Connect with us

Datenschutz & Sicherheit

Das Wichtigste zur Spionage-Gefahr durch Handy-Standortdaten in der EU


Eine Gestalt mit Schlapphut, roter Stecknadel unterm Mantel stellt einen Databroker dar. Ein Handy mit Werbeanzeigen. Die Sterne der EU-Flagge. Nebel.
Gefahr für Privatsphäre und nationale Sicherheit (Symbolbild) – Gestalt: Pixabay; Nebel: Vecteezy; Montage: netzpolitik.org

Eine Englische Fassung des Artikels haben wir unter dem Titel „All you need to know about how adtech data exposes the EU to espionage“ veröffentlicht.

Neue Datensätze mit Millionen Handy-Ortungen zeigen, wie leicht sich die Europäische Union mit Daten aus der Werbeindustrie ausspionieren lässt. Das Rechercheteam hat die Daten als Gratis-Vorschau für kostenpflichtige Abonnements von Databrokern erhalten und konnte damit Bewegungsprofile von hochrangigem EU-Personal ausspionieren. Auch Ortungen aus dem NATO-Hauptquartier in Brüssel finden sich in den Daten.

„Wir sind besorgt über den Handel mit Standortdaten von Bürgern und Angestellten der Kommission“, teilte die EU-Kommission in Reaktion auf die Recherchen mit. Abgeordnete des Europäischen Parlaments sprechen von einer Gefahr für die Sicherheit Europas und fordern legislative Konsequenzen, um ausuferndes Werbetracking und den kontrollierten Handel mit personenbezogenen Daten einzudämmen.

Die heute mit BR, L’Echo, Le Monde und BNR veröffentlichte Recherche ist Teil der Databroker Files, mit denen seit Sommer 2024 netzpolitik.org, Bayerischer Rundfunk und internationale Partnermedien die Datenindustrie beleuchten.

Hier geben wir einen Überblick über die wichtigsten Fragen zum aktuellen Stand der Recherchen:

1. Wen betrifft die Spionage-Gefahr durch Handy-Standortdaten?

  • Kein Ort ist vor Spionage mithilfe kommerziell gehandelter Handy-Standortdaten sicher. Insgesamt liegen dem Rechercheteam inzwischen 13 Milliarden Standortdaten aus fast allen Ländern der EU, den USA und vielen weiteren Ländern der Welt vor.
  • Für die EU-Recherche haben wir 278 Millionen Standortdaten aus Belgien ausgewertet, die auf wenige Wochen in den Jahren 2024 und 2025 datiert sind. Allein im Berlaymont-Gebäude in Brüssel, wo die EU-Kommission ihren Hauptsitz hat, gab es rund 2.000 Standortdaten von 264 verschiedenen Geräten. Im EU-Parlament waren es rund 5.800 Standortdaten von 756 Geräten. Im NATO-Hauptquartier waren es 9.600 Handy-Ortungen von 543 Geräten. Betroffen sind auch der Rat der Europäischen Union, der Europäische Auswärtige Dienst, der Europäische Datenschutzbeauftragte und weitere EU-Institutionen.
  • Alle Standortdaten sind mit Geräte-Kennungen verknüpft. So lassen sich Bewegungsprofile ablesen, die oftmals Arbeitsplatz, Wohnadresse und weitere Aufenthaltsorte der getrackten Personen offenbaren. Solche Daten erlauben tiefgreifende Einblicke in das Leben von Menschen – von regelmäßig frequentierten Supermärkten über Auslandsreisen bis hin zu Besuchen in Kliniken oder Bordellen.
  • Bereits die begrenzten Datensätze, die wir als kostenlose Vorschau erhielten, führten uns zu den Privatadressen von fünf Menschen, die für die EU tätig sind oder waren, darunter drei in hoher Position. Zu dem von uns identifizierten EU-Personal gehören eine Spitzenbeamtin der Kommission, ein hochrangiger Diplomat eines EU-Landes und Angestellter des EU-Parlaments und des Europäischen Auswärtigen Dienstes. Außerdem fanden wir Standorte einer Digitalaktivistin und eines Journalisten in den Daten.
  • Zuvor konnte das Rechercheteam zeigen, wie sich mit ähnlichen Datensätzen auch in Deutschland hochrangige Regierungsbeamte, Militärstützpunkte, die Polizei und selbst Mitarbeitende von Geheimdiensten ausspionieren lassen.
  • Unabhängige Recherchen von Kolleg*innen aus den Niederlanden, Norwegen, der Schweiz und Irland kamen zu ähnlichen Ergebnissen, wonach kritische Infrastruktur wie etwa Atomkraftwerke ausspionierbar sind.

