Wer in Österreich ein Handy nutzt, dessen genaue Standortdaten könnten auf den Bildschirmen dortiger Ermittler*innen landen. Das Innenministerium hat jüngst die Lizenz für eine Überwachungs-Software verlängert, die auf massenhaft erfassten Handy-Ortungen basiert. Das zeigt ein Dokument aus einem öffentlichen Vergabeportal. Zuerst berichtet hatte die Tageszeitung Der Standard.

Konkret geht es um das Werkzeug namens Webloc der US-Firma Penlink. Hierzu hatte im April das Citizen Lab der Universität Toronto einen Bericht veröffentlicht. Demnach soll Webloc Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem genaue GPS-Standorte gehören sowie die einzigartigen Werbekennungen eines Geräts („mobile advertising ID“). Eine kurzfristige Presseanfrage von netzpolitik.org hat die US-Firma Penlink nicht beantwortet.

Den Weg der Daten von populären Handy-Apps in fremde Hände konnten die Recherchen zu den Databroker Files von netzpolitik.org und Bayerischem Rundfunk seit 2024 zeigen. Angeblich nur zu Werbezwecken erhoben fließen die Daten über das Ökosystem der Werbe-Industrie an Datenhändler und von dort zu Überwachungsunternehmen. Betroffen sind potenziell alle Menschen, die ein Handy mit werbefinanzierten Apps nutzen und keine digitale Selbstverteidigung betreiben.

Mithilfe der Werbe-ID lassen sich solche Handy-Standortdaten mühelos zu Bewegungsprofilen verknüpfen. Sie geben oftmals unter anderem Wohnort und Arbeitsplatz preis, aber auch sensible Details über das Privatleben wie Besuche in Arztpraxen, Kliniken, religiösen Gebäuden oder Bordellen.

Der Fachbegriff für Erkenntnisse aus Daten der Werbe-Industrie ist ADINT. Sicherheitsbehörden können mit ADINT-Software diese Daten kinderleicht durchforsten: Ähnlich wie man etwa mit Google Maps nach Restaurants in der Nähe suchen kann, können Polizist*innen mit ADINT-Software nach Bewegungsprofilen von Menschen in einem bestimmten Areal suchen.

Fachleute sehen im Handel mit den Standortdaten einen Verstoß gegen die DSGVO (Datenschutz-Grundverordnung). Bereits 2024 schrieb das deutsche Verbraucherschutzministerium: „Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“ In Deutschland und Österreich bezweifeln Fachleute zudem, dass Sicherheitsbehörden solche Daten nutzen dürfen.

Zwei Jahre Überwachung, 1,85 Millionen Euro

Auf Anfrage von netzpolitik.org kommentiert das Innenministerium in Österreich den Einsatz von Webloc nicht direkt. „Über konkrete Softwarelösungen und deren Einsatz kann öffentlich keine Auskunft erteilt werden“, schreibt ein Sprecher. „Fakt ist, dass wir diese nur im Rahmen unserer gesetzlichen Möglichkeiten nutzen.“

Die erste Aussage ist nicht korrekt. Das Ministerium kann sich durchaus äußern, will das aber offenbar nicht. Die zweite Aussage ist nicht belegbar: Wenn das Ministerium über die Software schweigt, lässt sich auch nicht unabhängig prüfen, ob ihr Einsatz legal ist.

In der ausweichenden Antwort der Behörde stecken jedoch Hinweise darauf, wer die Software zu welchem Zweck einsetzen könnte: Zuständig ist demnach die Direktion Staatsschutz und Nachrichtendienst; in einer kurzen Vorrede geht der Sprecher auf „extremistische und terroristische Straftaten“ ein.

Laut Vergabeportal hat Österreich schon einmal an Penlink gezahlt. Die Rede ist von einer „Verlängerung“ der Lizenz um weitere zwei Jahre. Kostenpunkt dieses Mal: rund 1,85 Millionen Euro. Zum Paket gehören demnach nicht nur Webloc, sondern auch weitere Produkte der Firma.

