Es geht um Milliarden Standortdaten von ahnungslosen Handy-Nutzer*innen, oftmals metergenau. Angeblich nur zu Werbezwecken erhoben, fließen die Daten über populäre Handy-Apps auf teils verschlungenen Wegen in die Hände von Databrokern. Potenziell betroffen sind alle Menschen, die ein Smartphone nutzen.

Die Recherchen von netzpolitik.org und Bayerischem Rundfunk begannen im Februar 2024 mit einem Gratis-Datensatz, den ein Databroker als Vorschau für ein kostenpflichtiges Abo verschenkt hat. Anhand dieser Daten konnte das Team nicht nur einen flächendeckenden Angriff auf die Privatsphäre von Handy-Nutzer*innen enthüllen, sondern auch eine Gefahr für die nationale Sicherheit. Die EU-Kommission sagte: „Wir sind besorgt“.

Jetzt erzählt eine Fernsehdoku die wichtigsten Erkenntnisse aus den Databroker Files. Sie macht anschaulich, wie der Handel mit personenbezogenen Daten außer Kontrolle geraten ist – und vor welchem Hintergrund Fachleute aus Politik und Verbraucherschutz ein Verbot von Tracking und Profilbildung zu Werbezwecken fordern.

Erstmals berichtet die Doku darüber, wie Handy-Standortdaten der Werbe-Industrie auch ukrainische Soldaten an der Front gefährden können – oder Journalist*innen im Exil. Neu ist auch die Geschichte einer bayerischen Schülerin, die niemals erwartet hätte, dass Databroker ihr genaues Bewegungsprofil offen im Netz handeln.

„Gefährliche Apps – Im Netz der Datenhändler“, produziert vom Bayerischen Rundfunk für ARD, Arte und die Deutsche Welle, ist nun in der ARD Mediathek zu sehen. Was der Datenhandel konkret für Menschen bedeuten kann, fassen wir hier anhand von vier Köpfen aus der Doku zusammen.

1. Databroker verkaufen Handy-Standortdaten von der Front

Heute lebt Dmytro auf einem Hof in der Nähe von Odessa. Unter raschelnden Baumkronen grast eine Kuh, in den Ästen läutet ein Windspiel. Als das Kamerateam Dmytro besucht, führt er die Pferde aus, reitet über einen Feldweg. Zuvor hat er als Soldat für die Ukraine an der Front gekämpft. Für ihn und seine Kameraden hatten Smartphones eine besondere Bedeutung.

„Das Handy ist sehr wichtig, weil es moralisch unterstützt“, erklärt er im Interview. „Man kann seine Lieben zuhause spüren, seinen Ehepartner. Es ist eine Erinnerung daran, wofür man an der Front kämpft.“

Zugleich können Smartphones im Krieg eine Gefahr darstellen, und zwar durch die potenzielle Ortung von Soldat*innen und deren Stellungen. Inzwischen liegen dem Recherche-Team Datensätze von mehreren Databrokern vor; in einem davon finden sich auch Handy-Ortungen aus umkämpften Gebieten in der Ukraine. Die Daten geben auch Preis, dass Geräte per Starlink im Netz waren, jenes Satelliteninternet, das ukrainische Truppen verwenden.

Das Recherche-Team zeigt Dymtro auf Satellitenbildern eine Auswahl von Handy-Ortungen im Kampfgebiet. Er beugt sich über den Bildschrim und bestätigt: „Genau hier an diesem roten Punkt, da war unser Hauptquartier.“

Es ist möglich, dass die russische Armee nicht auf Standortdaten der Werbe-Industrie angewiesen ist, um potenzielle Ziele zu identifizieren – es lässt sich aber auch nicht ausschließen, dass russische Behörden genau das tun. Deutsche Rüstungsunternehmen befürchten zudem, dass auch ihre neuen Produktionsstätten in der Ukraine ins Visier geraten können, wie tagesschau.de berichtet. Deren Standorte sind weitestgehend geheim, um sie vor russischen Angriffen zu schützen.

2. Exil-Journalistin in Berlin berichtet von Verfolgung

In Ägypten hatte die Journalistin Basma Mostafa unter anderem kritisch über Polizeigewalt berichtet. Sie erzählt dem Fernsehteam von mehreren Festnahmen, sogar von Folter. Schließlich gelang ihr die Flucht; der Weg führte sie nach Berlin. Ihr Leben in Ägypten, sagt sie heute, habe sie zurückgelassen. Aber auch in Berlin werde sie von ägyptischen Agenten verfolgt und bedroht. Sie fotografiert die Männer, die ihr auffallen, und zeigt dem Recherche-Team die Fotos auf ihrem Smartphone. Die Polizei habe ihr empfohlen, den Wohnort zu wechseln.

