Datenschutz & Sicherheit
Auslegungssache 138: Datenschutz im Domain-System
Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung.
Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Darüber hinaus leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers.
Rechtsanwalt Thomas Rickert beim Podcasten in der Auslegungssache
Rickert schildert in der Episode, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten – vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden.
„Redacted for Privacy“
Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch „Redacted for Privacy“. Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen.
Rickert verteidigt die neue Praxis, die alte sei datenschutzrechtlich nicht haltbar gewesen. Zudem überschätze man den Wert der Registrierungsdaten bei der Bekämpfung von Cyberkriminalität. Über 50 Prozent der Phishing-Fälle liefen über kompromittierte Websites legitimer Betreiber. Wichtiger als der Zugriff auf Inhaberdaten sei die schnelle Reaktion durch Domainsuspendierung.
Es werde (etwas) Licht
Die ICANN arbeitet an Lösungen wie dem Registration Data Request System (RDRS), das Anfragen an die richtigen Stellen weiterleitet. Überdies soll die EU-Richtlinie NIS2 mit ihrem Art. 28 neue Rechtsgrundlagen für die Herausgabe von Domaindaten schaffen. Unternehmensdaten sollen wieder veröffentlicht werden müssen, und berechtigte Anfragen binnen 72 Stunden beantwortet werden.
Die Diskussion zeigt exemplarisch am wichtigen DNS den Konflikt zwischen Datenschutz und berechtigten Transparenzinteressen. Während die einen das „Going Dark“ des Whois-Systems beklagen, sehen andere darin eine überfällige Korrektur datenschutzwidriger Praktiken.
Episode 138:
Hier geht es zu allen bisherigen Folgen:
(hob)
Datenschutz & Sicherheit
Qantas: Erste Details nach Cyber-Vorfall bekannt
In der vergangenen Woche wurde bekannt, dass es einen Cyberangriff auf die australische Fluggesellschaft Qantas gegeben hat. Dabei haben sich Cyberkriminelle Zugang zu Daten von Millionen Qantas-Kunden verschafft. Jetzt hat die Airline erste Zwischenergebnisse der Untersuchung des Vorfalls veröffentlicht.
Auf einer eigens dafür eingerichteten Webseite liefert Qantas einen aktualisierten Status. Demnach hat die Fluggesellschaft Fortschritte bei der forensischen Analyse der Kundendaten auf dem kompromittierten System gemacht. Das Unternehmen bekräftigt, dass weder Kreditkarteninformationen, noch persönliche finanzielle Informationen oder Ausweis-Details auf dem System gespeichert wurden und daher auch nicht zugreifbar waren.
Daten von Qantas-Vielfliegern seien nicht betroffen – Passwörter, PINs und Log-in-Details wurden weder abgegriffen noch kompromittiert. Die Daten, die die Angreifer kompromittiert haben, seien nicht ausreichend, um Zugriff auf die Vielfliger-Accounts zu erlangen. Es gebe zudem keine Hinweise, dass die gestohlenen Daten veröffentlicht wurden. Qantas beobachtet mit der Unterstützung von Cyber-Sicherheitsexperten die Lage weiter.
Große Datenmenge zugreifbar
Nachdem die Analysten die Dubletten entfernt haben, blieben noch 5,7 Millionen Kunden-Datensätze übrig. Einzelne spezielle Datenfelder variieren von Kunde zu Kunde, aber die Daten setzen sich offenbar folgendermaßen zusammen: 4 Millionen Datensätze beschränken sich auf den Namen, die E-Mail-Adresse und Qantas-Vielflieger-Details. Davon bestanden 1,2 Millionen Datensätze lediglich aus Namen und E-Mail-Adresse und bei 2,8 Millionen war auch die Vielflieger-Nummer enthalten; die Tier-Ebene war bei einem Großteil verzeichnet, bei einigen Kunden auch Punktestand und Status-Credits.
Die restlichen 1,7 Millionen Kundendaten bestehen aus einer Kombination von einigen der vorgenannten Datenfelder und zusätzlich noch einem oder mehreren der folgenden Punkte: Adressen (1,3 Millionen), Geburtsdatum (1,1 Millionen), Telefonnummern (900.000), Geschlecht (400.000) sowie Essensvorlieben (von 10.000 Kunden).
Qantas will nun vom Datenleck betroffene Kunden mit E-Mails kontaktieren und sie darüber informieren, welche Daten in dem kompromittierten System über sie abgelegt waren. Die Kunden sollten jedoch aufmerksam bleiben und insbesondere bei E-Mails, Textnachrichten oder Telefonanrufen angeblich von Qantas Vorsicht walten lassen. Das Unternehmen frage Kunden niemals nach Passwörtern oder persönliche und finanzielle Informationen. Die Identität sollten sie dadurch prüfen, dass sie sie auf einer Nummer zurückrufen, die auf offiziellen Qantas-Kanälen angegeben ist. Zudem sollten Betroffene Zwei-Faktor-Authentifizierung etwa für persönliche E-Mail- und Online-Konten aktivieren.
