Am Freitag vergangener Woche hat die französische Polizei zwei verdächtige Crew-Mitglieder auf einer Personenfähre festgenommen. Die Verdächtigen sollen versucht haben, sich unbefugt Zugang zu den Datenverarbeitungssystemen des Schiffs zu verschaffen.

Das berichtet die Nachrichtenagentur AP und führt aus, dass es sich bei den Verdächtigen um einen Letten und einen Bulgaren handelt. Die französische Spionageabwehrbehörde untersucht den mutmaßlichen Cyberangriff, der auf einer namentlich nicht genannten internationalen Passagierfähre stattfand. Das lettische Besatzungsmitglied ist demnach in Haft und wird beschuldigt, für eine nicht identifizierte ausländische Macht gehandelt zu haben. Dem in Haft genommenen Lette werfen die Behörden kriminelle Verschwörung vor sowie „Hacking“-bezogene Straftaten mit dem Ziel, den Interessen einer ungenannten ausländischen Macht zu dienen.

Hinweise weisen nach Russland

Frankreichs Innenminister Laurent Nunez deutete jedoch an, dass Russland im Verdacht stehe und äußerte demnach: „Derzeit stammt ausländische Einmischung sehr oft aus demselben Land.“ Das passt zu den Beobachtungen der europäischen Verbündeten der Ukraine, dass Russland einen hybriden Krieg gegen sie führt und dafür zu Mitteln wie Sabotage, Cyberangriffe, Desinformation und anderen feindlichen Machenschaften greift.

Italienische Behörden haben Frankreichs Generaldirektion für innere Sicherheit den Hinweis geliefert, dass Computersysteme an Bord der Fähre im Hafen von Sète mit einer Software infiziert seien, die manchmal von Cyberkriminellen genutzt werde, hat dem Bericht zufolge die Pariser Staatsanwaltschaft mitgeteilt. Ein Remote Access Trojan (RAT) könnte genutzt worden sein, um die Kontrolle über die Rechner der Fähre zu übernehmen. Innenminister Nunez erklärte, dass es sich um eine sehr ernste Angelegenheit handelt. Man wisse nicht, ob die Verdächtigen die Fähre entführen wollten. Dem fügte er hinzu, dass die Untersuchungen einer Spur der Einmischung zu folgen scheinen, und zwar ausländischer Einmischung.

In Lettland kam es demnach zu Durchsuchungen, jedoch hat die lettische Polizei keinen Kommentar abgegeben. Die Computer der Fähre wurden auf Sicherheit überprüft und die Fähre wieder in Dienst gestellt.

(dmk)

Spendenfinanzierte Projekte müssen sich zurecht fragen lassen, wie sie wirken und was sie verändern. Löst mein Geld ordentlich was aus? Tut sich was politisch? Hilft meine Unterstützung dabei, eine Veränderung herbeizuführen?

Wir können nackte Zahlen wie die Anzahl der Texte anschauen oder zählen, wie oft wir zitiert werden. Wir können erfassen, wie viele Klicks ein Artikel ungefähr bekommt. Das sind alles spannende Kennzahlen, aber Erfolg und Wirksamkeit von gemeinwohlorientiertem Journalismus lassen sich nicht nur an der blanken Reichweite messen. Auch wenn wir uns über die etwa eine Million Leser:innen pro Woche sehr freuen.

Reichweite ist nur ein Aspekt

Denn manchmal ist nicht die Masse wichtig, sondern dass ein Text bei Personen etwas auslöst. Und bei einem anderen Mal ist der eigentliche Erfolg, dass initiale Berichterstattung über ein viel zu wenig beachtetes Thema einen breiten medialen und überregionalen Widerhall auslöst. Manchmal ist etwas durch langen Atem und Kontinuität wirksam, weil wir ein Fundament an Wissen über ein komplexes Thema schaffen, auf das andere dann zurückgreifen können. Manchmal macht die mit viel Aufwand entstandene Recherche endlich etwas sichtbar. Und wieder ein anderes Mal gibt es einfach einen Überraschungskracher, der etwas in Bewegung bringt.