„Ich frage mich wirklich: Woher wissen die immer genau, wo ich bin?“, sagt Mostafa im Interview. Gemeinsam mit dem Recherche-Team betrachtet auch sie einen Ausschnitt der Standortdaten, die Databroker von Millionen Handys auf der Welt verkaufen. Der Ausschnitt zeigt die Bewegungsmuster einer Person, die offenbar in Mostafas Wohnhaus lebt. Von diesem Haus führen Handy-Ortungen zu anderen Adressen, die Mostafa wiedererkennt: etwa den Spielplatz, wo sie mit ihren Kindern hingehe, oder ein Krankenhaus. Es fühle sich an, sagt sie, als wäre sie gehackt worden.

Ähnlich wie im Fall der ukrainischen Soldaten gilt: Es kann sein, dass ägyptische Behörden nicht auf Standortdaten aus der Werbe-Industrie angewiesen wären, falls sie Dissident*innen im Ausland ins Visier nehmen wollten. Sicherheitsexperte Franz-Stefan Gady legt zumindest nahe, dass ein solches Szenario denkbar ist. Anders als große Geheimdienste wie aus den USA, Russland oder China hätten „zweitrangige“ Dienste inzwischen immer mehr Zugang zu Daten, „die sie wahrscheinlich vor einigen Jahren noch nicht gehabt hätten“, erklärt Gady.

3. Die Spur der Daten führt zu 18-Jähriger aus Bayern

Wie aufdringlich Handy-Standordaten sein können, zeigt der Fall der 18-Jährigen Emma aus Bayern. Mühelos fand das Recherche-Team ihre Privatadresse in den Daten: Ein freistehendes Haus in einer bayerischen Gemeinde, wo sich auffällig viele Ortungen eines Geräts häuften. Ebenso häuften sich die Ortungen bei einer nahegelegenen Schule, während eine Perlenschnur aus Standortddaten die Strecke beschrieb, die Emma oft mit dem Schulbus genommen hat.

Das Beispiel zeigt: Bereits zwei Orte, Wohnort plus Arbeits- oder Ausbildungsplatz, können genügen, um eine Person in einem Bewegungsprofil eindeutig wiederzuerkennen.

„Das ist krass“, sagt Emma heute, als das Kamera-Team der 18-Jährigen ihre Standortdaten auf einem Tablet zeigt. Die Daten zeigen auch Emmas Abstecher in den Supermarkt und zu McDonald’s. Oder die genaue Route über einen Feldweg, den sie nimmt, wenn sie mit ihrem Hund spazieren geht.

„Wenn irgendein Mann diese Daten hätte“, sagt Emma, „so Stalking-mäßig“, dann wäre das „sehr unvorteilhaft“. Zur Erinnerung: Das Recherche-Team hat die Daten kostenlos von einem Databroker im Netz erhalten. Prinzipiell zugänglich sind solche Daten für alle, die Datenhändler danach fragen. Für einen vierstelligen Betrag im Monat können Interessierte ein Abonnement abschließen.

4. Standortdaten können Besuch in Abtreibungsklinik verraten

In Dallas, Texas, lebt Lauren Miller mit ihrem zweijährigen Sohn Henry. Abtreibungen sind ihrem US-Bundesstaat kriminalisiert. Doch vor gut zwei Jahren war eine Abtreibung genau das, was Miller und ihr damals ungeborener Sohn aus medizinischen Gründen benötigten. Denn Henry hatte einen nicht überlebensfähigen Zwillingsbruder. Nur eine Teilabtreibung hätte das gesunde Baby retten können, wie Miller berichtet.

Deshalb machten sich Miller und ihr Mann auf die Reise nach Colorado. Dieser Bundesstaat verletzt nicht die reproduktiven Rechte von Menschen; dort sind Abtreibungen weiterhin legal. „Ich weiß noch, wie ich mit gesenktem Kopf durch die Sicherheitskontrolle am Flughafen gegangen bin“, erzählt Miller. „Wir haben sogar überlegt, die Handys zu Hause zu lassen.“

Am Ende hatten Miller und ihr Sohn Henry Glück. Weder US-Sicherheitsbehörden noch radikale Abtreibungsgegner*innen hatten sie an der Reise in die Abtreibungsklinik gehindert. Eines ist jedoch wahrscheinlich: Handy-Standortdaten hätten die Familie verraten können.

