Die französische staatliche Digitalstelle DINUM untersucht einen Einbruch in ein Konto des Regierungs-Messengers Tchap. Der oder die Angreifer haben demnach Zugriff auf Chats und Nachrichten sowie Informationen von tausenden Nutzern erlangt.

Das teilt das französische Regierungsportal numerique.gouv.fr mit. Demnach konnten die Angreifer am 7. Juni 2026 ein Nutzerkonto beim verschlüsselten Instant-Messaging-Dienst Tchap kompromittieren. Da der Dienst private Chats und Nachrichten verschlüsselt, können die Angreifer selbst im Fall einer Konto-Kompromittierung lediglich auf unverschlüsselte öffentliche Chats und Nachrichten zugreifen, erklärt die Behörde. Es seien Berichten zufolge 73.467 Nutzerinnen und Nutzer betroffen, was knapp neun Prozent der Nutzerbasis entspreche.

Nach dem Vorfall schaltete sich die ANSSI, Frankreichs nationales Cybersicherheitszentrum und BSI-Pendant, ein und untersuchte den Vorfall. Die Kompromittierung konnte dabei bestätigt und Schutzmaßnahmen ergriffen werden; das Ausmaß des Vorfalls wurde ermittelt. Die IT-Sicherheitsexperten haben das unterwanderte Konto gesperrt. Bei der Untersuchung kam heraus, dass zu den möglicherweise offengelegten Daten Vor- und Nachname, E-Mail-Adresse, Unternehmen und Avatar der Nutzerinnen und Nutzer gehören. Die privaten Chats seien hingegen geschützt.

Untersuchungen dauern an

Die Untersuchungen gingen weiter, erklärt die Behörde. Es sollen noch Ereignisprotokolle ausgewertet werden, um herauszufinden, auf welche Chats und auf welche weiteren Daten die Angreifer Zugriff hatten. Im digitalen Untergrund bieten die Angreifer die angeblich abgegriffenen Daten an. Wie ein Post von Dark Web Intelligence auf X zeigt, geht es angeblich um 73.467 Nutzerkonten, mehr als 640.000 Nachrichten, 876 Chat-Räume und knapp 60.000 Mediendateien mit einem Umfang von 13,5 GByte. Zudem sollen klassifizierte Dokumente enthalten sein. Das hat die Untersuchung bislang jedoch nicht bestätigt.

Frankreichs als sicherer Messenger für die Regierung konzipierter Tchap-Dienst, der auf Matrix basiert, hatte bereits zum Start im Jahr 2019 mit einer Sicherheitslücke zu kämpfen. Einem Hacker gelang es, unbefugt ein Konto in dem Dienst anzulegen, obwohl er nicht zur Regierung gehört, was eigentlich durch entsprechende Mail-Domains sichergestellt werden sollte. Die Lücke wurde damals in kürzester Zeit nach der Meldung durch den Entdecker geschlossen.

(dmk)

Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.

Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.

Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.

Microsoft tut nichts, daher sollten Admins handeln

Microsofts Reaktion auf den Fehler – den heise security mit dem kostenlos verfügbaren Testprogramm nachvollziehen konnte – war befremdlich. Das Microsoft Security Response Center (MSRC) – aktuell mal wieder mit Sicherheitsforschern über Kreuz – wies die Infoguard-Forscher nach ihrer Meldung am 21. April 2026 ab: Es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall fürs MSRC. Daraufhin kontaktierten die Schweizer den Kundendienst des Redmonder Softwarehauses und erhielten eine Bestätigung: Tags zuvor habe man eine großangelegte Versandaktion gefälschter E-Mails festgestellt, das Problem werde also bereits von Missetätern ausgenutzt.

Dennoch passierte nichts, „Ghost-Sender“ funktioniert bis heute. Dabei tragen E-Mails mit gefälschten Absenderadressen (die in Outlooks Mailoberfläche sogar das passende Profilbild tragen) ein hohes Risiko für Betrügereien aller Art, speziell die als „Business Email Compromise“ bekannte Masche.

Administratoren, die Exchange Online mit vorgelagertem Filterdienst nutzen, sollten ihre Konfiguration daher zügig auf Anfälligkeit prüfen und gegebenenfalls eine der empfohlenen Gegenmaßnahmen ergreifen – in Redmond scheint man derzeit nicht der Ansicht zu sein, wegen „Ghost-Sender“ handeln zu müssen.