Weil es also sehr viele Aspekte von Wirksamkeit gibt, haben wir gemeinsam überlegt, welche Berichterstattung im zurückliegenden Jahr wie gewirkt hat und was das Besondere daran war. So ist eine Sammlung entstanden, die längst nicht vollständig ist, aber viele verschiedene Aspekte von Wirkung abdeckt. Die Vielfalt hat uns selbst verblüfft und wir haben uns gefreut: Wow, da geht was! Da passiert was – und zusammen mit den Leser:innen lässt sich etwas bewegen. Das ist wichtig, damit wir in Zeiten des Rechtsrucks und der autoritären Bedrohung nicht die Kraft verlieren. Auch dafür stehen die folgenden Beispiele.

Ein Etappensieg bei der Chatkontrolle

Schlimmster Giftzahn gezogen, aber weiterhin gefährlich

Eines der großen Themen 2025 war die Chatkontrolle. Bei keinem anderen Thema haben wir so engmaschig und so viel berichtet. In den etwa vier Jahren seit Start haben wir mehr als 300 Artikel zum Thema veröffentlicht. Kein anderes Medium auf der Welt berichtete so früh und so ausführlich über diese neue Form der anlasslosen Massenüberwachung.

Mit unserer kontinuierlichen Berichterstattung haben wir dazu beigetragen, dass die Chatkontrolle für eine breitere Öffentlichkeit bekannt wurde. Wir haben nicht nur investigativ zur Lobbynähe der Kommission recherchiert, sondern auch die vielfältigen Aktivitäten von Wissenschaft und Zivilgesellschaft abgebildet und sie hörbar gemacht.

Wir haben in Erklärbär-Artikeln die wichtigen Punkte erklärt und in besorgten Kommentaren die fatalen Auswirkungen der Pläne skizziert. Wir waren mit Kinderschutzorganisationen im Austausch und haben nachgefragt, was es braucht für echten Kinderschutz.

Durch unsere Leaks aus den Ratssitzungen waren immer alle Interessierten auf dem aktuellen Stand der Verhandlungen – nicht nur die Regierungen der EU-Länder. Letztlich war unsere Berichterstattung ein Baustein dafür, dass die verpflichtende Chatkontrolle vorerst vom Tisch ist. Darauf sind wir schon ein bisschen stolz, sehen aber, dass der Etappensieg auf ein Zusammenspiel sehr vieler unterschiedlicher Akteur:innen zurückgeht.

Die Databroker Files

Neuer Datensatz enthüllt 40.000 Apps hinter Standort-Tracking

Unsere größte Recherche-Reihe bildeten im Jahr 2025 die Databroker Files. Dabei geht es um die uferlose Datenweitergabe bei der Nutzung von Apps – und was man aus diesen Daten alles herauslesen kann. Im Januar berichteten wir mit internationalen Partnermedien wie WIRED und LeMonde über mehr als 40.000 Apps, die in das Geschäft mit unseren Standortdaten verwickelt sind.

Darunter: WetterOnline, eine von Deutschlands populärsten Apps, hatte mutmaßlich genaue Standortdaten von Nutzer:innen an Dritte weitergegeben. Schon im Februar konnten wir über einen kleinen Erfolg berichten: Nach einer Intervention der Datenschutzbehörde NRW wollte WetterOnline die Praxis abstellen. Wie sich später herausstellte, hatte die Datenschutzbehörde dem Unternehmen hinter der App sogar einen Besuch vor Ort abgestattet und dabei datenschutzwidriges Verhalten festgestellt. Es ist eine erste sichtbare Konsequenz unserer global wahrgenommenen Recherche.

