Liebe Leser*innen,

mit unseren Veröffentlichungen zu den Databroker Files haben wir einiges angestoßen, und der Stein rollt weiter. Es geht um den meist illegalen Handel mit Handy-Standortdaten der Werbe-Industrie.

In den USA haben Senator*innen und Kongressabgeordnete jüngst das Pentagon befragt, wie dieser Datenhandel US-Soldat*innen gefährdet. Das klingt weit weg – ist aber eine direkte Folge unserer Recherchen. Im November 2024 hatten wir gemeinsam mit dem US-Magazin Wired veröffentlicht, wie Datenhändler NATO und US-Militär bloßstellen.

Anhand von Handy-Ortungen in Deutschland konnten wir genaue Bewegungsprofile von Militär-Angehörigen nachvollziehen. Etwa in Grafenwöhr, dem größten Übungsplatz für das US-Militär in Europa, oder in der Ramstein Air Base, dem Hauptquartier der US Air Force für Europa und Afrika. Die Bewegungsprofile, die wir sahen, führten von Baracken zu Privatadressen, zu Supermärkten und teils bis zu Bordellen.

Nun, da wir eure Aufmerksamkeit haben…

Auf diese Recherche haben sich die US-Senator*innen und Kongressabgeordneten in ihren Fragen direkt bezogen. Und aus der Antwort des US-Kriegsministeriums geht klar hervor: Kommerziell verfügbare Handy-Standortdaten können US-Soldat*innen zur Zielscheibe machen.

Entsprechende Warnungen habe das Zentralkommando bereits an Truppen verschickt. Es ist zuständig für den Nahen Osten, Zentralasien und Teile Südasiens, also auch für jene Soldat*innen, die gerade Angriffe gegen den Iran führen. Zuvor habe man „mehrere Berichte über Bedrohungen erhalten, wonach Gegner kommerzielle Standortdaten ausnutzen, um US-Personal im Einsatzgebiet ins Visier zu nehmen oder zu überwachen“.

Zuerst berichtet hat das die Agentur Reuters, mit Verweis auf die Vorrecherchen von zwei deutschen „news outlets“ – gemeint sind der Bayerische Rundfunk und wir.

Ich erinnere mich noch gut, wie wir 2024 abgewogen hatten, ob wir noch einen extra Artikel zu US-Soldat*innen bringen sollen. Immerhin hatten wir schon berichtet, wie der Datenhandel alle gefährdet – und nationale Sicherheit ist kein Kernthema von netzpolitik.org. Aber wir hatten die Ahnung: Die Perspektive könnte ein Türöffner sein, um Menschen zu erreichen, die sich sonst nicht für Datenschutz und Privatsphäre stark machen, die Massenüberwachung ausweiten statt eindämmen.

Die Reaktionen aus dem Pentagon zeigen: Das hat geklappt. Reuters schreibt: „Gesetzgeber fordern das Pentagon zum Handeln auf und bezeichnen die Adtech-Branche als Bedrohung für die nationale Sicherheit“. Bingo. Möglich ist das jedoch nur, weil unsere Recherchen anschauliche Beispiele liefern, hier etwa für den demokratischen Senator Ron Wyden und sein Team, die seit Jahren mit viel Mühe zu diesem Thema arbeiten.

US-Militär kämpft gegen Werbetracking

Laut Pentagon arbeite man immer noch daran, das Werbetracking auf den Dienstgeräten der Soldat*innen wirksam abzuschalten. Das sei man gerade am Testen…

In meinen Augen zeigt das: Der oftmals zitierte Kontrollverlust rund um Tracking und Datenhandel trifft nicht nur Verbraucher*innen. Selbst eine mächtige Institution wie das US-Militär ringt damit, die gefährliche Spur der angeblich nur zu Werbezwecken erhobenen Daten abzuschütteln. Wie absurd ist das bitte?

Und damit zurück zum Datenschutz: Seit Jahren fordern Fachleute ein Verbot von Tracking und Profilbildung zu Werbezwecken. Das würde allen eine Menge Ärger ersparen. Mich würde es freuen, wenn der Stein, den wir da ins Rollen gebracht haben, eines Tages den unkontrollierten Datenhandel umkegelt. Davon sind wir aber noch sehr weit entfernt. Stattdessen setzen Regierungen, unter anderem in den USA, die Werbedaten selbst zur Überwachung ein.

Databroker Files in Österreich und Spanien

Auch in internationalen Medien ziehen die Databroker Files derweil weiter Kreise. Diese Woche hat der öffentlich-rechtliche Rundfunk in Österreich (ORF) das Thema fürs ZIB Magazin aufbereitet.

