Christiane hat ein Problem. Sie hat sich für 550 Euro einen Apparat gekauft, der ihr frisch operiertes Knie mobilisieren soll. Doch das Gerät kam kaputt bei ihr an. Christiane hat es in ein Repaircafé in Berlin-Reinickendorf gebracht. Dreimal war sie damit schon vor Ort. Beim ersten Mal haben die freiwiligen Helfer ihr mitgeteilt, dass der Trafo durchgebrannt ist. Beim zweiten Mal, dass der inzwischen bestellte Ersatztrafo nicht passt. Beim dritten Besuch haben sie einen Alternativtrafo, der eigentlich zu groß war, mit einigen Mühen in das Gerät konstruiert.

„Die haben den zu dritt eingebaut und ich habe, weil ich so schmale Finger habe, geholfen, ihn festzuhalten“, sagt Christiane. Doch bevor die Helfer den Trafo an die Stromversorgung löten konnten, war die Sprechstunde des Repaircafés vorbei. Deshalb hat Christiane das Gerät noch einmal hergebracht. Heute soll das große Finale der Reparatur sein.

Reparieren liegt im Trend. Es ist ein Gegenprojekt zur Wegwerfgesellschaft. Gelebter Umweltschutz. Ein Versuch, den Kapitalismus zu zähmen und den Ressourcenverbrauch zu senken, indem man Dinge wieder nutzbar macht, die andere zu Müll erklären würden. Es ist ein Kampf gegen die Vergänglichkeit und Widerstand gegen den Druck, immer neue Generationen von Produkten anzuschaffen. Die Reparierer erklären mit ihrem Tun: Das ist doch noch gut.

Reparaturen von Staubsauger bis Zimmerspringbrunnen

Der Apparat, den Christiane gerne reparieren lassen will, ist etwa eineinhalb Meter lang und mit schwarzen Polstern bestückt. Eine motorisierte Schiene soll die Polster auf und ab bewegen. Das Gerät kostet neu tausende Euro. Christiane hat es gebraucht gekauft.

Ihre OP ist inzwischen fünf Monate her. Sie benötigt das Gerät eigentlich nicht mehr. „Aber meine Knie sind so kaputt, ich werde das in meinem Leben bestimmt noch öfter benutzen“, sagt sie.

Christiane war schon oft hier im Repaircafé. Die ehrenamtlichen Helfer kennt sie mit Vornamen. Sie hat hier schon unter anderem einen Staubsauger, einen Toaster, eine Armbanduhr und einen Zimmerspringbrunnen reparieren lassen.

Bernd, der Ingenieur

Nun soll Bernd, einer der ehrenamtlichen Reparierer, den Kniemobilisierer wieder an die Stromversorgung hängen. Bernd war früher Ingenieur. Er sieht nicht mehr so gut, aber führt dennoch den Lötkolben mit ruhiger Hand an die Kabelverbindungen. Danach streift er das Lötzinn mit dem Finger vom heißen Kolben ab.

„Jetzt müsste man das testen“, sagt er. „Du meinst, das sollte jetzt funktionieren? Das ging schnell!“, sagt Christiane. Bernd steckt das Netzkabel in die Steckdose, das Display geht an. Christiane zeigt, wo man die Behandlungsdauer und den Anstellwinkel einstellt.

Doch das Gerät bewegt sich nicht. Eigentlich sollte es jetzt laufen. Aber es passiert nichts. Stattdessen klingelt einen Tisch weiter eine Mikrowelle, als wäre sie fertig. Der Timer ist kaputt und eine weitere Gruppe von Reparierern testet ihn. Immer wieder schallt das Ping durch den Raum.

Eine Wende zeichnet sich ab

Die Industrie tut einiges dafür, Verbraucher*innen weiszumachen, dass Dinge veraltet sind und einen aktuellen Nachfolger brauchen. Sie preist mutmaßliche Verbesserungen an, die letztlich die Lebensdauer von Produkten verkürzen, Kühlschränke mit Touchscreens beispielsweise. Oder sie stellt den Support von Produkten nach einiger Zeit ein, liefert beispielsweise keine Sicherheitsupdates für ältere Smartphones mehr aus oder produziert keine Ersatzteile.