Inzwischen dienen die Databroker Files als Paradebeispiel dafür, warum der Datenschutz in der EU nicht durch den Digitalen Omnibus geschleift werden soll. Die Recherchen schreckten in der Politik auch solche auf, die eigentlich nicht für ihr Interesse am Datenschutz bekannt sind. Allerdings kommt erschwerend hinzu, dass viele Medien aufgrund der eigenen Verwicklungen ins Werbe-Tracking nicht so gerne über das Thema berichten. Umso wichtiger ist es, dass wir weiter den Finger in die Wunde legen.

Ein Erfolg gegen willkürliche Netzsperren

Für Netzsperren braucht es jetzt einen Gerichtsentscheid

Ein anderes Thema, bei dem unsere Berichterstattung etwas bewegt hat, ist CUII. Wenn in Deutschland Websites wegen Urheberrechtsverletzungen gesperrt werden, steckt meist sie dahinter. Hinter den vier Buchstaben verbirgt sich eine Vereinigung von Rechteinhabern und Internetanbietern. Die hat bislang freihändig entschieden, welche Seiten sie sperren lässt. Und dabei zahlreiche Fehler gemacht, zum Beispiel Seiten blockiert, die längst nicht mehr verfügbar waren, oder Seiten gesperrt gelassen, obwohl dort schon lange keine Urheberrechtsverletzungen mehr begangen werden.

Die 18-jährige Lina hat – medial begleitet durch uns – vielfach auf diese Missstände hingewiesen. Nun hat die Bundesnetzagentur, die die CUII beaufsichtigt, diese dazu angehalten, künftig nur noch dann Seiten zu sperren, wenn es dazu einen Gerichtsbeschluss gibt. Das ist ein großer Erfolg gegen willkürliche Netzsperren.

Das Bargeld entmystifiziert

Du hast Überwachungsinstrumente im Portemonnaie

Wirksamkeit ist nicht nur, wenn sich etwas politisch ändert. Veränderung fängt in den Köpfen an. So war es im Fall der Bargeld-Story.

Bargeld ist gar nicht so anonym, wie man denkt. Denn Sicherheitsbehörden und auch privatwirtschaftliche Institutionen verfolgen den Weg, den Geldscheine so nehmen, ziemlich genau. Wir haben diese Form der Überwachung als erstes deutsches Medium aufgedeckt. Dutzende andere Medien haben unsere Recherche übernommen und das Bargeld-Tracking ebenfalls thematisiert. Die Geschichte hat aufgeräumt mit dem Mythos, dass Bargeld anonym sei.

Heimliche Spionage-Apps auf den Tisch gepackt

Politiker*innen fordern, heimliche Smartphone-Überwachung zu verbieten

Das Thema private Stalking-Apps begleiten wir seit Jahren. Eines der Beispiele für so eine App ist mSpy. Mit der Spionage-App mSpy überwachen Menschen in Deutschland auch ihre (Ex-)Partner:innen, selbst wenn der Dienst als Kinderüberwachungsmethode vermarktet wird. Das ist nicht nur übergriffig, sondern illegal. Dennoch hilft der Kundenservice der App den Täter*innen beim Bespitzeln.

Wir haben eine ganze Serie von Texten zum Thema geschrieben und unter anderen herausgefunden, dass auch deutsche Medien vom Geschäft mit dem Stalking-Angebot profitieren. Einige Politiker*innen haben daraufhin ein Verbot von Apps gefordert, die Telefone heimlich tracken. Selbst in den Koalitionsvertrag der neuen Bundesregierung hat es das Thema geschafft. Wir werden auch im nächsten Jahr genau hinschauen, ob das umgesetzt wird.

Am Ende Konsequenzen für eine Berliner Datenschleuder

Datenschutzbehörde findet Verstöße bei Berliner Werbefirma

Manchmal ist die Wirkung von Artikeln erst Jahre später zu spüren. Noch vor den Databroker Files haben wir 2023 einen anderen Bereich der Online-Tracking-Industrie ausgeleuchtet: Wir hatten damals über die mehr als 650.000 Kategorien geschrieben, in die die Online-Werbeindustrie alle Menschen einsortiert. Dabei haben wir auch das datenschutzwidrige Geschäft des Werbe- und Datenunternehmens Adsquare aus Berlin aufgedeckt.

