Donald Trumps Abschiebemiliz ICE tut es, ungarische Behörden unter Viktor Orbán taten es und jetzt steht fest: Auch deutsche Polizeien haben Daten aus dem Ökosystem der Online-Werbung für heimliche Überwachung genutzt. Vermutet worden war das schon länger, dank unserer neuen IFG-Recherche mit dem Bayerischen Rundfunk haben wir es erstmals Schwarz auf Weiß: Mindestens in Brandenburg und Mecklenburg-Vorpommern ist es passiert.

Zu den polizeilich genutzten Datensätzen aus der digitalen Werbeindustrie können unter anderem metergenaue Standortdaten von Handys gehören. Sie werden von Tracking-Firmen aus beliebten Apps ohne Wissen der Nutzer:innen abgesaugt und von windigen Databrokern an potenziell alle verkauft, die danach fragen.

Zahlreiche Recherchen zeigen: Dass solche Daten frei verfügbar sind, ist eine Gefahr, etwa für bedrohte Journalist:innen oder queere Menschen, für die nationale Sicherheit oder die der EU. In den USA gibt es Hinweise, dass Standortdaten der Werbeindustrie US-Soldat:innen zur Zielscheibe gemacht haben.

Hinzu kommt, dass die Daten, nach allem, was wir wissen, überwiegend illegal fließen. Von der Erhebung über den Handel bis zur Verwendung dürfte jedes Glied dieser Datenlieferkette gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Die Landeskriminalämter von Brandenburg und Mecklenburg-Vorpommern müssen sich den Vorwurf gefallen lassen, dass sie auf einem Daten-Schwarzmarkt mitgemischt haben. Ob und wie viel Geld geflossen ist, verraten sie nicht.

Wo ein Trog ist, da sammeln sich Schweine

Überhaupt mauern deutsche Behörden bei diesem Thema, wo es nur geht. Nutzt die Polizei wirklich nur in zwei Bundesländern Werbedaten? Neun LKAs verweigerten die Auskunft gleich ganz – unter Verweis auf den Schutz der Polizeiarbeit. Der Verdacht liegt nahe, dass sie etwas zu verbergen haben.

Während US-Behörden ihre Geschäftsbeziehungen zu kommerziellen Datenfirmen wie selbstverständlich offenlegen, können wir hierzulande nicht mal eine Debatte darüber führen, ob und unter welchen Umständen werbebasierte Überwachung zu unserem Verständnis vom Rechtsstaat passt. Auch die Bundesregierung verweigerte dem Parlament im Dezember Informationen zu dem Thema, selbst in eingestufter Form.

Dabei ist der Missbrauch von angeblich nur für Werbezwecke erhobenen Daten durch Polizeibehörden und Geheimdienste nur die neuste Stufe einer längeren Entwicklung: Die vermeintlich harmlose Welt der kommerziellen Datensammlung verschmilzt mit staatlicher Überwachung.

Bereits die Snowden-Leaks hatten gezeigt, dass US-Geheimdienste in großem Stil auf Daten zugreifen, die etwa bei kommerziellen E‑Mail-Anbietern wie Google oder Yahoo anfallen. Heute können staatliche Stellen auf ein wachsendes Netz privater Überwachungskameras zugreifen, mit KI-Gesichtserkennung Menschen auf Fotos in Sozialen Netzwerken aufspüren und mit Hilfe privater Anbieter wie Palantir Verdächtige aus riesigen Datenmengen generieren.

Und jetzt also ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung. Eigentlich keine Überraschung: Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Es war nur eine Frage der Zeit, bis sich daran auch andere gütlich tun. Wer sich schon länger mit den Begehrlichkeiten von einmal erhobenen Daten beschäftigt, kennt den Spruch: Wo ein Trog ist, sammeln sich Schweine.

Datensparsamkeit nur bei Medienanfragen

Dass deutsche Polizeibehörden darüber lieber nicht sprechen, hat wohl einen Grund: Nach Einschätzung von Jurist:innen fehlt ihnen eine rechtliche Grundlage, um kommerziell erhobene Daten aus der Werbeindustrie zu nutzen. Auf Generalklauseln können sie sich jedenfalls nicht stützen, sagen Datenschutzbehörden.

Das Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat stellt die Wirksamkeit unseres Rechtsstaats auf die Probe. Wenn sie beispielsweise Menschen mit Funkzellenabfragen orten wollen, brauchen Polizeibehörden dafür eine richterliche Genehmigung. Diesen Umweg, der den Schutz von Grundrechten sicherstellen und Überwachungsexzesse verhindern soll, will sich die Polizei offenbar gerne sparen.

Deshalb müssen wir jetzt nicht nur auf Transparenz und eine politische Debatte drängen, sondern auch auf strenge Regeln. Im besten Fall verbieten wir Behörden die Nutzung von illegal erhobenen Werbedaten.

