Der Anbieter brillen.de ist erneut Opfer eines IT-Angriffs geworden. Die Kriminellen konnten dabei abermals Kundendaten abgreifen. Dieses Mal sind Informationen von 1,5 Millionen Kunden betroffen. Mit den Daten lassen sich etwa gezieltere Phishing-Angriffe durchführen, aber auch Identitätsdiebstahl könnte damit möglich sein.

Auf der Webseite von brillen.de haben die Betreiber Supervista einen aktualisierten Hinweis veröffentlicht. Das Unternehmen schreibt dort: „Im Februar 2026 haben wir im Rahmen unseres kontinuierlichen Darknet-Monitorings festgestellt, dass Datensätze mit Kundeninformationen in einem Darknet-Forum veröffentlicht wurden.“ Die Untersuchungen hätten ergeben, dass diese Daten aus „einem separaten, gezielten Cyberangriff stammen, der im September 2025 stattfand.“ Unbefugte hätten sich Zugriff auf Kundendaten verschafft.

brillen.de-Datenleck: Betroffene Informationen

Laut brillen.de seien „personenbezogene Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer sowie das Geburtsdatum betroffen“; Passwörter, Zahlungsdaten und Sehwerte waren demnach jedoch nicht in falsche Hände gelangt. Das stimmt auch mit den Angaben überein, die sich im Darknet bei dem Angebot finden. Am 12. Februar dieses Jahres hat ein Täter mit dem Handle „Meow“ die Daten von angeblich 1.531.618 Kunden dort eingestellt. Er erklärte dort zudem, dass es sich um einen neuen IT-Vorfall handelt. „3,5 Millionen Datensätze sind 2024 aus Elastic geleakt, und nicht in die Öffentlichkeit geleakt. Das hier ist ein Leck von Ende 2025 aus ihrem Panel. Die Originaldateien enthalten mehr als zwei Millionen Zeilen. Aber ich habe die analysiert und die Ergebnisdatei umfasst 1,5 Millionen Einträge“ schreibt der Täter im Untergrundforum dazu.

brillen.de gibt an, dass ein Passwortwechsel das Einfallstor für den oder die Angreifer gesichert habe. „Darüber hinaus haben wir umgehend weitere Sicherheitsmaßnahmen implementiert und externe IT-Forensik-Experten eingebunden“, erklärt das Unternehmen. Der Vorfall sei auch der Datenschutzaufsichtsbehörde gemeldet worden. „Wir empfehlen Ihnen, bei unerwarteten Kontaktaufnahmen besondere Vorsicht walten zu lassen und keine sensiblen Informationen weiterzugeben.“

Bereits im Oktober 2024 gab es einen IT-Vorfall bei brillen.de, bei dem 3,5 Millionen Kundendatensätze offen im Netz zugreifbar waren. Eine Elasticsearch-Instanz des Unternehmens stand ohne vorgeschaltete Authentifizierung zugreifbar im Internet. Rund sechs Wochen später hat Supervista die Ergebnisse der damaligen Untersuchungen öffentlich gemacht.

(dmk)

Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

Derzeit häufen sich die Meldungen, dass die Funktion „Microsoft Edge Secure Network“ gar kein VPN sei. Es stelle die Funktion nur für den Browser und nicht für das gesamte System bereit. Zudem wird nicht aller Verkehr getunnelt. Das hat Microsoft jedoch nie versprochen.

Der derzeitige Aufschrei geht zurück auf einen Beitrag auf X von einem jungen IT-Sicherheitsforscher namens Sooraj Sathyanarayanan. Dort schreibt er: „Ich habe eine gründliche Sicherheitsanalyse von Microsoft Edges ‚Secure Network VPN‘ gemacht“. Der Name lautet allerdings offiziell „Microsoft Edge Secure Network“ (auf Deutsch etwas ungelenk das „sichere Microsoft Edge-Netzwerk“). Die Beschreibung in den Browser-Einstellungen unter „Datenschutz, Suche und Dienste“ – „Sicheres Microsoft Edge-Netzwerk verwenden“ lautet tatsächlich „integriertes VPN, das vor Onlinetrackern schützt. Sie erhalten 5 GB kostenloses VPN pro Monat“. Etwas detaillierter ist nach Klick auf das Fragezeichen neben der Funktion zu lesen: „Secure Network ist ein integriertes VPN, mit dem Sie Ihre Netzwerkverbindungen gegen Online-Hacker absichern, sich vor Onlinetrackern schützen und Ihren Standort privat halten können. Sie erhalten jeden Monat 5 GB kostenlose sichere Netzwerkdaten, wenn Sie sich mit Ihrem Microsoft-Konto bei Edge anmelden“.