Deren Hauptprodukt heißt Tangles. Es soll dem Citizen Lab zufolge etwa soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kund*innen können demnach etwa nach Namen, Telefonnummern oder E‑Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Bereits 2024 hatte Österreich eine Lizenz für Tangles gezahlt; das Zusatzprodukt Webloc taucht in dem älteren Dokument jedoch nicht ausdrücklich auf.

Tracking-Forscher: „Das ist anlasslose Massenüberwachung.“

Der Wiener Tracking-Forscher Wolfie Christl kritisiert den Einsatz von Webloc. Auf Mastodon schreibt er:

Auch wenn Webloc ’nur’ zur Überwachung von Einzelnen genutzt wird, sammelt und analysiert es täglich Daten über Millionen Unbeteiligte. Das ist anlasslose Massenüberwachung. Diese komplett zweckentfremdete Nutzung von Werbedaten für staatliche Überwachung ist ein Dammbruch.

Die Daten, auf denen Werkzeuge wie Webloc basieren, hält Christl mit Blick auf die DSGVO für illegal. Niemand in der Lieferkette habe eine gültige Einwilligung, um solche Daten für staatliche Überwachung weiterzugeben. Eine solche Einwilligung bräuchte es aber – und zwar von jeder betroffenen Person. „Eine andere DSGVO-Rechtsgrundlage als die Einwilligung ist kaum denkbar“, schreibt Christl.

Getrennt davon zu betrachten sei die Frage, ob das Innenministerium eine Rechtsgrundlage für die Nutzung der Daten habe. „Die österreichische Datenschutzbehörde muss eine Untersuchung einleiten“, schreibt der Forscher.

Datenschutzbehörde in Österreich weiß nichts Näheres

Auf Anfrage von netzpolitik.org teilt die Datenschutzbehörde in Österreich mit, sie habe „keine näheren Kenntnisse über den geplanten Einsatz der genannten Software durch das BMI“. Demnach sei man auch nicht vom Ministerium dazu konsultiert worden. Eine solche Konsultation sei nötig, wenn eine Behörde bei einer Datenschutz-Folgenabschätzung ein hohes Risiko erkennen würde, erklärt der Sprecher.

Wird die Datenschutzbehörde nun aktiv? Eine klare Antwort gibt der Sprecher nicht, hält sich aber alle Türen offen: Man könne „jederzeit im Rahmen eines Beschwerde- oder amtswegigen Prüfverfahrens die Einhaltung datenschutzrechtlicher Vorgaben überprüfen“.

Mit dem nun bekannt gewordenen Lizenzdeal ist Österreich das zweite EU-Land auf der Kundenliste von Webloc. Im April berichtete das Investigativmedium VSquare, dass die ungarische Regierung unter dem inzwischen abgewählten Premier Viktor Orbán Webloc-Lizenzen gekauft habe. In den USA soll die paramilitärische US-Abschiebebehörde ICE das Werkzeug nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Deutschland hält Databroker-Deals geheim

Verwenden auch deutsche Sicherheitsbehörden Werkzeuge wie Webloc, oder kaufen sie sich die Standortdaten einfach selbst ein? Die Bundesregierung macht daraus ein Staatsgeheimnis. Ende 2025 hat sie nach einer Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) die Auskunft verweigert; damals ging es um Bundeskriminalamt (BKA) und Bundespolizei.

Auch in den Ländern mauern die Regierungen. Eine Recherche von netzpolitik.org und Bayerischem Rundfunk im Juni hat gezeigt: In neun Bundesländern will sich die Polizei nicht über mögliche Databroker-Deals äußern. Nur in fünf Bundesländern hatte die Polizei solche Deals verneint.

In Brandenburg habe die Polizei zwar Daten von „beispielsweise Wirtschaftsauskunfteien“ erworben, nicht aber kommerzielle Standortdaten. Einzig in Mecklenburg-Vorpommern hatte die Landespolizei eingeräumt, Standortdaten der Werbe-Industrie genutzt zu haben. Die dortige Datenschutzbehörde hat daraufhin eine Prüfung eingeleitet.

