieder problemlos abrufbar. Weitere Angriffe auf Websites deutscher Städte und Behörden wurden bereits vollmundig bei Telegram angekündigt.

Interlock: Der nächste Big (Ransomware) Player?

Zu den bereits vorhandenen Bedrohungen hat sich eine weitere gesellt, die IT-Verteidiger im Blick behalten sollten: Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat gemeinsam mit dem FBI und weiteren Beteiligten einen Sicherheitshinweis zur Ransomware Interlock veröffentlicht. Die ist bereits seit September 2024 aktiv und soll laut CISA auf Unternehmen und Organisationen, aber auch auf Kritische Infrastrukturen abzielen – und zwar sowohl in Nordamerika als auch in Europa.

Interlocks Strategie der doppelten Erpressung (Double Extortion) mit Verschlüsselung, aber auch Exfiltrierung sensibler Daten ist mittlerweile Standard in der Ransomware-Szene. Bemerkenswert ist, dass laut CISA sowohl Interlock-Versionen für Windows- als auch für Linux-Systeme existieren. Dort zielen sie jeweils primär auf die Verschlüsselung installierter virtueller Maschinen (VMs) ab.

Ein beliebtes Einfallstor sind laut CISA unter anderem kompromittierte legitime Websites, auf denen ein Drive-by-Download lauert – laut Sicherheitshinweis eine eher ungewöhnliche Infektionsmethode für Ransomware. Die Bande hinter Interlock setzt zudem (wie auch Lumma) auf Social Engineering in Gestalt gefälschter Captchas mit Nutzerinteraktion („ClickFix“). Weitere Informationen sowie Kompromittierungsindikatoren (Indicators of Compromise, IoC) sind dem Sicherheitshinweis zu entnehmen.

Übrigens haben die CISA-Analysten beobachtet, dass im Zuge von Interlock-Infektionen hin und wieder auch Lumma auf die Systeme geschleust wurde. Eine ungute Allianz, die sich nun fortsetzen könnte. Bis zur nächsten Cybercrime-Zerschlagung – und der sich (mit hoher Wahrscheinlichkeit) anschließenden „Wiederauferstehung“.

(ovw)