Die Politik stemmt sich immer deutlicher gegen solche Praktiken. Eine Wende zeichnet sich ab. Gemäß einer EU-Verordnung müssen Hersteller Smartphones und Tablets, die nach dem 20. Juni 2025 auf den Markt kommen, mindestens fünf Jahre mit Updates versorgen und Ersatzteile dafür bereitstellen. Außerdem muss mit einem Label angezeigt werden, wie gut die Produkte reparierbar sind.

Bis Juli kommenden Jahres müssen die EU-Staaten zudem die EU-Richtlinie zum „Recht auf Reparatur“ umsetzen. Verbraucher*innen dürfen dann Geräte wie Waschmaschinen oder Kühlschränke innerhalb der Garantiefrist reparieren lassen, wodurch sich die Garantiefrist um zwölf Monate verlängert. Außerdem sollen die Nationen eine staatliche Reparaturförderung aufsetzen.

Auch in der Industrie kommt der Trend zum Weiterverwenden nach und nach an. Refurbished-Geräte erreichen einen immer größeren Marktanteil und zunehmend werden Geräte wie zum Beispiel Laptops direkt so gebaut, dass sie einfach zu reparieren sind.

Renate will moderne Musik

Eine weitere Frau betritt das Repaircafé in Berlin-Reinickendorf. Sie ist das erste Mal da und stellt sich als Renate vor. Sie fragt Hajo, einen Ehrenamtlichen, ob sie sich zu ihm setzen kann, und holt ein Radio aus ihrer Tasche. Dazu legt sie verpackte Batterien, in der Hoffnung, dass die in das entsprechende Fach passen. Hajo nimmt das Radio, steckt die Batterien hinein und stellt dann fest, dass Renate keinen Deckel fürs Batteriefach dabei hat.

Hajo fragt den Kollegen Ralf nach einer Rolle Isolierband. Ralf reicht es über den Tisch und Hajo klebt das Batteriefach zu. Renate erzählt währenddessen, dass sie mit dem Radio den Sender 94.3 RS2 hören möchte, denn da laufe immer die neueste und modernste Musik. Hajo zieht die Antenne aus dem Radio und schaltet es ein. Zuerst rauscht es, dann wird die Musik immer klarer.

Hajo erklärt Renate, wie sie die Sender wechseln kann. Renate ist das zu kompliziert. Sie beschließt, das Radio lieber an jüngere Menschen zu verschenken. Im Hintergrund läutet die Glocke der Mikrowelle.

Staatliche Unterstützung für Reparaturen

Eine deutschlandweite Reparaturförderung, wie sie das EU-Recht ab 2026 vorsieht, gibt es noch nicht, dafür aber zahlreiche lokale Varianten, zum Beispiel in Bayern und Berlin. Die Fördersummen unterscheiden sich je nach Bundesland und Landkreis. In Berlin wird die Hälfte der Reparaturkosten übernommen, bis zu 200 Euro, mindestens müssen die Reparaturkosten 75 Euro betragen. Wenn die Geräte in einem Repaircafé repariert werden, werden die Ersatzteile ganz übernommen.

Damit sollen Reparaturinitiativen und ein nachhaltiges Wirtschaften gestärkt werden. Doch so richtig klappt das noch nicht. Antragsteller:innen warten zum Teil monatelang auf eine Rückmeldung, ob sie das Geld erstattet bekommen oder nicht.

Eine Art Denksportaufgabe

Um den Tisch, auf dem Christianes Knie-Mobilisierer liegt, stehen inzwischen vier ehrenamtliche Reparierer, lauter ergraute Männer, und fachsimpeln. Bernd beugt sich tief über die offenliegende Elektronik des Geräts. Er verfolgt Kabel und murmelt: „Der Motor bekommt keinen Strom, also muss doch eigentlich hier was sein. Das läuft hier lang, dann geht es hier rein, die Phase geht auf die Rückplatte und das hier an den Trafo.“ Er setzt seine Brille ab und reibt sich mit dem Handballen über die Stirn. „Warum dreht der sich nicht?“

Kollege Olaf fragt: „Was ist das für ein Relais?“ Die Reparatur ist eine Art Denksportaufgabe für die Ehrenamtler. Eine Geduldsspiel. Eine Beschäftigung, die eigentlich nicht in unsere schnelllebige, effizienzorientierte Zeit passt. Weil es sein kann, dass sie es nicht schaffen, das Gerät zu retten und trotzdem viel Mühe investieren.

