Eine von Europol koordinierte internationale Strafverfolgungsaktion hat die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Dabei wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet, heißt es in einer von der europäischen Polizeibehörde veröffentlichten Mitteilung. Die Aktion wurde von Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien sowie Akteuren des Privatsektors, darunter Cloudflare, Coinbase oder Trend Micro, in enger Zusammenarbeit unter der Koordination des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) von Europol durchgeführt.

Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. „Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“, schreibt Europol.

Niedrige Einstiegsschwelle für Cyberkriminelle

Laut dem Tech-Portal Bleeding Computer wurden Tycoon2FA-Abos über den Telegram-Messenger zehn Tage Zugriff für 120 US-Dollar angeboten. Dies habe die Hürde, ausgeklügelte Angriffe zur Umgehung der MFA in großem Umfang durchzuführen, für weniger erfahrene Kriminelle deutlich gesenkt, so das Portal weiter.

„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“, erklärte Microsoft am Mittwoch in einem Blogeintrag. „Dies funktionierte, indem während des Authentifizierungsprozesses generierte Sitzungs-Cookies abgefangen und gleichzeitig die Benutzerdaten erfasst wurden. Die 2FA-Codes wurden anschließend über die Proxy-Server von Tycoon2FA an den Authentifizierungsdienst weitergeleitet.“

Die Ermittlungen begannen, nachdem Trend Micro Informationen bereitgestellt hatte. Diese Informationen verbreitete Europol über seine EC3-Beratungsgruppen und operativen Netzwerke. Dies wiederum habe die Entwicklung einer koordinierten Einsatzstrategie ermöglicht, so das Europäische Polizeiamt. Später arbeiteten Microsoft und Trend Micro eng mit den Strafverfolgungsbehörden zusammen und stellten technisches Fachwissen sowie Infrastrukturanalysen bereit.

(akn)

Das Bundesverwaltungsgericht (BVerwG) hat die Klage auf „Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Louisa Specht-Riemenschneider, gegen den Bundesnachrichtendienst (BND) als unzulässig verworfen. In dem Verfahren (Az. 6 A 2.24) ging es um die Frage, ob die oberste Datenschutzaufsicht des Bundes ihre Kontrollrechte gegenüber dem Auslandsnachrichtendienst gerichtlich durchsetzen kann.

Nach der Entscheidung des Gerichts ist das nicht der Fall. „Der Vorschrift des § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG […] lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen“, konstatiert das BVerwG.

Die BfDI hatte mit der Klage klären wollen, ob sie bei verweigerter Einsicht durch den BND den Rechtsweg beschreiten darf. „Durch die Klage wollte ich erreichen, dass keine praktischen Kontrolllücken entstehen, damit Grundrechte wirksam geschützt werden können. Dem Bundesverwaltungsgericht zufolge kann ich meine unabhängigen Kontrollbefugnisse nicht gerichtlich durchsetzen, ich habe keine ,wehrfähige Rechtsposition‘ für eine Klage“, so Specht-Riemenschneider.

Zuvor hatte die BfDI die Verweigerung der Einsichtnahme beim Bundeskanzleramt beanstandet. Das Kanzleramt wies dies zurück und verwies auf den Vorrang der Kontrolle durch den Unabhängigen Kontrollrat (UKR); zur Kompetenzabgrenzung zwischen UKR und BfDI äußerte sich das Bundesverwaltungsgericht nicht.

Sorge vor kontrollfreien Räumen

Nach Auffassung des Gerichts steht der BfDI bei Streit über Einsichtsrechte lediglich die Beanstandung gegenüber dem Bundeskanzleramt offen. Mit diesem Instrument seien jedoch – entsprechend dem gesetzgeberischen Willen – keine unmittelbar durchsetzbaren Abhilfe- oder Durchgriffsrechte verbunden. Eine eigene Klagebefugnis der Datenschutzbeauftragten würde diese gesetzliche Konstruktion unterlaufen. „Als Folge des Urteils befürchte ich, dass im Bereich der Nachrichtendienste kontrollfreie Räume entstehen. Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden“, sagte die BfDI.

Sie fordert daher eine gesetzliche Nachbesserung. „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei. Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Hintergrund des Verfahrens war ein Vor-Ort-Termin der Datenschutzaufsicht beim BND. Dort hatte der Dienst die Einsicht in bestimmte Anordnungen individueller nachrichtendienstlicher Aufklärungsmaßnahmen verweigert. Konkret betraf dies CNE-Maßnahmen (Computer Network Exploitation), „die notwendig sind, um ein ‚Hacking‘ von IT-Systemen von Ausländern im Ausland zu rechtfertigen“. Nach Einschätzung der BfDI handelt es sich um besonders eingriffsintensive Maßnahmen, die einer sorgfältigen datenschutzrechtlichen Kontrolle bedürfen.

„Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können. Deshalb hat das Bundesverfassungsgericht mir eine Kompensationsfunktion zugewiesen. Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“ Die BfDI will nun prüfen, welche Konsequenzen das Urteil für die Durchsetzung datenschutzrechtlicher Vorgaben auf nationaler und europäischer Ebene hat.