(dmk)
Datenschutz & Sicherheit
EU unterstützt Initiative für Unabhängigkeit von Big Tech
Ob Rechenzentren, Websuche, soziale Medien oder Betriebssysteme – digitale Infrastruktur ist so wichtig für das Funktionieren von Alltag und Demokratie, ähnlich wie Straßen, Brücken oder Stromnetze. Menschen verlassen sich jeden Tag darauf. Doch was ist, wenn die Infrastruktur sich dem Einfluss der Öffentlichkeit entzieht?
Spätestens mit Beginn der zweiten Amtszeit von US-Präsident Donald Trump ist die Frage nach Europas Abhängigkeit in Sachen digitale Infrastruktur drängender denn je. Die Gesellschaft für Informatik spricht gar von der Gefahr eines Killswitchs, wonach Trump die Macht besäße, Big-Tech-Unternehmen wie Microsoft dazu zu bringen, ihren Support für Software in Deutschland einzustellen – und damit ganze Behörden lahmzulegen.
Doch auch, wenn dieses Szenario nicht eintritt, birgt der Einfluss von Tech-Riesen wie Microsoft und Oracle in EU-Staaten wie Deutschland zunehmend Risiken. Gut 96 Prozent der Behörden auf Bundesebene nutzen in Deutschland etwa die Bürosoftware von Microsoft und sind damit auch der Preispolitik des Konzerns ausgeliefert. Zudem sind viele Datenbanken des Bundes auf Software von Oracle angewiesen.
Vier EU-Staaten wollen Kräfte bündeln
Gegen diese Übermacht regt sich Widerstand, etwa in Schleswig-Holstein. Das Bundesland hat mit seiner Open-Source-Strategie Microsoft abgeschworen. Und auch die Region Lyon in Frankreich hat den Wechsel zu Linux gewagt.
Um gemeinsam eine digitale Infrastruktur aufzubauen, die sich von US-Herstellern unabhängig macht, wollen die EU-Mitgliedstaaten Deutschland, die Niederlande, Frankreich und Italien Kräfte bündeln. Diese Woche haben sie das Papier zur Gründung eines neuen europäischen Konsortiums unterschrieben. Es geht um Digitale Infrastrukturen für digitale Gemeingüter, auf Englisch: „European Digital Infrastructure Consortium for Digital Commons“ (DC-EDIC).
Die Initiative wird vom Europäischen Konsortium für digitale Infrastruktur (EDIC) unterstützt und hat zuvor von der EU-Kommission grünes Licht bekommen. Das DC-EDIC finanziert sich aus den Beiträgen der Mitglieder und soll digitale Gemeingüter entwickeln, pflegen und nachhaltig finanzieren. Zudem soll es die Community rund um digitale Gemeingüter zu stärken.
Alternativen zu Microsoft
Konkrete Projekte sind beispielsweise Microsoft-Alternativen wie La Suite Numerique aus Frankreich oder die Kollaborationssoftware openDesk, ein Projekt des öffentlich finanzierten Zentrums für digitale Souveränität (ZenDiS). Das ZenDiS hat die Initiative für das neue DC-EDIC selbst mitangestoßen, zusammen mit der ebenso vom Bund finanzierten Sovereign Tech Agency (STA).
Die gemeinnützige europäische Organisation Open Future setzt sich für digitale Gemeingüter ein und begrüßt die Initiative. Europa mangele es derzeit unter anderem an einer interoperablen Cloud-Infrastruktur, Tools zur Wahrung der Privatsphäre und offenen Protokollen für soziale Netzwerke. Nur auf dieser technologischen Basis könne man „das öffentliche Interesse schützen und Konzentration von Macht verhindern“. Das Konsortium könne künftig eine entscheidende Rolle spielen.
Gemeinsam mit den Partnern wolle man nun das DC-EDIC zügig errichten, heißt es von der STA auf Anfrage. In Deutschland werde die STA diesen Prozess zusammen mit dem Bundesministerium für Digitales und Staatsmodernisierung und dem ZenDiS voranbringen.
Datenschutz & Sicherheit
Kritische Codeschmuggel-Lücke in Wing FTP wird angegriffen
In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung „kritisch“. IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.
Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface „\0“-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig „root“ oder „SYSTEM“ – ausführen. „Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert“, schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko „kritisch„).
Lücke bereits attackiert
Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).
Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.
Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.
(dmk)
-
Online Marketing & SEOvor 4 Wochen
TikTok trackt CO₂ von Ads – und Mitarbeitende intern mit Ratings
-
Apps & Mobile Entwicklungvor 4 Wochen
Metal Gear Solid Δ: Snake Eater: Ein Multiplayer-Modus für Fans von Versteckenspielen
-
UX/UI & Webdesignvor 4 Wochen
Philip Bürli › PAGE online
-
Digital Business & Startupsvor 2 Wochen
80 % günstiger dank KI – Startup vereinfacht Klinikstudien: Pitchdeck hier
-
Social Mediavor 4 Wochen
Aktuelle Trends, Studien und Statistiken
-
Social Mediavor 4 Wochen
LinkedIn Feature-Update 2025: Aktuelle Neuigkeiten
-
Online Marketing & SEOvor 4 Wochen
#WantaFanta: Warum Fanta und Nico Santos der Gen Z Wünsche erfüllen
-
Social Mediavor 4 Wochen
“Wir haben doch nichts zu erzählen…” – 3 Tricks für neue Social Media Content Ideen