Christiane sagt: „Du weißt nie, ob es klappt. Das ist glaube ich auch der Kick für die Jungs.“ Bernd sagt: „Der Reiz ist eigentlich, dass es am Ende wieder funktioniert.“ Olaf sagt: „Was der eine nicht kann, kann der andere, einer hat immer ne Idee.“ Die Reparaturen sind Teamprojekte. Ihm geht es hier auch ums Beisammensein. „Wenn keiner kommt, trinken wir Kaffee und essen Kuchen“, sagt er. Die Mikrowelle pingt.

16 Jahre Repaircafés

Seit 2009 gibt es das Konzept des Repaircafés. Es stammt von einer niederländischen Umweltjournalistin und fand schnell Anklang. Sieben Jahre später gab es schon 1.000 Repaircafés weltweit. Mittlerweile gibt es alleine in Deutschland 1.200. Zum großen Teil organisieren sie sich über das Netzwerk Reparatur-Initiativen. Es gibt auch eine internationale Vernetzung.

Das Repaircafé in Berlin-Reinickendorf gibt es jetzt schon seit zehn Jahren. In dieser Zeit haben verschiedene Reparierende die Klienten betreut. Unter anderem kamen Elektrotechnikstudenten, um praktische Erfahrungen neben ihres Studiums sammeln zu können.

Neben Elektrogeräten können hier in Berlin-Reinickendorf auch Fahrräder und zudem Textilien repariert werden. Letzteres macht Betty, die dafür eine Nähmaschine vor Ort hat.

Renate hat Probleme mit ihrem Telefon

Renate hat noch ein Anliegen. Auf ihrem Handy sind Sachen, die sie da nicht draufgeladen hat. Zum Beispiel hat sie neben der App „WhatsApp“ auch „WhatsApp Business“ und die Suchleiste von Google befindet sich nicht mehr auf ihrem Home-Bildschirm. Hajo ist sich sicher, dass Renate die Suchleiste selbst entfernt und auch „WhatsApp Business“ selbst heruntergeladen hat.

Renate erzählt, dass sie sich extra ein neues Handy gekauft hat. Jetzt habe sie aber wieder „WhatsApp Business“ und keine Google-Suchleiste. Hajo zeigt ihr, wie sie die Suchleiste entfernen kann. Renate lächelt. Dann setzt sie sich zu Betty, die heute „die Empfangsdame“ gibt, trinkt Kaffee und isst den Käsekuchen, den Betty gebacken hat. Beim nächsten Mal will Renate eine defekte Stehlampe mitbringen.

Was man als reparierende Person braucht

Das Repaircafé findet einmal im Monat für drei Stunden im Familienzentrum Letteallee statt. Für die Reparaturen nehmen die Ehrenamtlichen Spenden entgegen, für die sie Kleinkram wie Lötzinn, Sekundenkleber, Reinigungsmittel oder Kabelbinder kaufen. „Und wenn was übrig ist, gehen wir damit zu Weihnachten einmal essen“, sagt Ralf, einer der Reparierer. Einen Grundstock an Werkzeug hat das Repaiarcafé von Sponsoren gestellt bekommen, viel bringen die Reparierenden privat mit.

Ralf stellt stolz seine Werkzeugtasche vor. Darin finden sich unter anderem: Strommessgerät, Lupenbrille, Taschenlampe, Test-Musikkassette und -CD, Federn, Schrauben, Klemmen, Dremel, Bremsenreiniger, Kontaktspray, Schraubendreher und unzählige Bits in absurdesten Formen. „Die Hersteller lassen sich da immer was neues einfallen, damit man die Geräte nicht aufbekommt. Teils gibt es sieben verschiedene Schraubentypen für eine Kaffeemaschine und die nötigen Bits werden manchmal nur an Fachwerkstätten verkauft“, sagt Ralf.

„Für mich steht das Ganzmachen im Vordergrund“

Ralf war Nachrichtentechniker, Filmtechniker, Kältetechniker und Lokführer. Er hat schon immer gerne gebastelt. Jetzt ist er berufsunfähig und hat Zeit. Vier Repaircafes begleitet er als ehrenamtlicher Helfer. „Für mich steht das Ganzmachen im Vordergrund“, sagt er. Er kann es nicht gut aushalten, wenn Dinge weggeworfen werden, die man noch reparieren könnte. Einmal habe er zwei Stunden Arbeit in die Reparatur eines Neun-Euro-Milchschäumers investiert.