Bis vor kurzem hätten wir hier noch „mutmaßlich datenschutzwidrig“ schreiben müssen, doch die Rechtsverstöße sind inzwischen offiziell durch die Berliner Datenschutzbehörde festgestellt. Sie hatte dem Unternehmen nach unserer Berichterstattung einen Besuch vor Ort abgestattet.

Wie bringen Themen, die andere nicht bringen

Bis zur Ausreise verwahrt

Wirksamkeit heißt auch, wenn vernachlässigte Themen, in denen marginalisierte Gruppen betroffen sind, ans Licht der Öffentlichkeit gezerrt werden. Ein solches Thema ist die Überwachung „ausreisepflichtiger Personen“ in Deutschland. Dieses Thema begleitet uns seit Jahren, über diverse Bundesregierungen hinweg: Ausländerbehörden in Deutschland dürfen die „Datenträger“ von ausreisepflichtigen Personen durchsuchen, um diese abschieben zu können.

Das Grundrecht auf Privatsphäre ist für diese Menschen quasi aufgehoben. Neuerdings dürfen die Behörden die Smartphones oder Laptops nicht nur einziehen, sondern auch bis zur Ausreise verwahren. Was das für das eigene Leben bedeutet, wenn die Behörde plötzlich das zentrale Kommunikationsmittel wegnimmt und wie fassungslos es die Betroffenen zurücklässt, das konnten wir anhand der Geschichte von Makta aus Köln zeigen – die auch bei vielen Leser*innen für Fassungslosigkeit gesorgt hat. Sichtbarkeit ist ein Schlüssel zu politischer Veränderung.

Lokale Skandale überregional sichtbar machen

Stadt Kenzingen zieht Rechnung für Demonstration zurück

Im Juli meldete sich ein Familienvater aus Kenzingen bei uns. Er hatte in der südbadischen Kleinstadt eine Demo gegen die Erhöhung der Kinderbetreuungskosten organisiert und sollte plötzlich Geld zahlen für die Absperrung der Versammlung. In den Augen des Mannes und von Bürgerrechtler:innen ein Präzedenzfall und ein skandalöser Angriff auf die Versammlungsfreiheit.

Nach unserem Bericht bekam der Fall auch überregionale Bedeutung. Er wurde von anderen Medien aufgegriffen und schaffte es bis auf tagesschau.de. Der Bürgermeister der Kleinstadt zog die Rechnung für die Demo schließlich zurück. In Zukunft dürften es sich andere Ämter zweimal überlegen, ob sie die Gebühren für die Ausübung von Grundrechten verlangen.

Mit Leaks Klarheit schaffen

EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen

Der Schock zum Jahresende: Im November verdichteten sich die Gerüchte aus Brüssel, dass die EU-Kommission die Datenschutzgrundverordnung schleifen und Teile der KI-Verordnungs-Fristen verschieben will. Vor allem Ersteres kam für viele überraschend, noch kurz zuvor hatte die EU-Kommission den Eindruck vermittelt, eine mögliche Reform der DSGVO frühestens 2026 angehen zu wollen.

Doch schon wenige Tage später konnten wir Dokumente veröffentlichen, die schwarz auf weiß belegten: Die Kommission will Europas hart erkämpfte Digitalregulierung schleifen. Unsere Veröffentlichung hat europaweit Welle gemacht und eine frühzeitige kritische Debatte ermöglicht.

Dranbleiben, wenn andere nicht mehr berichten

Asylbehörde liest kaum noch Datenträger aus

Seit 2018 hat das Bundesamt für Migration und Flüchtlinge (BAMF) jede Menge Datenträger von Geflüchteten ausgelesen und ausgewertet. Wir haben seit Beginn der Praxis zu dem extrem tiefen Grundrechtseingriff recherchiert und berichtet. Das Vorgehen ist invasiv, teuer und ziemlich nutzlos.

