Diese Recherche ist Teil der „Databroker Files“. Hier geht es zu den weiteren Veröffentlichungen.

Wetter Online, eine von Deutschlands populärsten Wetter-Apps, kann nun offenbar den Aufwand bewältigen, Datenschutz-Auskunftsanfragen von Nutzer*innen nachzukommen. Vor mehr als einem Jahr hatten wir Wetter Online eine solche Anfrage gestellt. Anlass waren unsere Recherchen zu den Databroker Files. Sie zeigten, dass Unternehmen offen mit präzisen Standortdaten von Wetter-Online-Nutzer*innen handelten. Wie kann das sein?

Ein Mitglied des Recherche-Teams hatte selbst Wetter Online auf dem Handy und deshalb auf Grundlage der Datenschutzgrundverordnung (DSGVO) eine Auskunftsanfrage gestellt. Welche Daten hatte Wetter Online über ihn erfasst? Die Antwort auf eine solche Anfrage ist Pflicht, das verlangt das Gesetz. Wegen angeblich zu hohem Aufwand wollte Wetter Online dem allerdings zunächst nicht vollständig nachkommen. Nach einer Beschwerde haben wir nun erstmals Daten erhalten.

Die schlechte Nachricht: Die Aussagequalität der ausgehändigten Daten ist begrenzt. Zahlreiche Fragen bleiben offen. Aber eins nach dem anderen.

Zu viel Aufwand?

Auf Artikel 15 der DSGVO können sich alle Nutzer*innen in der EU berufen. Demnach müssen ihnen Datenverarbeiter Informationen darüber bereitstellen, wie sie deren personenbezogene Daten verarbeiten. So können Interessierte erfahren: Was genau wird über mich erhoben? Auf welcher Rechtsgrundlage? An wen werden Daten weitergegeben? Zudem können sie eine vollständige Kopie ihrer Daten anfordern.

Genau das taten wir bereits im Sommer 2024. Wetter Online kam der Anfrage damals jedoch nur teilweise nach. Das Unternehmen teilte zunächst mit, dass lediglich drei Firmen die Daten des betroffenen Redakteurs erhalten hätten. Eine Kopie könne man jedoch nicht herausgeben, weil das zu aufwendig sei. Dabei verwies Wetter Online auf veraltete Regeln im ehemaligen Bundesdatenschutzgesetz.

Wir hatten deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde bei der zuständigen Datenschutzbehörde Nordrhein-Westfalen eingelegt und darüber im Februar 2025 berichtet. Diese Beschwerde hatte zumindest in Teilen Erfolg, denn inzwischen verweigert Wetter Online die Datenkopie nicht mehr mit Blick auf den Aufwand.

Spuren von Wetter Online bei zwei Datenhändlern

Wetter Online spielt eine besondere Rolle bei den Databroker Files, unseren Recherchen mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten. In mehreren Artikeln hatten wir zunächst aufgedeckt, wie Datenhändler vermittelt über eine Berliner Plattform intime Daten von Millionen Menschen verkaufen. Darunter auch genaueste Standortdaten von hochrangigen deutschen Regierungsangestellten, von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdienst.

Dem Rechercheteam liegen inzwischen mehrere Datensätze mit mehreren Milliarden Standortdaten vor, inklusive Werbe-IDs, mit denen sich Handys eindeutig identifizieren lassen. In einem dieser Datensätze sind die Standortdaten zudem mit Hinweisen auf konkrete Apps verknüpft. Zu einigen der Apps konnten wir alarmierend genaue Standortdaten finden. Eine davon ist Wetter Online.

An nur einem Tag in Deutschland wurden zehntausende Nutzer*innen wohl teils auf den Meter genau geortet. Wetter Online taucht auch in einem anderen Datensatz als Quelle für Handy-Standortdaten auf: dem Leak des Datenhändler Gravy Analytics, der im Frühjahr gehackt wurde.

Nach Recherchen: Vor-Ort-Kontrolle bei Wetter Online

Alarmiert durch unsere Berichterstattung schaltete sich die Datenschutzbeauftragte Nordrhein-Westfalen ein und schaute bei Wetter Online persönlich nach dem Rechten.

„Die schnelle Vor-Ort-Kontrolle war hier besonders hilfreich, da das Unternehmen die nicht datenschutzkonforme Handhabung bestritten hatte“, schreibt Behördenchefin Bettina Gayk in einer Pressemitteilung. Der Behörde zufolge konnten die Datenschützer*innen bei ihrem Besuch feststellen, dass tatsächlich genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben wurden. Das habe man stoppen können.

Noch im Februar nahm Wetter Online auch für Nutzer*innen sichtbare Änderungen vor. „Wetter Online hat innerhalb der uns gesetzten Frist reagiert und nun auf Website und Apps einen Einwilligungsbanner gesetzt, der auf die Verarbeitung von GPS-Standortdaten nur für Wetterinformationen hinweist“, erklärte ein Sprecher der Datenschutzaufsicht.