Was Ralf richtig fuchsig macht: Wenn Produkte so gebaut sind, dass sie schneller kaputtgehen als sie müssten. Geplante Obsoleszenz nennt sich das. Ralf nennt Beispiele: Monitore mit Kondensatoren, die so verbaut sind, dass sie sich schnell erwärmen, Brotschneidemaschinen mit Plastikzahnrädern, Staubsauger, deren Kabelaufwicklung zu hart am Kabel zieht. Ebenfalls ärgerlich findet er Geräte, die eine Reparatur extra schwer machen. „So wie Apple-Ladegeräte, die sind gegossen. Aber die kriege ich mit der Trennscheibe auch auf. Oder Solarlampen mit eingeklebten LEDs, das ist eine Katastrophe“, sagt er.

Inzwischen ist es 18 Uhr. Die Reparierer und ihre Klienten müssen das Repaircafé abbauen. Christianes Kniemobilisierer ist leider nicht fertig geworden. Sie muss noch einmal wiederkommen. „Wenn das Gerät mal zum finalen Abschluss kommt, das wäre für uns alle eine Erleichterung“, sagt Ralf. „Das Ding ist ein Bumerang“, fügt Olaf hinzu.

Diese Recherche ist Teil der „Databroker Files“. Hier geht es zu den weiteren Veröffentlichungen.

Wetter Online, eine von Deutschlands populärsten Wetter-Apps, kann nun offenbar den Aufwand bewältigen, Datenschutz-Auskunftsanfragen von Nutzer*innen nachzukommen. Vor mehr als einem Jahr hatten wir Wetter Online eine solche Anfrage gestellt. Anlass waren unsere Recherchen zu den Databroker Files. Sie zeigten, dass Unternehmen offen mit präzisen Standortdaten von Wetter-Online-Nutzer*innen handelten. Wie kann das sein?

Ein Mitglied des Recherche-Teams hatte selbst Wetter Online auf dem Handy und deshalb auf Grundlage der Datenschutzgrundverordnung (DSGVO) eine Auskunftsanfrage gestellt. Welche Daten hatte Wetter Online über ihn erfasst? Die Antwort auf eine solche Anfrage ist Pflicht, das verlangt das Gesetz. Wegen angeblich zu hohem Aufwand wollte Wetter Online dem allerdings zunächst nicht vollständig nachkommen. Nach einer Beschwerde haben wir nun erstmals Daten erhalten.

Die schlechte Nachricht: Die Aussagequalität der ausgehändigten Daten ist begrenzt. Zahlreiche Fragen bleiben offen. Aber eins nach dem anderen.

Zu viel Aufwand?

Auf Artikel 15 der DSGVO können sich alle Nutzer*innen in der EU berufen. Demnach müssen ihnen Datenverarbeiter Informationen darüber bereitstellen, wie sie deren personenbezogene Daten verarbeiten. So können Interessierte erfahren: Was genau wird über mich erhoben? Auf welcher Rechtsgrundlage? An wen werden Daten weitergegeben? Zudem können sie eine vollständige Kopie ihrer Daten anfordern.

Genau das taten wir bereits im Sommer 2024. Wetter Online kam der Anfrage damals jedoch nur teilweise nach. Das Unternehmen teilte zunächst mit, dass lediglich drei Firmen die Daten des betroffenen Redakteurs erhalten hätten. Eine Kopie könne man jedoch nicht herausgeben, weil das zu aufwendig sei. Dabei verwies Wetter Online auf veraltete Regeln im ehemaligen Bundesdatenschutzgesetz.

Wir hatten deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde bei der zuständigen Datenschutzbehörde Nordrhein-Westfalen eingelegt und darüber im Februar 2025 berichtet. Diese Beschwerde hatte zumindest in Teilen Erfolg, denn inzwischen verweigert Wetter Online die Datenkopie nicht mehr mit Blick auf den Aufwand.

Spuren von Wetter Online bei zwei Datenhändlern

Wetter Online spielt eine besondere Rolle bei den Databroker Files, unseren Recherchen mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten. In mehreren Artikeln hatten wir zunächst aufgedeckt, wie Datenhändler vermittelt über eine Berliner Plattform intime Daten von Millionen Menschen verkaufen. Darunter auch genaueste Standortdaten von hochrangigen deutschen Regierungsangestellten, von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdienst.