Plötzlich, in der Antwort auf eine Kleine Anfrage dieses Jahr, hieß es, das BAMF habe die „ressourcenintensive Auswertung“ ausgesetzt. Die genauen Hintergründe kennen wir noch nicht. Aber es hat uns gezeigt, dass es sich lohnt, ein Thema nicht aus den Augen zu verlieren – auch wenn das mediale Interesse längst abgeebbt ist.

Gesamtgesellschaftliche Entwicklungen im Regionalen erkennen

Polizei überprüft 1.600 psychisch erkrankte Menschen

Manchmal gibt es Themen, die scheinen vor allem für eine bestimmte Region relevant zu sein. Aber tatsächlich sind sie Vorboten einer bundesweiten Entwicklung und Gradmesser gesellschaftlicher Diskussionen. Auch deshalb berichten wir immer wieder über Entwicklungen, die in bestimmten Bundesländern stattfinden. Ein Beispiel dafür ist der Umgang mit psychisch erkrankten Menschen in Hessen, ein Thema, bei dem man nicht zuerst an Daten und Digitales denkt.

Wir haben aufgedeckt, wie dort die Polizei strukturiert 1.600 Menschen überprüft hat, deren Daten bereits in polizeilichen Datenbanken gespeichert waren. Und wir haben begleitet, wie dort das Psychisch-Kranken-Hilfegesetz hin zu mehr polizeilicher Datenerfassung gedreht wird. Dabei haben wir auch mit Menschen gesprochen, die das betrifft. Denn sie bekommen oft viel zu wenig Aufmerksamkeit.

Vom Hinweis bis zur Offline-Schaltung

EU fördert weiter Start-up hinter Passdaten-Leak

Auf dem belgischen Datenmarktplatz „Databroker“ standen Listen mit den Namen, Geburtsdaten und Passnummern von tausenden Menschen über Monate offen im Netz. Wir hatten nach einem Leser-Hinweis über das Datenleck berichtet, allerdings ohne den Namen der Plattform oder des verantwortlichen Unternehmens zu nennen. Denn das hat die Daten trotz all unserer Bemühungen nicht offline genommen und wir wollten nicht die Betroffenen noch mehr Aufmerksamkeit aussetzen.

Wenige Tage vor unserer Veröffentlichung war dann plötzlich der ganze Marktplatz aus dem Netz verschwunden – kurz nachdem wir das Unternehmen mit Fragen konfrontiert hatten. Und wir konnten endlich über das Blockchain-Startup hinter „Databroker“ berichten, das nicht nur einen Haufen Wagniskapital mit einem eigenen Crypto-Token für das Projekt einsammelten, sondern skurrilerweise weiterhin von der EU gefördert und ausgezeichnet wurde.

Menschenverachtung benennen

Oh, wie schön ist Abschiebung

Am Anfang der Berichterstattung stand ein Bluesky-Post des Hessischen Flüchtlingsrates. Die europäische Grenzbehörde Frontex hatte schon längere Zeit zuvor eine Broschüre für Kinder erstellt, die abgeschoben werden sollen. Und diese Broschüre stellte sich als perfides Machwerk heraus.

Nach unserer Berichterstattung zog das Thema weite Kreise – deutlich über die netzpolitische Öffentlichkeit hinaus. Wir bekamen Rückmeldungen aus der Kirche und von Leuten, die den Text empört in Chatgruppen geteilt bekommen hatten. Der Bericht löste zahlreiche weitere Meldungen in großen Medien aus. In der Folge gab es Stellungnahmen aus der Zivilgesellschaft und eine Anfrage im Europaparlament.