In den Standortdaten, die Databroker verkaufen, lassen sich sensible Orte wie Abtreibungskliniken mühelos ins Visier nehmen. Systematisch lässt sich untersuchen, weche Geräte dort ein und ausgehen – und vor allem, welche Geräte aus einem US-Bundesstaat einreisen, der Abtreibungen verbietet.

Erste Warnungen vor verräterischen Datenspuren gab es bereits 2022, kurz nachdem der Oberste Gerichtshof in den USA den Weg zur Kriminalisierung von Abtreibungen in US-Bundesstaaten frei gemacht hatte. In der Folge hatte etwa Google angekündigt, Standortdaten zu löschen, von denen sich Klinikbesuche ableiten lassen. Dass US-Sicherheitsbehörden Handy-Standortdaten tatsächlich bei Databrokern einkaufen, ist spätestens seit 2020 bekannt; jüngst gab auch FBI-Direktor Kash Patel diese Praxis offen zu.

Im Interview sagt Miller: „Es ist schwer greifbar, wenn man sagt: ‚Die haben meine Daten.‘ Was heißt das? Ist doch egal. Aber wenn man versteht, wie bedrohlich solche Daten sein können, dann macht man sich schon Sorgen.“

Mehr als 30 Artikel veröffentlicht

Zu den Databroker Files hat netzpolitik.org inzwischen mehr als 30 Artikel verfasst. Hier sind Lesetipps für Interessierte, die tiefer eintauchen möchten:

Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Anna Biselli. Team Bayerischer Rundfunk: Katharina Brunner, Rebecca Ciesielski, Florian Heinhold, Maximilian Zierer.

Unter bestimmten Voraussetzungen können Angreifer WatchGuard Firebox attackieren. Dabei kann Schadcode auf Systeme gelangen. WatchGuard Dimension und WebBlockerServer sind über eine Linux-Kernel-Lücke angreifbar. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Schadcode-Attacken möglich

Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer eine Sicherheitslücke (CVE-2026-3987 „hoch“) im Fireware OS Web UI von Firebox-Firewalls ausnutzen, um Schadcode im Kontext eines Systemprozesses mit erhöhten Rechten auszuführen. Das klappt aber nur, wenn Angreifer bereits authentifiziert sind.

Davon sind den Entwicklern zufolge Fireware OS 12.6.1 bis einschließlich 12.11.8 und 2025.1 bis einschließlich 2026.1.2 betroffen. Die konkret betroffenen Modelle listet WatchGuard in der Warnmeldung auf. Abhilfe schaffen die Versionen 12.12 und 2026.2.

Root-Lücke

Dimension v2.3 und WebBlockerServer v2.1 laufen auf einer Ubuntu-Version, die von zwei Linux-Kernel-Lücken (CVE-2026-23268 „hoch“, CVE-2026-23269 „hoch“) im Linux Mandatory Access Control (MAC) Framework AppArmor betroffen ist. Der Beschreibung der Schwachstellen zufolge benötigt ein Angreifer Zugriff auf das lokale Dateisystem. Ist das gegeben, kann er sich zum Root-Nutzer hochstufen und so etwa eine DoS-Attacke ausführen. In der Regel erlangen Angreifer als Root auch die volle Kontrolle über erfolgreich attackierte Systeme. Wie eine solche Attacke im Detail ablaufen könnte, ist bislang unklar.

Um den Linux-Kernel für beide WatchGuard-Produkte zu aktualisieren, müssen Admins der Anleitung in einem Supportbeitrag folgen.

(des)

Zwei Sicherheitslücken gefährden HCL BigFix zum Verwalten von Endpoints. Sind Attacken erfolgreich, können Angreifer auf sensible Daten wie kryptografische Schlüssel zugreifen. Sicherheitspatches sind verfügbar.

Verschiedene Gefahren

In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (BigFix Explorer: CVE-2026-21765 „hoch“, BigFix Server: CVE-2026-21767 „mittel“) auf. Die erste Schwachstelle betrifft die Speicherung von kryptografischen Schlüsseln auf Windows-PCs. Der Beschreibung zufolge sind sie „möglicherweise mit zu großzügigen Dateisystemberechtigungen“ versehen. Was das konkret bedeutet, bleibt unklar. Es ist davon auszugehen, dass Angreifer unbefugt auf die Schlüssel zugreifen können.

Die zweite Lücke ist ein Authentifizierungsfehler, durch den Angreifer Zugriff auf „sensible Bereiche der Anwendung“ bekommen können. Die Entwickler versichern, beide Sicherheitsprobleme in BigFix Platform 11.0.6 gelöst zu haben.

(des)