Für den spanischen TV-Sender Radiotelevisión Española RTVE wiederum hat mein Kollege Ingo Dachwitz das Geschäft mit unseren Daten erklärt. Die 74-minütige Doku von und mit dem Journalisten Carles Tamayo ist diese Woche erschienen.

Und nächste Woche legen wir nach, wieder zusammen mit unseren Kolleg*innen des Bayerischen Rundfunks. Eine neue Veröffentlichung, eine neue Dimension. Lasst euch überraschen.

Schönes Wochenende und bis die Tage

Sebastian
a German news outlet

„FROST“ haben IT-Forscher einen Angriff auf die Privatsphäre mittels Vermessen von SSD-Zugriffszeiten genannt. Webbrowser können etwa ausforschen, welche Webseiten Nutzer besucht haben.

Die Forscher nutzen dabei hochauflösende Timer, die im Webbrowser heutzutage verfügbar sind, schreiben sie in ihrem Paper. Bei ihrem Seitenkanalangriff schicken sie Dateien über die „Origin Private File System“-API (OPFS) in JavaScript auf eine SSD und lesen diese zurück. Durch die damit erzeugte Last auf dem Laufwerk entstehen Verzögerungen, wenn andere Anwendungen ebenfalls auf die SSD zugreifen. Diese messen die Angreifer und nutzen sie, um Muster zu erkennen. Dafür haben die Forscher eine Möglichkeit gefunden, den Page-Cache des Betriebssystems zu umgehen, was ihnen direkte Messungen der SSD-Zugriffszeiten ermöglicht.

Das passiert alles innerhalb der Browser-Sandbox – ohne Benutzerinteraktion und ohne, dass lokale Programme gestartet werden müssten, direkt aus dem Webbrowser heraus. Die Angriffe haben sie unter Linux und macOS ausgetestet. Ihr verdeckter Kanal leitete unter Linux etwa 660 Bit pro Sekunde und unter macOS 892 Bit pro Sekunde aus. Damit konnten sie unter macOS mit hohen Wahrscheinlichkeiten bestimmen, auf welche Webseiten die User zugegriffen haben (88,95 Prozent), die zugegriffenen Apps sogar mit 95,83 Prozent.

Verfeinerter Angriff

Derartige Angriffe wurden bereits vorher demonstriert, ebenfalls von Forschern der TU Graz wie Daniel Gruss, Fabian Rauscher und Jonas Juffinger, die auch am FROST-Paper mitgewirkt haben. Sie basieren offenbar darauf, dass mehrere Apps gleichzeitig auf SSDs zugreifen, was zu erhöhten Latenzen oder Blockaden bei den Anfragen anderer Prozesse führt. Die Forscher sprechen von auftretenden Konflikten (contention). Unterschiedliche Webseiten und Apps weisen recht spezifische Zugriffsmuster und damit Verzögerungen auf, was eine Art digitalen Fingerabdruck darstellt. Tiefergehende Details dazu finden sich in den Studien der Forscher.

Die IT-Forscher beschreiben als Angriffsszenario, dass Angreifer Opfer dazu bringen, eine bösartige Webseite zu besuchen, die den Angriffscode ausliefert. Der Webbrowser führt den Code ohne spezielle Rechte in der Sandbox aus. Die Angreifer können dadurch Informationen über das Verhalten des Opfers aus dem System auslesen. Das Team unterstellt zudem, dass angesurfte Webseiten einfach offen bleiben, während Opfer etwas anderes erledigen, was durchaus realistisch ist. Dann kann die bösartige Webseite das Timing der SSD bestimmen und somit feststellen, welche Webseiten und Apps geöffnet sind.

Im Rahmen des Responsible Disclosure informierten die Forscher die Browser-Hersteller: Google wertet Fingerprinting-Angriffe generell nicht als Sicherheitslücken, Apple stuft FROST derzeit als außerhalb des eigenen Scopes ein, und Mozilla hat die Befunde zwar anerkannt, aber noch keine Gegenmaßnahmen ergriffen.

(dmk)

Plattformen setzen ihre eigenen Regeln gegen Hassrede, Gewalt und Kriminalität im Netz nur lückenhaft durch. Das geht aus dem zweiten Transparenzbericht des Appeals Centre Europe hervor, der Dubliner Streitbeilegungsstelle, über die man in der EU Moderationsentscheidungen von Social-Media-Plattformen anfechten kann. In 70 Prozent der geprüften Streitfälle, in denen Plattformen gemeldete Hassrede online gelassen hatten, hätte der Inhalt nach Auffassung des Zentrums gelöscht werden müssen. Bei Gewalt und Kriminalität waren es 75 Prozent.