2. Wieso ist der Handel mit Tracking-Daten gefährlich?

  • Der unkontrollierte Datenhandel bedroht ​​​​​​​nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas. Schon 2021 hat eine Studie des NATO-Forschungszentrums Stratcom davor gewarnt, das sich kommerziell gehandelte Daten aus Werbe-Tracking auch für Spionage nutzen lassen. Mithilfe solcher Daten können feindliche Akteur*innen etwa militärisches Schlüsselpersonal identifizieren und ausspionieren oder militärische Operationen verfolgen. Weitere Gefahren sind beispielsweise Erpressung von exponierten Personen oder die Vorbereitung von Sabotage.
  • Bei der Organisation HybridCoE in Helsinki erforschen Fachleute aus mehreren Disziplinen im Auftrag von EU und NATO, wie sich hybride Bedrohungen abwehren lassen. Mit Blick auf unsere Recherche-Ergebnisse schreibt Sprecherin Kiri Peres: „Mobile Standortdaten können von feindlichen Akteuren missbraucht werden, um hybride Operationen durchzuführen, die die demokratische Gesellschaft schädigen und die Handlungsfähigkeit eines Staates schwächen.“ Es sei „nur logisch“, wenn zum Beispiel China und Russland Daten aus der Werbeindustrie einsetzen. Im Krieg könnten Daten der Werbeindustrie dabei helfen, militärische Bewegungen zu verfolgen.
  • In der globalen Überwachungsindustrie ist in den vergangenen Jahren ein eigener Zweig entstanden, der darauf spezialisiert ist, personenbezogene Daten aus dem Werbe-Ökosystem und von Datenhändlern für Geheimdienste und andere staatliche Stellen aufzubereiten. Ein Fachbegriff dafür ist ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung.
  • Die Recherchen mit Daten aus Belgien zeigen erneut, wie umfassend die Werbeindustrie teils metergenaue Standortdaten von Millionen Menschen anhäuft und Databroker diese Daten weltweit als Handelsware verbreiten. Dies ist eine neue Form der Massenüberwachung, die überwiegend ohne das Wissen der betroffenen Personen geschieht und diese umfassend durchleuchtbar macht.

3. Wie landen die sensiblen Daten bei Datenhändlern?

  • Die teils metergenauen Standortdaten stammen von Smartphone-Apps und wurden angeblich nur zu Werbezwecken erhoben. Abfließen können sie über potenziell jede kommerzielle App, wie unsere Recherchen zeigen. Im Januar 2025 berichteten wir über einen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps. Oftmals haben Hunderte Unternehmen im Ökosystem der Werbeindustrie weitgehend unkontrollierten Zugriff auf diese Daten. Datenhändler erwerben diese Daten, schnüren sie zu Paketen und bieten sie zum Kauf an.
  • Angeboten werden die Datensätze unter anderem auf Datenmarktplätzen. Eine besondere Rolle spielt den Recherchen zufolge das Unternehmen Datarade aus Berlin, über dessen Datenmarktplatz bereits mehrere Journalist*innen Kontakt zu Anbietern von riesigen Datensätzen mit Standortdaten aus Europa erhielten. Datarade selbst verarbeitet und verkauft diese Daten nicht, sondern ist Plattform für die Kontaktaufnahme zwischen Interessenten und Anbietern.
  • Apple und Google ermöglichen dies Form des Trackings, indem sie Telefonen eindeutige Kennungen zuordnen, die Mobile Advertising IDs.
  • Mehrere Akteure des Geschäfts mit Standortdaten haben ihren Sitz in der EU. Journalist*innen konnten über den Berliner Datenmarktplatz Datarade mehrfach Kontakt zu Databrokern herstellen. Deutschlands beliebteste Wetter-App Wetter Online hat genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben, wie die zuständige Datenschutzbehörde nach unseren Recherchen feststellte. Die in Litauen ansässige Marketing-Firma Eskimi soll einem US-Databroker zufolge Quelle für Handy-Standortdaten aus Deutschland gewesen sein, Eskimi bestreitet das jedoch.