Dem Rechercheteam liegen inzwischen mehrere Datensätze mit mehreren Milliarden Standortdaten vor, inklusive Werbe-IDs, mit denen sich Handys eindeutig identifizieren lassen. In einem dieser Datensätze sind die Standortdaten zudem mit Hinweisen auf konkrete Apps verknüpft. Zu einigen der Apps konnten wir alarmierend genaue Standortdaten finden. Eine davon ist Wetter Online.

An nur einem Tag in Deutschland wurden zehntausende Nutzer*innen wohl teils auf den Meter genau geortet. Wetter Online taucht auch in einem anderen Datensatz als Quelle für Handy-Standortdaten auf: dem Leak des Datenhändler Gravy Analytics, der im Frühjahr gehackt wurde.

Nach Recherchen: Vor-Ort-Kontrolle bei Wetter Online

Alarmiert durch unsere Berichterstattung schaltete sich die Datenschutzbeauftragte Nordrhein-Westfalen ein und schaute bei Wetter Online persönlich nach dem Rechten.

„Die schnelle Vor-Ort-Kontrolle war hier besonders hilfreich, da das Unternehmen die nicht datenschutzkonforme Handhabung bestritten hatte“, schreibt Behördenchefin Bettina Gayk in einer Pressemitteilung. Der Behörde zufolge konnten die Datenschützer*innen bei ihrem Besuch feststellen, dass tatsächlich genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben wurden. Das habe man stoppen können.

Noch im Februar nahm Wetter Online auch für Nutzer*innen sichtbare Änderungen vor. „Wetter Online hat innerhalb der uns gesetzten Frist reagiert und nun auf Website und Apps einen Einwilligungsbanner gesetzt, der auf die Verarbeitung von GPS-Standortdaten nur für Wetterinformationen hinweist“, erklärte ein Sprecher der Datenschutzaufsicht.

Unklar blieb jedoch, an wen genau die Standortdaten der Wetter-Online-Nutzer*innen geflossen sein könnten. Wetter Online antwortete im Januar und Februar auf wiederholte Presseanfragen nicht. Umso höher waren die Erwartungen an neue Erkenntnisse durch die beantragte Datenauskunft.

Firma hat Reiseroute erfasst

In Reaktion auf die Beschwerde hat uns Wetter Online schließlich eine Tabelle mit rund 150 Zeilen zur Verfügung gestellt. Zu den erfassten Informationen gehört etwa, ob das Handy des Redakteurs mit einem WLAN verbunden war und welche Betriebssystem-Version darauf lief. Die Tabelle enthält auch auf die Sekunde genaue Zeitstempel sowie zahlreiche Ortsnamen und Postleitzahlen.

Mehrfach taucht Berlin auf, wo netzpolitik.org seinen Sitz hat. Einige Orte scheinen falsch erfasst worden zu sein, der Redakteur war dort nicht. Ablesen lässt sich jedoch eine Auslandsreise. Legt man die erfassten Postleitzahlen auf eine Karte, lassen sich Teile der tatsächlichen Reiseroute ungefähr nachvollziehen.

Was die Tabelle allerdings nicht enthält: Präzise Standortdaten, aus denen sich Bewegungen minutiös nachverfolgen lassen. Es gibt keine Hinweise auf die genaue Wohnadresse oder den Arbeitsplatz. Außerdem stehen in der Tabelle lediglich Daten eines einzigen Tracking-Unternehmens: Appsflyer. Zuvor hatte Wetter Online noch mitgeteilt, Daten an drei Tracking-Firmen weitergegeben zu haben. Und in der Datenschutzerklärung werden gar Hunderte Firmen als Werbepartner gelistet. Die Datei enthält zudem zahlreiche leere Felder.

Hat Wetter Online wirklich alle Daten vorgelegt, die erfasst wurden?

Wetter Online: Keine GPS-Daten „verkauft“

Wir haben Wetter Online per Presseanfrage um Erklärung gebeten. Das Unternehmen teilt mit: „Die Auskunft ist auf Sie bezogen vollständig.“ Mehrfach habe man geprüft, ob auch Daten zu den ursprünglich genannten Tracking-Firmen vorliegen. Es konnten jedoch keine gefunden werden, heißt es. Für die leeren Felder in der Datei gebe es technische Gründe; das heißt: Nachträglich entfernt worden sei nichts.

