Nach einem IT-Angriff auf Jaguar Land Rover stehen in Großbritannien Produktion und Vertrieb still. Am Dienstag wurden zahlreiche Mitarbeiter nach Hause geschickt, weil sie ohne die heruntergefahrenen IT-Systeme nicht arbeiten können. Auf einer Messaging-App sind nun öffentliche Bekenntnisse zu der Tat aufgetaucht.

Eine Bande namens Scattered Lapsus$ Hunters prahlt mit der Straftat und hat als Beweis des erfolgreichen Eindringens in die Computer Jaguar Land Rovers (JLR) Screenshots gepostet. Das berichtet die BBC (British Broadcasting Corporation). Die Postings sind auf Englisch verfasst. Außerdem hat sich eine Person, die sich als Sprecher der Bande geriert, in nicht öffentlich ausgetauschten Textnachrichten auf Englisch verständigt.

Daraus gehe hervor, dass JLR erpresst werden soll. Der Autohersteller hat bislang keine Details zur Vorgehensweise, zur Art der kopierten Daten oder zu etwaigen Geldforderungen gemacht. Nur soviel: Es gäbe zum jetzigen Zeitpunkt keine Hinweise darauf, dass Kundendaten heruntergeladen wurden.

Junge Briten

Ein weiteres Indiz, das, neben der Sprachwahl, auf inländische Täter deutet, ist der Name, den sich die Gruppe gegeben hat. Er soll offenbar darauf hinweisen, dass es sich um versprengte Mitglieder dreier krimineller Gruppen handelt, die sich vor allem aus jungen Briten zusammensetzen. Dazu gehört Scattered Spider, die im April und May die Einzelhändler M&S (Marks & Spencer), Co-op und Harrods angegriffen hat. Im Juli wurden in England eine 20 Jahre alte Frau, zwei 19-jährige Männer und ein siebzehnjähriger Bursche verhaftet.

Lapsus$ ist seit Jahren amtsbekannt, hat sie doch prominente Einrichtungen angegriffen: Zu den bekannten Opfern zählen Rockstar Games, das brasilianische Gesundheitsministerium, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft, Uber und die British Telecom. Ende 2023 wurde ein minderjähriger Brite schuldig befunden, ein gerade großjährig gewordener Landsmann in die forensische Psychiatrie gesteckt. Seine Begier, weitere IT-Straftaten zu begehen, ist so groß, dass er als Gefahr für die Öffentlichkeit eingestuft werden musste. Der Dritte im Bunde, Shinyhunters ist vor allem für den Einbruch bei Ticketmaster und den einstigen Mitbetrieb des Breachforums bekannt.

Die Täter sind eher keine ausgefeilten Zeroday-Experten, sondern haben sich bislang vorwiegend Methoden aus dem Werkzeugkasten des Social Engineering bedient, um sich in Unternehmensnetze einzuschleichen. Dann leiten die Kriminellen Daten aus, erpressen ihre Opfer, und protzen damit online. Zusammengefunden haben sich die Täter laut BBC über das soziale Untergrundnetzwerk The Com (The Community), vor dem Strafverfolger wie die britische National Crime Agency und das FBI öffentlich warnen.

(ds)

Die EU-Kommission arbeitet an einem Gesetz, das Internet-Unternehmen und Diensteanbietern vorschreiben soll, Metadaten aller Kunden ohne Anlass zu speichern. Es geht darum, Verkehrsdaten für einen noch nicht näher bestimmten Zeitraum zu speichern und an staatliche Behörden herauszugeben. Man mag das Wort fast nicht mehr hören: Es geht wieder um die Vorratsdatenspeicherung.

Die Diskussionen um die Idee begannen in Europa schon kurz nach dem 11. September 2001. In Deutschland war das Thema erstmal abgeräumt, als das Bundesverfassungsgericht die damalige deutsche Regelung zur Vorratsdatenspeicherung für verfassungswidrig und nichtig erklärte. Mehr als zwanzig Jahre später steht der Zombie wieder auf, in Europa und auch in Deutschland.

Der Europäische Gerichtshof hatte immer wieder darüber geurteilt und noch letztes Jahr im Grundsatz seine Position beibehalten: Eine allgemeine anlasslose Vorratsdatenspeicherung ist europarechtswidrig.

Doch die Kommission probiert es erneut. Im Juni kündigte sie an, eine Folgenabschätzung für eine neue Vorratsdatenspeicherung durchzuführen. Denn weil die verdachtsunabhängige Massenüberwachung ein schwerer Eingriff in die Privatsphäre aller Menschen in Europa wäre, müssen die Folgen erwogen werden.

Öffentliche Konsultation

Daher läuft nun eine Befragung zur „Öffentlichen Konsultation zu einer EU-Initiative zur Vorratsdatenspeicherung durch Diensteanbieter für Strafverfahren“. Die Kommission will in dem Fragebogen wissen, was die Bevölkerung von dem Neuanlauf hält. Sie fragt darin auch nach alternativen Maßnahmen und warum sie vorzuziehen wären.

Dankenswerterweise hat EDRi eine ausführliche Hilfestellung veröffentlicht, die das Ausfüllen erleichtert. Die Digitale Gesellschaft hat sie auf Deutsch angepasst.

Man kann entweder die dortigen Empfehlungen in der Befragung schnell durchklicken oder aber in Ruhe die Argumente wägen und die Begründungen für die Empfehlungen lesen und sich selbst eine Meinung bilden. Einzige Voraussetzung zur Teilnahme ist eine funktionierende E-Mailadresse.