Unklar blieb jedoch, an wen genau die Standortdaten der Wetter-Online-Nutzer*innen geflossen sein könnten. Wetter Online antwortete im Januar und Februar auf wiederholte Presseanfragen nicht. Umso höher waren die Erwartungen an neue Erkenntnisse durch die beantragte Datenauskunft.

Firma hat Reiseroute erfasst

In Reaktion auf die Beschwerde hat uns Wetter Online schließlich eine Tabelle mit rund 150 Zeilen zur Verfügung gestellt. Zu den erfassten Informationen gehört etwa, ob das Handy des Redakteurs mit einem WLAN verbunden war und welche Betriebssystem-Version darauf lief. Die Tabelle enthält auch auf die Sekunde genaue Zeitstempel sowie zahlreiche Ortsnamen und Postleitzahlen.

Mehrfach taucht Berlin auf, wo netzpolitik.org seinen Sitz hat. Einige Orte scheinen falsch erfasst worden zu sein, der Redakteur war dort nicht. Ablesen lässt sich jedoch eine Auslandsreise. Legt man die erfassten Postleitzahlen auf eine Karte, lassen sich Teile der tatsächlichen Reiseroute ungefähr nachvollziehen.

Was die Tabelle allerdings nicht enthält: Präzise Standortdaten, aus denen sich Bewegungen minutiös nachverfolgen lassen. Es gibt keine Hinweise auf die genaue Wohnadresse oder den Arbeitsplatz. Außerdem stehen in der Tabelle lediglich Daten eines einzigen Tracking-Unternehmens: Appsflyer. Zuvor hatte Wetter Online noch mitgeteilt, Daten an drei Tracking-Firmen weitergegeben zu haben. Und in der Datenschutzerklärung werden gar Hunderte Firmen als Werbepartner gelistet. Die Datei enthält zudem zahlreiche leere Felder.

Hat Wetter Online wirklich alle Daten vorgelegt, die erfasst wurden?

Wetter Online: Keine GPS-Daten „verkauft“

Wir haben Wetter Online per Presseanfrage um Erklärung gebeten. Das Unternehmen teilt mit: „Die Auskunft ist auf Sie bezogen vollständig.“ Mehrfach habe man geprüft, ob auch Daten zu den ursprünglich genannten Tracking-Firmen vorliegen. Es konnten jedoch keine gefunden werden, heißt es. Für die leeren Felder in der Datei gebe es technische Gründe; das heißt: Nachträglich entfernt worden sei nichts.

Aus der Antwort geht jedoch hervor, dass Wetter Online durchaus mal mehr Daten erfasst hatte. Diese Daten würden aber nicht mehr vorliegen. „Wir haben bereits vor Ihrem Auskunftsersuchen, basierend auf Regellöschfristen, personenbezogene Daten gelöscht“, erklärt der Sprecher.

Der Wetter-Online-Sprecher äußert sich auch erstmals zur Datenschutzbeauftragten Nordrhein-Westfalen: „Die Untersuchungen laufen noch“, schreibt er. Wetter Online ist es wichtig zu betonen, dass GPS-Daten nicht an Dritte „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, betont der Sprecher. Wie genaue Handy-Standortdaten auch ohne einen direkten Verkauf an Dritte gelangt sein könnten, erklärt der Sprecher nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

In unserem Artikel Im Dschungel der Datenhändler haben wir mehrere Wege beschrieben, wie sensible Daten von Handy-Nutzer*innen zur offenen Handelsware werden können, auch ohne dass App-Betreiber sie selbst verkaufen.

Nutzer*innen haben keine Kontrolle

Die Auskunft von Wetter Online liefert also keine lückenlose Aufklärung – schon allein, weil wir nicht wissen, welche personenbezogenen Daten Wetter Online bereits im Vorfeld durch „Regellöschfristen“ getilgt hat. Der konkrete Fall verdeutlicht ein typisches Problem beim Recht auf Datenauskunft. Betroffene können nicht genau prüfen, welche Daten Unternehmen tatsächlich über sie verarbeitet haben.

Theoretisch könnten Unternehmen also auch nach einer Auskunftsanfrage gezielt Daten löschen, um sie nicht offenlegen zu müssen. Oder ihre Antwort so lange herauszögern, bis sensible Daten durch übliche Löschfristen nicht mehr vorliegen. Betroffene wären nicht in der Lage, das nachzuweisen. Sie müssten dem Unternehmen schlicht vertrauen. Das bedeutet: Für Nutzer*innen ist die mit dem Recht auf Datenauskunft eigentlich intendierte Kontrollfunktion eine Illusion.