Viele verschiedene Wirksamkeiten

Was wir über die mysteriöse Waffe wissen, die in Belgrad gegen friedliche Proteste eingesetzt wurde

Es noch viele weitere Beispiele, wie Artikel von netzpolitik.org wirken. Sei es, dass unsere Anleitung für Datenschutz gegen Metas KI von mehr als 100.000 Menschen gelesen wird oder mehr als eine halbe Million Menschen Details über die elektronische Patientenakte erfahren, die woanders vielleicht nicht so kritisch beleuchtet werden.

Weil wir das 1000-seitige Verfassungsschutzgutachten zur AfD veröffentlicht haben, können Medien, Wissenschaft und Zivilgesellschaft die gesammelten Beweise selbst auswerten und für ihre Arbeit benutzen.

Wenn wir recherchieren, dann geraten Presseabteilungen ins Schwitzen und Behörden versuchen zu mauern. Wenn wir schreiben, dann löst das Stress beim Palantir-Konzern aus, der nach unseren Informationen unsere umfangreiche Berichterstattung zum Thema genau beobachtet.

Artikel und Recherchen von netzpolitik.org tragen dazu bei, dass das immer autoritärere serbische Regime international ins Scheinwerferlicht gerät, wenn es eine mysteriöse Schallwaffe gegen die für Demokratie protestierende Bevölkerung einsetzt. Öffentlichkeit, Fakten und Aufklärung sind unsere Werkzeuge zur Verteidigung der offenen und freien Gesellschaft.

Das sind nur ein paar Beispiele dafür, wie spendenfinanzierter und gemeinwohlorientierter Journalismus real etwas in Bewegung setzt.

Diese Wirksamkeit ist nur möglich, weil wir eine Leser:innenschaft und Spender:innen haben, die uns vertrauen und in den Schutz von Grund- und Freiheitsrechten investieren: Monat für Monat, Jahr für Jahr oder vielleicht einfach einmalig rund um Weihnachten.

KI- und Robotikentwickler, die mit Nvidia-Software arbeiten, sollten zeitnah die verfügbaren Sicherheitspatches für Isaac Lab, NeMo Framework und Resiliency Extension installieren. Andernfalls können Angreifer an mehreren Schwachstellen ansetzen, um Systeme zu kompromittieren. Bislang gibt es noch keine Hinweise auf laufende Attacken. Gleichwohl sollten Admins die Updates zeitnah installieren, um Angreifern die Angriffsfläche zu nehmen.

Diverse Sicherheitslücken geschlossen

Wie aus einer Warnmeldung hervorgeht, gilt eine „kritische“ Schwachstelle (CVE-2025-32210) im Robotik-Framework Isaac Lab am gefährlichsten. Weil in diesem Kontext nicht vertrauenswürdige Daten verarbeitet werden, kommt es zu Fehlern. Dabei kann Schadcode auf Systeme gelangen und diese kompromittieren.

Davon sind den Entwicklern zufolge alle Plattformen betroffen. Isaac Sim v2.3.0 ist gegen die geschilderte Attacke geschützt. Alle vorigen Ausgaben seien bedroht. Ob es bereits Attacken gibt und wie Angriffe im Detail ablaufen könnten, ist bislang unklar.

NeMo Framework und Resiliency Extension zum Trainieren von KI-Modellen sind jeweils über zwei Sicherheitslücken angreifbar. Setzen Angreifer erfolgreich an den Schwachstellen (CVE2-205-33212 „hoch“, CVE-2025-33226 „hoch“) in NeMo Framework an, können sie Dienste abstürzen lassen, sich höhere Rechte verschaffen oder sogar eigenen Code ausführen. Abhilfe schafft die Version 2.5.3.

In einem Beitrag führen die Entwickler aus, dass Resiliency Extension ausschließlich unter Linux attackierbar ist (CVE-2025-33225 „hoch“, CVE-2025-33235 „hoch“). An diesen Stellen kann es unter anderem zu DoS-Zuständen und damit zu Abstürzen kommen. Dagegen soll die Ausgabe 0.5.0 gerüstet sein.

(des)