Die EU-Kommission begründet ihren Vorstoß zur Vorratsdatenspeicherung mit der Behauptung, dass schwere Straftaten wie Mord oder Terror mit der anlasslosen Speicherpflicht besser aufgeklärt werden könnten. Unterschiede in den gesetzlichen Regelungen der Mitgliedstaaten erschwerten eine Aufklärung von Straftaten. Generell sollen Strafverfolgungsbehörden in Europa im Rahmen der Strategie für die innere Sicherheit („ProtectEU“) mehr Zugang zu Daten erhalten.

Bisher haben die Deutschen im Vergleich mit den anderen Europäern den Spitzenplatz bei den bisher über 2.300 Konsultationsteilnehmern. Die Befragung läuft noch bis 12. September. Die Rückmeldungen sollen in den Gesetzgebungsprozess und konkret in ein Arbeitspapier einfließen, welches für das erste Quartal 2026 vorgesehen ist.

Google ist mit einem blauen Auge davongekommen: Obwohl US-Gerichte den Werbekonzern in Kartellrechtsverfahren wiederholt als Monopolisten eingestuft haben, bleiben spürbare Konsequenzen weiter aus. Zum ersten dieser Verfahren entschied gestern ein Bundesgericht in Washington D.C., dass Google lediglich bestimmte Daten aus seinem Suchgeschäft mit „qualifizierten Wettbewerbern“ teilen muss. Auch exklusive Knebelverträge mit beispielsweise Smartphone-Herstellern sollen künftig tabu sein.

Gefordert hatte das klagende US-Justizministerium weitaus mehr. Der marktbeherrschende Anbieter müsse etwa den populären Chrome-Browser verkaufen, verlangten die Wettbewerbshüter. Auch eine Abspaltung des mobilen Betriebssystems Android stand zur Debatte.

Den Forderungen schloss sich der Richter Amit Mehta nicht an. Es sei nicht offenkundig, dass „radikale strukturelle“ Eingriffe wie eine Zerschlagung des Konzerns notwendig seien, um einen funktionierenden Wettbewerb auf dem Markt für Online-Suche herzustellen, heißt es im Urteil.

KI-Chatbots mischen Karten neu

Letztlich waren es Chatbots beziehungsweise sogenannte Generative Künstliche Intelligenz, die Google vorerst vor dem Schlimmsten bewahrt haben. Ihr rasantes Wachstum, seit ChatGPT des Anbieters OpenAI Ende des Jahres 2022 auf den Markt kam, hätte den „Lauf des Verfahrens verändert“, so der Richter. Ihm zufolge sei nicht gesichert, dass Google seine Dominanz in der allgemeinen Online-Suche auf generative KI-Anwendungen übertragen könne.

Tatsächlich sind seitdem viele Menschen von traditionellen Suchmaschinen auf solche Bots umgestiegen, mit denen sie etwa Konversationen führen können, um an die gewünschte Information zu kommen. Google selbst blendet inzwischen mit Hilfe von KI erstellte Zusammenfassungen prominent in seinen Suchergebnissen ein und rollt ebenfalls Chatbots aus.

Langfristig könnte dies den Markt für Online-Suche dramatisch umkrempeln, selbst wenn der Richter eingeräumt hat, kein KI-Experte zu sein und er notwendigerweise „in die Glaskugel“ schauen müsse. Überhaupt sei laut dem Urteil nicht klar, ob etwa ein Verkauf des weit verbreiteten Chrome-Browsers die Vorherrschaft Googles eindämmen würde – auch wenn die „Chrome-Standardeinstellung zweifellos zur Dominanz von Google bei der allgemeinen Online-Suche beiträgt“, wie der Richter ausführt.

Digitalkonzerne unter der Lupe

Eingereicht wurde die Klage bereits im Jahr 2020. Sie spiegelte die zunehmende Meinung wider, dass Digitalkonzerne wie Alphabet, zu dem Google gehört, aber auch Meta, Amazon oder Apple, nicht nur zu groß geworden seien, sondern ihre Dominanz mitunter mit illegalen Methoden erlangt und abgesichert hätten.

Gegen die Unternehmen läuft derzeit eine ganze Reihe ähnlich gelagerter Kartellverfahren. Zuletzt hatte im Frühjahr ein weiteres Bundesgericht entschieden, dass Google ein illegales Monopol bei bestimmten Online-Werbetechnologien errichtet hat. Daraus folgende Konsequenzen sollen im Laufe des Herbstes verkündet werden.

Im aktuellen Fall halten sich die Folgen für Google in Grenzen. Die Auflage, bestimmte Suchdaten an die Konkurrenz weitergeben zu müssen, sei ein „Nothingburger“, also praktisch wertlos, sagte etwa der Chef der Suchmaschine DuckDuckGo gegenüber der New York Times. Erlaubt bleiben weiterhin Verträge mit Herstellern wie Apple oder Mozilla, Google als voreingestellte Suchmaschine einzurichten. Verboten wird allerdings, dies an bestimmte Bedingungen zu knüpfen, etwa an die Zwangsinstallation von Google-Diensten. Außerdem muss Google ein „Technisches Komitee“ einrichten, welches die gerichtlichen Auflagen überprüfen soll. Beide Parteien halten sich eine Berufung offen.

Untersuchungen gegen Alphabets Marktdominanz hatte auch die EU eingeleitet. In einem vorläufigen Ergebnis warf die EU-Wettbewerbskommissarin Teresa Ribera dem Werbekonzern im Frühjahr vor, gegen den Digital Markets Act (DMA) verstoßen und seine marktbeherrschende Stellung missbraucht zu haben. Laut Medienberichten soll die finale Entscheidung für Anfang dieser Woche geplant gewesen sein. Angeblich soll jedoch Druck aus Washington zu einer Verschiebung geführt haben.