Bei mehr als 1.400 geprüften Hassrede-Entscheidungen widersprach das Appeals Centre Europe am häufigsten TikTok: In 83 Prozent der Fälle, in denen die Plattform gemeldete Hassrede online gelassen hatte, hielt das Zentrum dies für falsch. Es folgen Instagram mit 74 Prozent, Facebook mit 61 Prozent und YouTube mit 58 Prozent. Die strittigen Inhalte richteten sich unter anderem gegen Migrant:innen, religiöse Minderheiten, Rom:nja und queere Menschen.

Das Zentrum erkennt inzwischen wiederkehrende Muster, die auf eine fehlerhafte Umsetzung der Plattformrichtlinien hindeuten – in beide Richtungen. Einerseits bleibt gemeldete Hassrede zu oft online: Ging es um Inhalte, die eine Plattform stehen gelassen hatte, kam das Zentrum in 63 Prozent der geprüften Fälle zu dem Schluss, dass sie hätten entfernt werden müssen. Andererseits löschen die Plattformen Inhalte, die gegen keine Regel verstoßen: Ging es um entfernte Inhalte, entschied das Zentrum in 52 Prozent der Fälle, dass die Löschung nicht hätte erfolgen dürfen. Bezog sich das Entfernen von Inhalten auf eingeschränkte Waren und Dienstleistungen, hielt das Zentrum die Löschung in 65 Prozent der Fälle für unberechtigt.

Der Transparenzbericht nennt auch die Zahl der gemeldeten Fälle. Zwischen April 2025 und März 2026 gingen demnach mehr als 24.000 Beschwerden ein – rechnerisch alle 22 Minuten eine. Nur etwa die Hälfte davon fiel in den Zuständigkeitsbereich der Stelle. Im März 2026 erhielt das Zentrum neunmal so viele zulässige Fälle wie ein Jahr zuvor.

Das Appeals Centre Europe ist eine unabhängige außergerichtliche Streitbeilegungsstelle, die nach Artikel 21 des EU-Gesetzes über digitale Dienste (Digital Services Act, DSA) zertifiziert ist. Über sie können Personen und Organisationen in der EU Entscheidungen von Social-Media-Plattformen anfechten, ohne vor Gericht zu ziehen. Aktuell bearbeitet die Stelle Streitfälle zu Facebook, Instagram, Pinterest, Threads, TikTok und YouTube.

Plattformen rücken strittige Inhalte nicht raus

Inhaltlich prüfen kann das Zentrum eine Beschwerde jedoch nur, wenn die Plattform den strittigen Inhalt auch herausgibt, was meistens nicht geschieht. Von mehr als 10.000 Entscheidungen konnte das Zentrum nur in knapp 3.000 Fällen die Inhalte tatsächlich überprüfen – dort widersprach es der Plattform in 59 Prozent der Fälle. In den übrigen mehr als 7.000 Fällen lieferte die Plattform die Inhalte nicht. In solchen Fällen bekommen Nutzer:innen automatisch recht.

Besonders ausgeprägt ist zudem das Problem mit gesperrten Konten, dem mit Abstand häufigsten Beschwerdetyp. Bis März 2026 gingen dazu mehr als 14.000 Meldungen ein. Auch hier liefern die Plattformen oft gar nicht erst die Inhalte, die eine Überprüfung möglich machen würden. Bei mehr als 4.600 zulässigen Beschwerden über gesperrte Facebook- und Instagram-Konten legte Meta laut Bericht nur in weniger als 100 Fällen die nötigen Inhalte vor. In den wenigen Fällen, die das Zentrum tatsächlich prüfen konnte, gab es den Nutzer:innen jedoch nur in etwa einem Drittel der Fälle recht.

Durchsetzen lassen sich die Entscheidungen des Appeals Centre Europe allerdings nicht. Die Plattformen müssen sich zwar mit ihnen befassen, ihnen aber nicht folgen. Allein bei den mehr als 1.000 Hassrede-Entscheidungen, die zivilgesellschaftliche Organisationen angestoßen hatten, kenne das Zentrum nur eine Handvoll Fälle, in denen eine Plattform die Entscheidung tatsächlich umsetzte. In den übrigen sei sie abgelehnt oder ignoriert worden. Die beanstandeten Inhalte blieben demnach online.