Abhilfe schaffen könnten hier nur Datenschutzbehörden. Mit Kontrollen vor Ort könnten sie prüfen, ob Unternehmen die Rechte von Nutzer*innen wirklich umsetzen. Allerdings ist das aufwendig und allenfalls in Einzelfällen realistisch.

So können Interessierte selbst ihre Daten anfragen

Die Hürden bei Auskunftsersuchen sollten Interessierte allerdings nicht davon abhalten, ihre Rechte einzufordern. Selbst eine möglicherweise geschönte Datenauskunft kann aufschlussreich sein.

Wer eine vollständige Datenauskunft nach Artikel 15 DSGVO erhalten will, sollte jedoch etwas Geduld einplanen. Immer wieder versuchen Unternehmen, Betroffene mit Ausreden abzuspeisen. In der Regel haben sie nur vier Wochen Zeit für die Auskunft. Nur in Ausnahmefällen mit besonderem Aufwand darf diese Frist verlängert werden.

Hilfreich ist es, einem Unternehmen möglichst direkt alle Daten zu schicken, die die Auskunft erleichtern. Dazu zählen auch Identifier wie die Mobile Advertising ID, also die einzigartige Werbe-Kennung des eigenen Handys. Wir haben im Fall von Wetter Online etwa konkrete Beispiele für besuchte Orte mitgeschickt, zu denen Standortdaten vorliegen müssten. Auch eine (teils geschwärzte) Kopie des Personalausweises kann in Einzelfällen verlangt werden.

Für Interessierte gibt es mehrere Anlaufstellen, die bei der Formulierung solcher Auskunftsanfragen helfen, etwa die Verbraucherzentralen, die deutsche Initiative datenanfragen.de oder die englischsprachige Initiative datarequests.org.

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu „Apple, Facebook, Google und anderen“ (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel „Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat“, dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

Inhalt der Datenfunde

„Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind“, beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber „es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden“.

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie „moderne Infostealer“ sammeln und ablegen. Die Datenbanken seien namentlich etwa „Logins“ oder „Credentials“, aber auch geografische Zuordnungen wie „Russian Federation“ oder Dienste wie „Telegram“ haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der „Mutter aller Datenlecks“ (MOAB, „Mother of all Breaches“), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Breach, Leak oder schlichtes Einsammeln?

In der Berichterstattung zu derlei Begebenheiten unterliegt die Genauigkeit bisweilen der Sehnsucht nach einer griffigen Überschrift. Titeln englischsprachige Medien von einem „Breach“, ist üblicherweise ein Datenklau durch einen Einbruch direkt bei einem Unternehmen oder Seitenbetreiber gemeint, wie etwa Google oder Apple. Das ist hier offenkundig nicht der Fall – obgleich die Autoren das schlagzeilenträchtig suggerieren. Allenfalls um ein „Leak“ könnte es sich der medialen Schilderung zufolge handeln, also um versehentlich durch Kriminelle öffentlich gemachte Daten.

Die „klare Struktur“ der Daten ist in der Szene ebenfalls üblich und jedem halbwegs seriösen Akteur im Infostealer-Umfeld sattsam bekannt: Es handelt sich um sogenannte „txtbases“, also im Textformat getauschte Zugangsdaten. Üblicherweise verwendet die Szene das Format „Dienst|Benutzername|Passwort„, txtbase-Dateien sind etwa in offen zugänglichen Messenger-Gruppen Gigabyte-weise kostenlos herunterladbar.

Als kurze Fingerübung für den Brückentag haben wir uns an einem bekannten Tauschplatz für derlei Datensätze eingeloggt und knapp 70 Textdateien mit einem Gesamtvolumen von ca. 7 GByte heruntergeladen. Diese enthalten etwa 122 Millionen Einträge, darunter allein 4 Millionen Einträge zu Metas sozialem Netzwerk Facebook. Die Überlappung ist jedoch erheblich: Die Hälfte der Facebook-Kontonamen taucht in unserer Stichprobe zwei- oder mehrfach auf.

Während die heise-security-Redaktion mit Kommandozeilenwerkzeugen wie grep und awk hantiert (und die gewonnenen Daten nicht in einer Leak-Datenbank speichert), geht Zugangsdaten-Experte Troy Hunt wesentlich professioneller zu Werke. Er verarbeitete im vergangenen Februar eine Datenbank aus 23 Milliarden Einträgen und dokumentierte den Prozess minutiös in seinem Blog.

Insgesamt stehen auf der von uns angesteuerten txtbase-Tauschbörse über 10.200 Dateien zum Download bereit, unserer Stichprobe zufolge mit durchschnittlich 1,8 Millionen Zeilen pro Datei. Das bedeutet: Allein in dieser einen Quelle finden sich über 19 Milliarden Zugangsdaten – fast 20 Prozent mehr als im schlagzeilenträchtigen „Mega-Leak“. Und das ohne Darknet-Brimborium und Zahlungen an Cyberkriminelle, sozusagen ohne Leak und doppelten Boden.