4. Warum verhindert die DSGVO Datenhandel nicht?

  • Am Handel mit Handy-Standortdaten beteiligte Databroker, Tracking-Firmen und Apps bezeichnen ihre Geschäfte als legal und berufen sich meist auf die angebliche Einwilligung der Betroffenen. Anders sehen das jedoch Datenschutzbehörden und Fachleute für Datenschutz, darunter die deutsche Bundesbeauftragte für Datenschutz, Louisa Specht-Riemenschneider. Der in den Databroker Files aufgedeckte Datenhandel ist demnach aus mehreren Gründen nicht mit der DSGVO vereinbar.
  • So muss die Einwilligung in die Verarbeitung personenbezogener Daten laut Datenschutzgrundverordnung (DSGVO) informiert erfolgen, um wirksam zu sein. Nutzer*innen müssen erfahren, wer genau ihre Daten für welche Zwecke erhält. Allerdings fließen Standortdaten teils an Hunderte Akteure und werden von ihnen weiterverkauft. Auch die von der DSGVO vorgesehene Zweckbindung ist nicht erfüllt, wenn Daten zu Handelsware ohne näheren Zweck werden. Ausgehebelt sind zudem Betroffenenrechte, wonach Menschen Auskunft, Korrektur oder Löschung ihrer Daten verlangen dürfen.
  • Standortdaten können darüber hinaus Informationen preisgeben, die durch die DSGVO als besonders geschützt eingestuft werden. Sie können zum Beispiel zeigen, welche medizinischen Einrichtungen, Parteizentralen, religiösen Gebäude, Parteien oder Gewerkschaften Menschen aufsuchen. Da Handy-Standortdaten auch die Wohnadresse einer Person offenbaren können, sind sie oftmals nicht anonym.
  • Datenschutzbehörden haben das Problem bis zu unseren Recherchen offenbar nicht in vollem Umfang erfasst. Sie sind unterfinanziert und werden in der Regel erst dann aktiv, wenn Bürger*innen Beschwerden über bestimmte Datenverarbeiter einreichen und kratzen damit lediglich an der Oberfläche.

5. Was muss jetzt passieren, um das Problem zu lösen?

  • Zivilgesellschaftliche Organisationen wie der deutsche Verbraucherzentrale Bundesverband und selbst das deutsche Verbraucherschutzministerium forderten in Reaktion auf unsere Recherchen ein Verbot von Tracking und Profilbildung zu Werbezwecken. Auf diese Weise könnte dem unkontrollierbaren Handel der Nachschub an Daten ausgehen.
  • Die Europäische Kommission äußert sich in Reaktion auf die Recherche zwar besorgt, benennt aber keinen Bedarf für weitere Regulierung. Stattdessen müsse die Datenschutzgrundverordnung besser durchgesetzt werden. Zuständig seien die Aufsichtsbehörden in den Mitgliedstaaten.
  • Für die konservative Fraktion im EU-Parlament, EVP, fordert Axel Voss (CDU) mit Blick auf die Recherchen: „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen.“ Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke“, fordert Voss. Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln.“
  • Für die sozialdemokratische Fraktion S&D hat die spanische Abgeordnete Lina Gálvez Muñoz die Recherchen kommentiert: Zwar verfüge die EU über einen guten rechtlichen Rahmen als Ausgangspunkt. „Wir müssen jedoch weiterhin daran arbeiten, ihn zu stärken und an den aktuellen geopolitischen Kontext anzupassen – ebenso wie an seiner Umsetzung und Durchsetzung.“
  • Für die Fraktion der Grünen/EFA kommentiert die deutsche Abgeordnete Alexandra Geese: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie fordert: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Hier gibt es Kontakt zum Recherche-Team und alle Texte von netzpolitik.org zu den Databroker Files.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Datenbank Redis: Schwachstelle ermöglicht Ausführung von Schadcode


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Entwickler der In-Memory-Datenbank Redis haben eine Sicherheitslücke darin geschlossen. Sie ermöglicht Angreifern, beliebigen Schadcode auszuführen.

Weiterlesen nach der Anzeige

Im Github-Repository von Redis findet sich ein Schwachstelleneintrag, der die Sicherheitslücke erörtert. Demnach können Nutzerinnen und Nutzer den Befehl XACKDEL mit mehreren IDs aufrufen und dadurch einen Stack-basierten Pufferüberlauf auslösen. Das wiederum kann zur Ausführung von zuvor eingeschleustem Code führen (CVE-2025-62507, CVSS zwischen 7.7 und 9.8, Risiko „hoch“ bis „kritisch„). Das Problem liegt darin, dass der Redis-Code den Fall nicht abfängt, wenn die Anzahl an IDs über die STREAMID_STATIC_VECTOR_LEN hinausgeht. Dadurch überspringt er eine Reallokation, die schließlich in den Stack-basierten Pufferüberlauf mündet.

Redis-Lücke: Unklare Risikoeinstufung

Die Redis-Entwickler rechnen einen CVSS4-Wert von 7.7 aus, was einem hohen Risiko entspricht. Die SUSE-Maintainer kommen hingegen auf CVSS4 9.3 respektive CVSS3.1 9.8, beides der Risikostufe „kritisch“ entsprechend.