Aus der Antwort geht jedoch hervor, dass Wetter Online durchaus mal mehr Daten erfasst hatte. Diese Daten würden aber nicht mehr vorliegen. „Wir haben bereits vor Ihrem Auskunftsersuchen, basierend auf Regellöschfristen, personenbezogene Daten gelöscht“, erklärt der Sprecher.

Der Wetter-Online-Sprecher äußert sich auch erstmals zur Datenschutzbeauftragten Nordrhein-Westfalen: „Die Untersuchungen laufen noch“, schreibt er. Wetter Online ist es wichtig zu betonen, dass GPS-Daten nicht an Dritte „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, betont der Sprecher. Wie genaue Handy-Standortdaten auch ohne einen direkten Verkauf an Dritte gelangt sein könnten, erklärt der Sprecher nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

In unserem Artikel Im Dschungel der Datenhändler haben wir mehrere Wege beschrieben, wie sensible Daten von Handy-Nutzer*innen zur offenen Handelsware werden können, auch ohne dass App-Betreiber sie selbst verkaufen.

Nutzer*innen haben keine Kontrolle

Die Auskunft von Wetter Online liefert also keine lückenlose Aufklärung – schon allein, weil wir nicht wissen, welche personenbezogenen Daten Wetter Online bereits im Vorfeld durch „Regellöschfristen“ getilgt hat. Der konkrete Fall verdeutlicht ein typisches Problem beim Recht auf Datenauskunft. Betroffene können nicht genau prüfen, welche Daten Unternehmen tatsächlich über sie verarbeitet haben.

Theoretisch könnten Unternehmen also auch nach einer Auskunftsanfrage gezielt Daten löschen, um sie nicht offenlegen zu müssen. Oder ihre Antwort so lange herauszögern, bis sensible Daten durch übliche Löschfristen nicht mehr vorliegen. Betroffene wären nicht in der Lage, das nachzuweisen. Sie müssten dem Unternehmen schlicht vertrauen. Das bedeutet: Für Nutzer*innen ist die mit dem Recht auf Datenauskunft eigentlich intendierte Kontrollfunktion eine Illusion.

Abhilfe schaffen könnten hier nur Datenschutzbehörden. Mit Kontrollen vor Ort könnten sie prüfen, ob Unternehmen die Rechte von Nutzer*innen wirklich umsetzen. Allerdings ist das aufwendig und allenfalls in Einzelfällen realistisch.

So können Interessierte selbst ihre Daten anfragen

Die Hürden bei Auskunftsersuchen sollten Interessierte allerdings nicht davon abhalten, ihre Rechte einzufordern. Selbst eine möglicherweise geschönte Datenauskunft kann aufschlussreich sein.

Wer eine vollständige Datenauskunft nach Artikel 15 DSGVO erhalten will, sollte jedoch etwas Geduld einplanen. Immer wieder versuchen Unternehmen, Betroffene mit Ausreden abzuspeisen. In der Regel haben sie nur vier Wochen Zeit für die Auskunft. Nur in Ausnahmefällen mit besonderem Aufwand darf diese Frist verlängert werden.

Hilfreich ist es, einem Unternehmen möglichst direkt alle Daten zu schicken, die die Auskunft erleichtern. Dazu zählen auch Identifier wie die Mobile Advertising ID, also die einzigartige Werbe-Kennung des eigenen Handys. Wir haben im Fall von Wetter Online etwa konkrete Beispiele für besuchte Orte mitgeschickt, zu denen Standortdaten vorliegen müssten. Auch eine (teils geschwärzte) Kopie des Personalausweises kann in Einzelfällen verlangt werden.

Für Interessierte gibt es mehrere Anlaufstellen, die bei der Formulierung solcher Auskunftsanfragen helfen, etwa die Verbraucherzentralen, die deutsche Initiative datenanfragen.de oder die englischsprachige Initiative datarequests.org.

Viele Medien berichten derzeit von einem angeblichen massiven Datenleck, bei dem 16 Milliarden Zugangsdaten etwa zu „Apple, Facebook, Google und anderen“ (so titelt etwa die Forbes) in falsche Hände geraten seien. Quelle ist einmal mehr Cybernews – die bereits in der Vergangenheit mit massiven Übertreibungen und dem sensationsheischendem Anpreisen von Funden von Datenhalden mit alten, bereits längst bekannt geleakten Daten auffielen. Auch in diesem Fall ist Aufregung über vermeintliche Datenlecks deplatziert.