Panik erneut unangebracht

Mit diesem Wissen zeigt sich: Panik anhand der „neuen Enthüllung“ ist unangebracht. Cyberkriminelle versuchen wie in der Vergangenheit, alte Datenfunde zu qualifizieren und etwa mittels Credential-Stuffing in Dienste einzubrechen. Internetnutzer müssen weiterhin achtsam bleiben, ob möglicherweise ungewöhnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passwörter ändern. Das Aktivieren von Mehrfaktorauthentifikation oder sogar die Nutzung von Passkeys empfiehlt sich für besseren Schutz.

Infostealer bleiben zudem ein weit verbreitetes Phänomen. Erst kürzlich stießen wir auf Malvertising mit macOS-Tipps, die Malware-Autoren verstecken Schadsoftware jedoch auch in Spiele-Betas und gefälschten Apps. Strafverfolger konzentrieren sich daher in der „Operation Endgame“ auf die Cyberkriminellen, die rund um die Infostealer ein einträgliches Ökosystem betreiben.

(dmk)

Standardmäßig mehr Sicherheit für Microsoft 365: Für die Office-Anwendungen, Entra, SharePoint Online und OneDrive sind künftig viele Legacy-Protokolle ab Werk deaktiviert. Die Änderungen sind Teil der Secure Future Initiative (SFI), bei der Microsoft auf Basis des Secure-by-Default-Prinzips die Standardkonfiguration seiner Dienste anpasst. Betroffen sind explizit alle Microsoft-365-Tenants sowie Administratoren und Nutzer gleichermaßen.

Konkret blockiert M365 künftig den Webbrowser-Zugriff auf SharePoint und OneDrive über das RPS-Protokoll (Relying Party Suite). Es ist anfällig für Brute-Force-Angriffe und kam bislang bei alten Webbrowsern oder Client-Anwendungen zum Einsatz, die ohne moderne Authentifizierungstechnik auf Cloud-Dienste zugreifen mussten.

Außerdem blockiert M365 das FPRPC-Protokoll, über das sich bislang Office-Dokumente öffnen ließen. Der Name FrontPage Remote Procedure Call zeigt: Es stammt vom vor fast 20 Jahren abgekündigten Webdesign-Werkzeug FrontPage ab. Entsprechend veraltet und sicherheitsanfällig ist der Zugriff via FPRPC, es kommt allerdings noch immer wie RPS bei Legacy-Anwendungen und automatisierten Prozessen in Unternehmen zum Einsatz.

Drittentwickler bleiben erst einmal draußen

Schließlich fordert Microsoft künftig von Drittanbieter-Applikationen beim Zugriff auf Dateien und Seiten eine explizite Freigabe durch den Administrator ein. Anwender können standardmäßig also nicht mehr selbst diese Einwilligung erteilen. Verantwortliche können die zugehörigen Rechte granular steuern, indem sie zum Beispiel bestimmte Programme auf einzelne Nutzer oder Gruppen einschränken.

Die Auswirkungen der Änderungen sind zweischneidig: Zum einen erhöhen sie fraglos die Sicherheit der M365-Standardkonfiguration. Allerdings könnten bislang eingesetzte Applikationen ohne händisches Einschreiten der Administratoren von einem Tag zum anderen nicht mehr funktionieren – daher empfiehlt Microsoft, sofort betroffene Anwendungen zu identifizieren. Sollten Drittentwickler-Apps zusammen mit M365 eingesetzt werden, sollten Verantwortliche außerdem einen Workflow für die Freigabe des Zugriffs einrichten.

Zeitraum der Umstellung ist ab Mitte Juli 2025, abgeschlossen soll sie bereits ab August sein. Weitere Informationen zu den Änderungen finden sich Microsoft 365 Message Center unter dem Eintrag MC1097272.

Windows 365: Praktisches Feature deaktiviert

Gleichzeitig führt Microsoft neue Security-Einstellungen für seine Cloud-PCs Windows 365 ein: Standardmäßig ist die Verknüpfung der Zwischenablage, Speichers, von USB-Geräten und des Druckers zwischen Cloud-Systemen und dem lokalen Rechner künftig deaktiviert. Betroffen sind ausschließlich neu eingerichtete Cloud-PCs, das praktische Feature lässt sich nachträglich aktivieren.

Wer Windows 365 mit einem Windows 11 Gallery Image einrichtet, aktiviert auf dem neuen System künftig standardmäßig VBS, Credential Guard und HVCI. Details zu den Security-Updates für die Cloud-PCs finden sich in der Tech Community. Einführen will Microsoft die neuen Windows-365-Defaults in der zweiten Jahreshälfte 2025.

(fo)