(cku)

Wem gehört eine Telefonnummer? Das können 135 staatliche Stellen von 142 Telekommunikations-Unternehmen erfahren, ohne dass die betroffenen Firmen oder Kunden davon etwas mitbekommen.

Dieses automatisierte Auskunftsverfahren wird von der Bundesnetzagentur betrieben und ist auch als „Behördentelefonbuch“ oder Bestandsdatenauskunft bekannt.

Die Bundesnetzagentur veröffentlicht darüber jährliche Statistiken, neben einem Absatz im aktuellen Jahresbericht auch auf der Webseite:

Im Jahr 2025 wurden insgesamt ca. 35,11 Mio. Ersuchen über das Automatisierte Auskunftsverfahren bei der Bundesnetzagentur beantwortet.

Wir haben die Zahlen wie jedes Jahr aufbereitet und visualisiert.

Wem gehören 35 Millionen Telefonnummern?

Deutsche Behörden haben im letzten Jahr über 35 Millionen Mal gefragt, wer eine Telefonnummer registriert hat.

Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben also im Schnitt fast jede Sekunde einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten erhalten. Das ist ein neues Allzeithoch.

Diese nummernbasierten Ersuchen haben sich innerhalb von fünf Jahren verdoppelt.

Welche Telefonnummern gehören dieser Person?

Die Auskunft geht auch anders herum: Welche Telefonnummern gehören einer Person?

Diese personenbasierten Ersuchen wurden 340.813 Mal gestellt. Das ist etwa eine Abfrage alle anderthalb Minuten.

Diese Abfragen nahmen wieder zu:

Registrierungspflicht für SIM-Karten

In vielen Staaten der Welt kann man Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA und Kanada, Großbritannien und Tschechien. Das Bundesamt für Sicherheit in der Informationstechnik hatte jahrelang die „Verwendung von Prepaid-Karten zur Anonymisierung“ empfohlen.

Seit einem Anti-Terror-Gesetz von 2016 müssen Prepaid-SIM-Karten in Deutschland mit einem amtlichen Ausweisdokument registriert werden. Das sind genau die Daten, die jede Sekunde abgefragt werden.

Damals sagte uns das CDU-geführte Innenministerium, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ gibt.

Bundesnetzagentur kontrolliert Daten

Diese Zusage gilt jetzt nicht mehr. Sicherheitsbehörden beklagen, dass manche Daten eine „mangelhafte Datenqualität“ hätten, also Anschlüsse auf ein Pseudonym registriert sind. Deshalb hat die Bundesnetzagentur Auslegungshinweise zum Gesetz „erweitert und fortentwickelt“. Auf einem „Compliance Gipfel“ diskutieren Branchenvertreter und berechtigte Stellen „Lösungsansätze zur Verbesserung der Datenqualität“.

Dieses Jahr will die Bundesnetzagentur die „Vorgaben für Identifizierungsverfahren im Prepaid-Mobilfunksektor“ überarbeiten. Nach der Novellierung des Telekommunikationsgesetzes will die Bundesnetzagentur die Kundendatenauskunftsverordnung und die Technische Richtlinie für das Auskunftsverfahren überarbeiten.

Wer keinen Personalausweis vorlegt, verliert den Mobilfunk-Anschluss.

Keine Transparenz zu IP-Adressen

Seit 2013 können Behörden neben Telefonnummern auch Internetdaten wie IP-Adressen und E‑Mail-Postfächer als Bestandsdaten abfragen. Damit erfahren sie, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt – ebenfalls ohne Richterbeschluss.

Zu diesen Abfragen gibt es leider keine Statistiken, weil die Behörden direkt bei den Internet-Zugangs-Anbietern anfragen. Die Bundesnetzagentur könnte diese Statistiken erheben und veröffentlichen. Doch dazu fehlt der politische Wille – aller Bundesregierungen.

Die Deutsche Telekom veröffentlicht freiwillig einige Zahlen in ihrem Transparenzbericht. Demnach haben Behörden in über 53.000 Fällen Bestandsdaten durch manuelle Abfragen erhalten. Dazu kommen mehr als 217.000 Abfragen zu Inhabern von IP-Adressen bei mutmaßlichen Urheberrechtsverletzungen im Internet.