Opposition in Österreich: „nicht lockerlassen“

Wieso wollen sich so viele Behörden auf Bundes- und Landesebene nicht äußern? „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen“, sagte Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag, mit Blick auf sein Bundesland. Und mit seiner Skepsis ist er nicht allein: In mindestens acht deutschen Bundesländern fordert die Opposition nach unseren Recherchen Aufklärung.

Auch in Österreich will die Opposition weiter Druck machen. Der grüne Abgeordnete Süleyman Zorba hatte bereits vergeblich versucht, Transparenz zu schaffen. „Erst hieß es, jede Auskunft gefährde die nationale Sicherheit. Nun ist der Einsatz der Software in öffentlichen Vergabeunterlagen dokumentiert“, fasst er gegenüber dem Standard zusammen.

„Ich werde nicht lockerlassen, bis Innenminister Gerhard Karner offenlegt, auf welcher gesetzlichen Grundlage das Ministerium handelt, welche Daten verarbeitet werden und wer deren Einsatz kontrolliert“, so Zorba weiter. Die Bevölkerung habe ein Recht darauf, zu erfahren, was mit ihren Daten geschieht.

Sicherheitsforscher des CISPA Helmholtz-Zentrums für Informationssicherheit haben gleich drei Schwachstellen in Apples AirDrop-Funktion zur kabellosen Übertragung von Daten gefunden. Glücklicherweise kann keine der Lücken genutzt werden, um Schadcode auszuführen. Schlimm genug ist aber, dass sie dafür genutzt werden können, um Abstürze auszulösen. Weitere drei Sicherheitslücken wurden in Googles und Samsungs Quick Share aufgedeckt.

Arash Ale Ebrahim und Nils Ole Tippenhauer haben für ihre Untersuchung eigens das Testprogramm „AirFuzz“ entwickelt, ein Werkzeug, das automatisiert fehlerhafte oder manipulierte Datenpakete an AirDrop schickt, um Abstürze und Fehlverhalten zu provozieren. Im Fokus stand dabei die Anwendungsebene der Funktionen und nicht Schwachstellen auf der reinen Funkebene.

Wie die Lücken funktionieren

Zwei der drei AirDrop-Lücken lassen sich bereits auslösen, wenn AirDrop auf „Jeder“ steht. Die dritte wird erst nach Annahme einer Übertragung erreicht.

So reicht ein einzelner, fehlerhaft formatierter HTTP-Request aus, um den zuständigen Systemdienst sharingd abstürzen zu lassen. Das bringt nicht nur AirDrop zum Erliegen, sondern auch verwandte Funktionen wie AirPlay, Handoff und die Zwischenablage-Synchronisation zwischen Geräten.

Eine zweite Lücke steckt in der Verarbeitung von Property-Lists, einem internen Datenformat, und kann durch verschachtelte Datenstrukturen einen Speicherüberlauf auslösen. Eine dritte Schwachstelle in Apples Netzwerk-Framework lässt sich durch präparierte HTTP-Header provozieren.

Die Forscher betonen ausdrücklich, dass zehn verschiedene Versuche, die eigentliche Nutzerbestätigung für Dateiübertragungen zu umgehen, allesamt scheiterten – Apples Prüfung der Apple-ID hält demnach stand.

Auch Probleme bei Google und Samsung

Bei Quick Share fanden die Forscher zwei Probleme in Samsungs Implementierung: Zum einen verarbeitet der Dienst bestimmte Datenpakete bereits, bevor der eigentliche Authentifizierungs-Handshake abgeschlossen ist. Zum anderen werden drei von sieben Nachrichtentypen auch dann verarbeitet, wenn sie entgegen der Spezifikation unverschlüsselt ankommen – ein Angreifer im selben WLAN könnte so etwa Verbindungen manipulieren oder Sitzungen künstlich am Leben halten.