Das Problem tritt ab Redis 8.2 auf. Die Version 8.2.3 und neuere enthalten den Fehler hingegen nicht mehr. Admins, die Redis einsetzen, sollten auf diese oder neuere Fassungen der Datenbank aktualisieren. Wer das Update noch nicht durchführen kann, sollte temporäre Gegenmaßnahmen einleiten. Die Redis-Programmierer erklären, dass Nutzerinnen und Nutzer von der Ausführung des anfälligen Befehls XACKDEL ausgeschlossen werden können. Dazu lässt sich der Zugriff auf den Befehl mittels ACL (Access Control List) beschränken.

Vor rund vier Wochen haben die Programmierer bereits eine als kritisches Risiko eingestufte Sicherheitslücke in Redis geschlossen. Mit sorgsam präparierten LUA-Skripten war es möglich, eine Use-after-free-Situation zu provozieren und dabei eingeschleusten Programmcode auszuführen. Das hat die Vorversion 8.2.2 von Redis korrigiert.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Cyberkriminelle brechen in Logistikunternehmen ein und stehlen Fracht


Cyberkriminelle unterwandern die IT von Logistikunternehmen und stehlen deren Fracht. Darauf sind nun IT-Sicherheitsforscher gestoßen. Es handelt sich um ein Multi-Millionen-Geschäft für die Täter. Die zunehmende Vernetzung im Internet der Logistiker führt demnach zu einer Zunahme von Netz-basiertem physischem Diebstahl.

Weiterlesen nach der Anzeige

Das erklären IT-Sicherheitsforscher von Proofpoint in einem Blog-Beitrag. Angreifer kompromittieren die Logistiker und nutzen den IT-Zugang, um auf Frachttransporte zu bieten, die Ladung dann zu stehlen und sie zu verkaufen. Eine Auffälligkeit ist demnach, dass die Akteure „Remote Monitoring and Management (RMM)“-Werkzeuge installieren, was allgemein ein Trend in der Bedrohungslandschaft ist, dem Cyberkriminelle als ersten Schritt nach Einbruch in die IT von Unternehmen derzeit folgen.

Vom IT-Einbruch zum physischen Diebstahl

Proofpoints Analysten haben ihre eigenen Beobachtungen mit öffentlich zugänglichen Informationen angereichert und kommen dadurch zu der Erkenntnis, dass die Bedrohungsakteure mit Gruppen des organisierten Verbrechens zusammenarbeiten, um Einrichtungen des Transportwesens zu kompromittieren. Im Speziellen haben sie Fracht-Fernverkehr und Fracht-Makler im Visier, um Frachtladungen zu entführen und damit physische Güter zu stehlen. „Die gestohlene Fracht wird höchstwahrscheinlich online verkauft oder nach Übersee verschifft“, erklären die IT-Analysten. Diese Straftaten können massive Einschränkungen in Lieferketten verursachen und Unternehmen Millionen kosten. Die Täter stehlen dabei alles vom Energy-Drink bis zu Elektronik.

Bei den beobachteten Angriffskampagnen haben die Täter versucht, Unternehmen zu infiltrieren und die betrügerischen Zugänge zum Bieten auf das Verfrachten von echten Gütern zu nutzen, um diese am Ende zu stehlen. Laut der Analyse beträgt der jährliche Schaden 34 Milliarden US-Dollar. Allerdings sind nicht nur die USA betroffen. Proofpoint nennt Zahlen von Munich Re, wonach globale Diebstahl-Schwerpunkte Brasilien, Chile, Deutschland, Indien, Südafrika und die USA umfassen. Zumeist sind Transporte von Nahrungsmitteln und Getränken im Visier der Kriminellen. IT-gestützter Diebstahl ist demnach eine der häufigsten Formen des Frachtdiebstahls und basiert auf Social Engineering und Kenntnissen über die Funktionsweise der Lkw- und Transportbranche.

Aktuelle Kampagne

Die nun beobachteten Fälle fingen mindestens im Juni dieses Jahres an, wobei es Hinweise darauf gibt, dass die Kampagnen der Gruppierung bereits im Januar anfingen. Die Angreifer haben eine Reihe von RMM-Tools einschließlich ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able und LogMeIn Resolve installiert, wobei diese oftmals zu zweit eingesetzt wurden: So sei PDQ Connect dabei beobachtet worden, ScreenConnect und SimpleHelp herunterzuladen und zu installieren. Es ist den Kriminellen also wichtig, sich nachhaltig in die kompromittierten Netzwerke einzunisten.