Bereits in der Vergangenheit hatten die aktuelle und der ehemalige BfDI betont, wie wichtig eine unabhängige Kontrolle des BND sei – gerade mit Blick auf weitere geplante Ermittlungsbefugnisse im digitalen Raum. Immer wieder hatte es Streit um die Kontrolle der Nachrichtendienste gegeben, etwa weil der Bundesnachrichtendienst Einsicht in Unterlagen verweigert hatte.

(mack)

Die US-Grenzschutzbehörde Customs and Border Protection (CBP) hat systematisch Standortdaten aus Alltags-Apps genutzt, die aus dem Real-Time-Bidding-System (RTB) der Online-Werbeindustrie stammen. Das belegt ein internes Dokument des Department of Homeland Security (DHS), das die Investigativ-Plattform 404 Media per Informationsfreiheitsanfrage veröffentlicht hat.

Bei dem 404 Media vorliegenden Dokument handelt es sich um eine sogenannte Privacy Threshold Analysis – eine Datenschutz-Bewertung, die das DHS bei der Einführung neuer Technologien durchführen muss. Darin heißt es wörtlich: „RTB-basierte Standortdaten werden aufgezeichnet, wenn eine Anzeige geschaltet wird.“ In der Vergangenheit gab es schon mehrere Fälle, bei denen Standortdaten verkauft wurden und so unter anderem Klinikbesuche offenlegten.

Daten aus Candy Crush, Tinder und MyFitnessPal

Beim Real-Time-Bidding findet bei jeder Werbeeinblendung in einer App eine automatische Auktion statt, bei der Werbetreibende um Anzeigenplätze bieten. Dabei werden Gerädedaten einschließlich des Standorts übertragen. Überwachungsfirmen können diesen Prozess beobachten und die Daten abschöpfen – für die Nutzer unsichtbar.

Die Standortdaten werden über sogenannte Advertising IDs (AdIDs) einem Gerät zugeordnet. Diese eindeutigen Kennungen, die Apple und Google für personalisierte Werbung eingeführt haben, enthalten zwar keine Namen oder Telefonnummern, ermöglichen aber ein präzises Bewegungstracking über längere Zeiträume.

404 Media konnte solche Datenströme unter anderem auf Candy Crush, Tinder, Grindr, Tumblr und MyFitnessPal zurückführen. Die App-Entwickler wissen in vielen Fällen nicht, dass ihre Anwendungen als Datenquelle dienen, da die Erfassung über die eingebettete Werbeinfrastruktur läuft.

CBP bezeichnete die Nutzung als Pilotprojekt, das von 2019 bis 2021 lief und bei der Analyse grenzüberschreitender Kriminalität helfen sollte. Eine spätere Untersuchung des DHS-Generalinspekteurs kam jedoch zu dem Ergebnis, dass CBP, die Einwanderungsbehörde ICE und der Secret Service die Daten illegal für operative Zwecke einsetzten. Ein CBP-Beamter soll das System genutzt haben, um Kollegen ohne dienstlichen Anlass zu überwachen.

Bereits 2020 hatte das Wall Street Journal erstmals über den Kauf kommerzieller Standortdaten durch CBP und ICE berichtet. Die FTC untersagte dem Datenanbieter Venntel später den Verkauf von Standortdaten, die ohne ausreichende Einwilligung erhoben worden waren.

ICE kauft weiter Standortdaten

Trotz der dokumentierten Verstöße setzen US-Behörden den Einkauf fort. ICE erwarb demnach ein System namens „Webloc“, welches ganze Stadtviertel nach Mobiltelefonen scannen und Geräte bis zu mutmaßlichen Wohnadressen zurückverfolgen kann. In öffentlichen Beschaffungsdokumenten sucht die Behörde zudem aktiv nach weiteren Ad-Tech-Datenquellen.

Dass solche Werkzeuge auch für besonders sensible Zwecke einsetzbar sind, zeigte ein früherer Bericht von 404 Media: Demnach lassen sich damit auch Besuche an Abtreibungskliniken nachverfolgen. Ein richterlicher Beschluss ist dafür nicht erforderlich, da die Daten frei auf dem Markt erhältlich sind.

70 Abgeordnete fordern neue Untersuchung

Rund 70 US-Abgeordnete um Senator Ron Wyden haben den DHS-Generalinspekteur kürzlich in einem gemeinsamen Schreiben zu einer erneuten Untersuchung aufgefordert. Eine 2023 ausgesprochene Empfehlung, verbindliche Richtlinien für den Umgang mit kommerziellen Standortdaten zu schaffen, sei bis heute nicht umgesetzt.

„Indem sie sich weigern, Überwachungsunternehmen und zwielichtige Datenbroker auszuschließen, arbeiten die großen Tech-Unternehmen effektiv mit der gesetzlosen Gewalt- und Terrorkampagne der ICE zusammen“, sagte Wyden gegenüber 404 Media. ICE blockiere zudem Aufklärungsbemühungen des Kongresses: Eine angesetzte Anhörung zum Webloc-Kauf sei einen Tag vorher ohne Begründung abgesagt worden. Wyden empfiehlt allen Handy-Nutzern, Adblocker zu installieren, die AdID zu deaktivieren (iOS: Einstellungen, Datenschutz & Sicherheit, Tracking deaktivieren, unter Android: Einstellungen, Google, Alle Dienste, Werbung, Werbe-ID löschen) und Global Privacy Control im Browser zu aktivieren.

(vza)