Am gravierendsten ist ein Fund in Googles Quick-Share-Client für Windows: ein sogenannter Use-after-Free-Fehler, bei dem das Programm auf bereits freigegebenen Speicher zugreift. Diese Klasse von Fehlern lässt sich unter bestimmten Umständen zur Ausführung von Schadcode missbrauchen. Die Forscher konnten zwar einen zuverlässigen Absturz auslösen, aber keinen vollständigen Exploit entwickeln.

Bugfixes sind in Arbeit

Apple hat die drei AirDrop-Lücken bestätigt, an Fixes wird laut den Forschern gearbeitet. Samsung hat seine beiden Funde an Google weitergereicht, da der betroffene Code aus Googles Quick-Share-Komponenten stammt; diese werden derzeit noch geprüft. Google hat die Windows-Lücke bestätigt und mit einer Bug-Bounty-Prämie belohnt.

Die Angriffe funktionieren nur aus relativer Funknähe von etwa 10 bis 30 Metern – ein Angreifer muss sich also physisch in der Nähe des Zielgeräts aufhalten. In dicht gedrängten Umgebungen wie Flughäfen, Bahnhöfen oder auf Konferenzen ließen sich damit aber theoretisch viele Geräte gleichzeitig ins Visier nehmen.

Da noch keine Patches vorliegen, empfiehlt sich vorerst Zurückhaltung: Wer AirDrop nicht aktiv nutzt, sollte den Modus meiden, mit dem einen jeder im Umkreis für einige Minuten sehen kann, oder zumindest so kurz wie möglich halten. Bei Quick Share gilt ähnliche Vorsicht in unbekannten Umgebungen mit aktivierter Sichtbarkeit für alle Geräte.

(mki)

Das als Schutz vor Bots und Betrug dienende Google reCaptcha wollen die Entwickler mit einer Erkennung von Handgesten verbessern. Erste Bastler haben die frühe Version schon jetzt ausgetrickst – mit untergeschobenen Fotos aus Stock-Archiven. Damit lässt sich das System derzeit täuschen.

In der vergangenen Woche hatte Google die reCaptcha-Erweiterung um Handgesten vorgestellt. Sie basiert auf einem Machine-Learning-Modell, also Künstlicher Intelligenz. Sie soll Referenzpunkte auf Händen erkennen und vermessen, insgesamt 21 Stück an der Zahl. Bei der Prüfung fordert das System Nutzerinnen und Nutzer auf, eine Handgeste vor einer Kamera nachzuvollziehen. Eigentlich soll die Funktion menschliche Bewegungen erkennen und damit etwa KI-Bots abwehren, die beim Lösen der bisherigen Captcha-Puzzles zunehmend besser werden.

Auf X haben IT-Forscher nun vorgeführt, wie sich das System hinter die Fichte führen lässt. Sie nehmen eine Software wie Open Broadcaster Software (OBS), die sich ins System als (virtuelle) Kamera installieren lässt. Für die vom reCaptcha-System angefragte Handgeste verwenden sie einfach Stock-Fotos, auf denen die Personen die abgebildete Handgeste zeigen. Das genügt reCaptcha offenbar, die Anti-Bot- respektive Anti-Betrugs-Prüfung gilt als bestanden.

reCaptcha als einfacher Schutz

Die Handgestenerkennung in Googles reCaptcha ist ein noch junges Feature und in früher Entwicklung, daher werden die Programmierer sicherlich noch Lösungen finden, solche plumpen Fälschungen zu entlarven. Es zeigt jedoch auch klar die Grenzen eines solchen Systems auf. Es bietet keine hundertprozentige Sicherheit, sondern siebt einfache Bots aus.

Es handelt sich um einen immerwährenden Wettlauf zwischen Angreifern auf das System und den Entwicklern. Das Ziel bleibt jedoch, die Menschen möglichst wenig zu nerven und zu stören. Neue Captcha-Systeme sind nötig, da Bots in der Regel rasch aufholen und sogar schneller als Menschen beim Lösen der Aufgaben werden.

(dmk)