Tunnel für Klartext-Verbindungen im Browser

Sathyanarayanan erklärt, dass Edge Secure Network jedoch kein VPN sei. Es handele sich um einen „HTTP CONNECT“-Proxy, der auf Cloudflares Privacy-Proxy-Plattform aufsetzt. Lediglich Verkehr aus dem Edge-Browser werde getunnelt. Andere Anfragen des Systems wie DNS-Anfragen, E-Mail-Clients, Hintergrunddienste, Betriebssystemupdates, schlicht alles außerhalb von Edge bleibt weiterhin sichtbar. Schlimmer noch: Standardmäßig sei die „optimierte“ Einstellung vorausgewählt, die nur in öffentlichen WLANs oder beim Besuch unverschlüsselter HTTP-Seiten eingreift. Im heimischen Netz macht das VPN also beim Besuch von HTTPS-Seiten nichts, außer man stellt die Einstellungen um auf „Alle Seiten“. „Die meisten User werden das niemals machen, was bedeutet, die meisten User erhalten die meiste Zeit null Schutz“, führt der IT-Forscher aus. Ein weiteres Problem liegt darin, dass der Traffic ohne Verschlüsselung weiterlaufe, wenn die Verbindung zu Cloudflare-Servern ausfalle – ohne, dass Nutzer gewarnt würden.

Außerdem muss man sich mit einem Microsoft-Konto anmelden. Damit ist die eigene Identität mit der VPN-Nutzung verknüpft. Sofern ein Konto angemeldet ist, synchronisiert er die meisten Daten, den Verlauf, Passwörter, Favoriten, Formulardaten, Erweiterungen und geöffnete Tabs in allen Edge-Instanzen. Daher erfordere Edge Secure Network die vollständige Offenlegung der Identität der Nutzer. Zudem übernimmt Cloudflare das Routing. Alle 25 Stunden lösche das Unternehmen Diagnose- und Support-Daten. Microsoft behauptet, dass Cloudflare niemals die Konto-Identität sehe, und Cloudflare gibt an, dass es den Traffic nicht untersuche. Hier müssten Nutzer den Unternehmen vertrauen, da sie keine unabhängige Überprüfung vornehmen können und die Codebasis Closed Source sei.

Microsofts Angebot

Zwar sind die Beobachtungen korrekt. Allerdings behauptet Microsoft gar nicht, dass es sich um ein vollwertiges VPN handelt. Bereits bei der Vorstellung in einer Vorabversion von Microsoft Edge im April 2022 war der Nutzen des Quasi-VPNs im Webbrowser klar: „Der Datenverkehr ist damit auch bei Verbindungen, die nicht SSL-gesichert sind, nicht mehr abhörbar. Zudem verschleiert der Tunnel die eigene IP-Adresse, sodass Tracking erschwert wird. Der Tunnel wird über den CDN- und Internet-Security-Anbieter Cloudflare aufgebaut.“

Auf der verlinkten Webseite zu „Microsoft Edge Secure Network“ erklärt das Unternehmen auch die Voreinstellung, dass zur Begrenzung des Traffics nur unsichere Verbindungen über die VPN-Tunnel gehen. „Um Ihre zugewiesene VPN-Datenbandbreite zu schonen, werden Streaming-Seiten wie Netflix, Hulu, HBO und andere nicht über den Secure-Network-VPN-Dienst geleitet, es sei denn, Sie entscheiden sich dafür, das VPN für alle Seiten zu nutzen“, schreibt Microsoft dort.

Übertriebene Aufregung

Die Aufregung um die Microsoft-Edge-Funktion erscheint daher übertrieben. Interessierte müssen die Funktion überhaupt erst finden und aktivieren. Dass daraus aufgrund der Beschreibung die Erwartung erwächst, dass sämtlicher Traffic des Geräts über einen VPN-Tunnel geleitet wird, ist zumindest zweifelhaft. Bei anderen Webbrowsern mit integrierter VPN-Funktion erwartet das vermutlich ebenfalls niemand. Microsoft geht zudem offen damit um, dass Nutzer angemeldet sein müssen und Cloudflare den Dienst bereitstellt.

(dmk)