Man muss sich das vor Augen halten: In den USA jagt ICE Menschen, vermutlich auch mit Hilfe von Werbedaten. Die Regierung von Viktor Orbán könnte sie gegen Oppositionelle genutzt haben. Expert:innen warnen davor, dass feindliche Geheimdienste und Militärs sie gegen die EU einsetzen könnten. Und deutsche Landeskriminalämter – machen einfach auch mit. Hallo, geht’s noch?

Wir brauchen keine Polizeibehörden, die nur bei ihren Antworten auf Presseanfragen Datensparsamkeit praktizieren, aber bei neuartigen Überwachungsmethoden aus dem Vollen schöpfen wollen. Der Staat sollte uns vor Tracking-Firmen und Datenhändlern schützen, nicht mit ihnen Geschäfte machen.

Angreifer nutzen eine kritische Sicherheitslücke im Netlogon-Code von Windows Server aus, um in Netzwerke einzubrechen. Das meldet die belgische Cybersicherheitsbehörde CCB. Zur Attacke genügt offenbar ein manipuliertes Paket an den Domain Controller. Systemverwalter sollten schnellstmöglich prüfen, ob die im Mai durch Microsoft bereitgestellten Patches auf ihren Systemen installiert sind.

Bei der Sicherheitslücke mit der CVE-Kennung CVE-2026-41089 handelt es sich um einen Pufferüberlauf auf dem Stack, der mit einem präparierten Paket an den Domain-Controller ausgenutzt werden kann. Einem auf GitHub kursierenden angeblichen Proof-of-Concept-Exploit (PoC) zufolge steckt der Überlauf im Benutzernamen-Parameter eines über UDP versandten LDAP-Pakets (CLDAP Locator Ping). Obwohl der PoC lediglich einen Absturz des LSASS-Dienstes verursacht, ist die Einschleusung von Schadcode der Microsoft-Einschätzung zufolge ebenfalls möglich. Das erklärt auch den hohen CVSS-Punktwert von 9.8 (Einstufung kritisch).

Schnell patchen und Eindringlinge suchen

Die Sicherheitslücke betrifft alle aktuell gepflegten Versionen von Windows Server inklusive der neuesten Ausgabe, Windows Server 2025. Microsoft hat bereits am 12. Mai Patches bereitgestellt – wer diese noch nicht eingepflegt hat, sollte das schleunigst nachholen. Und prüfen, ob bereits unerwünschter Besuch auf dem ungepatchten Server unterwegs war. Dem PoC-Autoren zufolge können sie dazu in den Systemprotokollen nach CLDAP-Anfragen mit einem ungewöhnlich langen „User“-Attribut oder nach LSASS-Abstürzen mit Event-ID 1000 (netlogon.dll) suchen.

Sicherheitslücken in Microsoft-Produkten und deren Behandlung durch den Redmonder Softwareriesen sind derzeit Gegenstand hitziger Debatten in der IT-Sicherheitsszene. Die entzünden sich vor allem an Microsofts Umgang mit dem anonymen Sicherheitsforscher, der als „Chaotic Eclipse“ auftritt.

(cku)

Die Bildungsministerkonferenz wird keine wirklichen und zählbaren Maßnahmen ergreifen, um die Medienkompetenz von Kindern in Sachen Social Media in der Schule zu stärken. Das geht aus einem Bericht des Tagesspiegel Background (€) hervor, dem der Entwurf der „Erklärung der Bildungsministerkonferenz“ vorliegt. Demnach ist eine konsequente Ausweitung der Medienbildung an Schulen darin kein Schwerpunkt.

Laut dem Bericht sehen die Kultusminister vor allem die Eltern für die Medienkompetenz ihrer Kinder verantwortlich. „Die verfassungsrechtlich verankerten Erziehungspflichten und ‑rechte der Eltern stehen in diesem Feld im Vordergrund“, zitiert Background aus dem Bericht. Als Argument führen die Minister:innen an, dass die problematische Mediennutzung ja „überwiegend außerhalb der Schule“ stattfinde.

Zwar würden dem Medienbericht zufolge die Minister:innen postulieren, dass Schulen in Sachen Medienkompetenz einen „entschlossenen Beitrag“ leisten müssten. Gleichwohl gibt es in dem Papier nur eine Stelle, an der die Minister:innen festhalten, dass die Medienbildung an Schulen derzeit nicht ausreiche. Fakt ist laut dem Tagesspiegel, dass es nur in fünf der 16 Bundesländer überhaupt ein Fach Medienbildung gibt und auch der flächendeckende Ausbau von Informatik als Pflichtfach demnach noch Jahre dauern wird.

In der Erklärung der Kultusminister heißt es weiter, dass „schulische Bildungs- und Erziehungsangebote“ weiter ausgebaut werden sollen, doch konkrete Maßnahmen oder Stundenzahlen nennt der Text nicht. Statt konkreter Pläne stellt das Papier eher Projekte hervor, bei denen sich Schüler:innen gegenseitig Medienkompetenz beibringen sollen oder bei denen Initiativen von außen, beispielsweise aus dem Journalismus, in die Schule hineinwirken sollen. Tagesspiegel Background spricht hier deswegen von Verantwortungsdiffusion.