Weiterlesen nach der Anzeige

Nach diesem initialen Zugriff forschen die Angreifer die Netzwerke aus und verteilen etwa Werkzeuge zum Mitschneiden von Zugangsdaten wie WebBrowserPassView. Die Täter scheinen über Kenntnisse zu Software, Dienstleistungen und Richtlinien rund um die Funktionsweise der Frachtlieferkette zu verfügen. Die Aktivitäten zielen offenbar darauf ab, Zugriff auf die Einrichtungen zu erlangen und Informationen zu stehlen. Die RMM-Tools helfen dabei, unter dem Radar zu fliegen und unbemerkt zu bleiben.

Die Proofpoint-Analyse zeigt noch Details zu Angriffen mittels Social-Engineering in E-Mails und nennt am Ende einige Indizien für Infektionen (Indicators of Compromise, IOCs). Insbesondere Frachtunternehmen sollten um diese Angriffe wissen und die Vorgehensweise der Täter kennen. Außerdem empfiehlt Proofpoint, IT-Sicherheitsmaßnahmen einzurichten, um erfolgreiche Angriffe zu verhindern.

Das Problem ist bislang weniger im Rampenlicht. Häufiger finden sich hingegen Meldungen etwa von Cyberattacken auf die Logistik-Branche, die zu Einschränkungen im Güterverkehr führen. Etwa Ende 2023 führte ein Cyberangriff auf Häfen in Australien dazu, dass keine Container verladen werden konnten. 30.000 Waren zwischenzeitlich dort gestrandet.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Wie autoritäre Tech-Netzwerke die europäische Souveränität gefährden


Im Juli dieses Jahres hat das Pentagon einen 10-Millarden-Dollar-Vertrag mit dem Unternehmen Palantir abgeschlossen. Für die Wirtschafts- und Sozialwissenschaftlerin Francesca Bria haben die USA damit zentrale militärische Funktionen an ein privates Unternehmen übergeben, dessen Gründer Peter Thiel erklärt hat, dass „Freiheit und Demokratie nicht mehr miteinander vereinbar sind“.

Ausgehend von diesem Deal zeichnet Bria, die sich zuletzt eingehend mit der Frage nach digitaler Souveränität in Europa beschäftigt hat, ein düsteres Bild auch für die politische Zukunft Europas. In den USA habe sich ein „Authoritarian Stack“ gebildet, der eine Infrastruktur der Kontrolle aufbaue – und zwar in den Bereichen Cloud, KI, Finanzen, Drohnen und Satelliten, schreibt sie. Es entstünde ein Bereich, in dem nicht die allgemeinen Gesetze gelten, sondern Unternehmensvorstände die Regeln festlegen würden.

Auf der englischsprachigen Webseite authoritarian-stack.info zeigen Wissenschaftler:innen jetzt die personellen und finanziellen Verbindungen hinter dem „Authoritarian Stack“ auf – und warnen davor, das Modell nach Europa zu exportieren. Das Projekt kartiert mit interaktiven Grafiken ein Netzwerk aus Unternehmen, Fonds und politischen Akteuren, die zentrale staatliche Funktionen in private Plattformen umwandeln. Es basiert auf einem Open-Source-Datensatz mit über 250 Akteuren, Tausenden von verifizierten Verbindungen und dokumentierten Finanzströmen in Höhe von 45 Milliarden US-Dollar.

„Systematische Auslagerung der europäischen Souveränität“

Dieses Netzwerk teilen die Wissenschaftler:innen auf in die Bereiche Unternehmen, Staat, Risikokapital und Ideologie und zeigen die Querverbindungen zwischen diesen Bereichen. Dabei nimmt das Projekt auch europäische Verstrickungen zum Authoritarian Stack ins Visier, zum Beispiel die Verbindung von Springer-Chef Mathias Döpfner zu Peter Thiel, die Verbindungen von deutschen Landespolizeien zu Palantir oder die von Rheinmetall zum Rüstungskonzern Anduril. In der interaktiven Grafik lässt sich per Schieberegler die europäische Perspektive anzeigen.

Francesca Bria warnt angesichts der Erkenntnisse deutlich, dass Europa vor einer existenziellen Entscheidung stehe: „Entweder jetzt echte technologische Souveränität aufbauen oder die Herrschaft von Plattformen akzeptieren, deren Architekten Demokratie als veraltetes Betriebssystem betrachten“, heißt es auf der Seite. Derzeit verfolge Europa eine „systematische Auslagerung der europäischen Souveränität an amerikanische Oligarchen“, die sich mit jedem Vertrag vertiefe und irgendwann unumkehrbar werde.



Source link

Weiterlesen

Beliebt