Nun schreibt Cybernews unter dem fast passenden Titel „Das 16-Milliarden-Einträge-Datenleck, von dem niemand je gehört hat“, dass anonyme Sicherheitsforscher seit Jahresanfang 30 exponierte Datenhalden mit je zig Millionen bis zu 3,5 Milliarden Einträgen gefunden hätten, die sich auf 16 Milliarden Zugangsdaten summieren. Von den einzelnen Datenhalden seien keine Berichte zu finden, lediglich von einer mit 184 Millionen Zugängen. Die Datenhalden waren lediglich kurzzeitig zugreifbar, es handelte sich um zeitweilig zugreifbare ungesicherte Elasticsearch-Instanzen oder Objekt-Speicher-Instanzen.

Inhalt der Datenfunde

„Die Forscher behaupten, dass die meisten Daten in den durchgesickerten Datensätzen eine Mischung aus Details von Infostealer-Malware, Credential-Stuffing-Sets und neu verpackten Lecks sind“, beschreibt das Unternehmen die Datenfunde selbst. Die Daten hätten sie gar nicht effektiv abgleichen können, aber „es ist sicher anzunehmen, dass überlappende Einträge definitiv vorhanden sind. Mit anderen Worten ist es unmöglich zu sagen, wie viele Menschen oder Zugänge tatsächlich exponiert wurden“.

Die Forscher hätten jedoch die meisten Informationen in klarer Struktur vorgefunden: URL gefolgt von Log-in-Details und Passwörtern, wie sie „moderne Infostealer“ sammeln und ablegen. Die Datenbanken seien namentlich etwa „Logins“ oder „Credentials“, aber auch geografische Zuordnungen wie „Russian Federation“ oder Dienste wie „Telegram“ haben die Mitarbeiter gefunden. Auch das sind eher Hinweise, dass dort (bekannte) Daten aufbereitet wurden.

Daten von Infostealern landen meist in offen zugreifbaren Datenhalden, die oftmals auch entdeckt werden. Das Have-I-Been-Pwned-Projekt von Troy Hunt sammelt diese Daten inzwischen ebenfalls und kann registrierte Nutzerinnen und Nutzer warnen, sofern ihre Daten in solchen Datenfunden auftauchen. Hunt hatte bereits bei der „Mutter aller Datenlecks“ (MOAB, „Mother of all Breaches“), wie Cybernews einen Datenfund Anfang 2024 übertrieben nannte, eingeordnet: Es handelte sich um eine Sammlung längst bekannter Daten. Auf unsere Anfrage zur Einschätzung dieser vermeintlich neuen Datenlecks hat Hunt bislang noch nicht reagiert.

Breach, Leak oder schlichtes Einsammeln?

In der Berichterstattung zu derlei Begebenheiten unterliegt die Genauigkeit bisweilen der Sehnsucht nach einer griffigen Überschrift. Titeln englischsprachige Medien von einem „Breach“, ist üblicherweise ein Datenklau durch einen Einbruch direkt bei einem Unternehmen oder Seitenbetreiber gemeint, wie etwa Google oder Apple. Das ist hier offenkundig nicht der Fall – obgleich die Autoren das schlagzeilenträchtig suggerieren. Allenfalls um ein „Leak“ könnte es sich der medialen Schilderung zufolge handeln, also um versehentlich durch Kriminelle öffentlich gemachte Daten.

Die „klare Struktur“ der Daten ist in der Szene ebenfalls üblich und jedem halbwegs seriösen Akteur im Infostealer-Umfeld sattsam bekannt: Es handelt sich um sogenannte „txtbases“, also im Textformat getauschte Zugangsdaten. Üblicherweise verwendet die Szene das Format „Dienst|Benutzername|Passwort„, txtbase-Dateien sind etwa in offen zugänglichen Messenger-Gruppen Gigabyte-weise kostenlos herunterladbar.

Als kurze Fingerübung für den Brückentag haben wir uns an einem bekannten Tauschplatz für derlei Datensätze eingeloggt und knapp 70 Textdateien mit einem Gesamtvolumen von ca. 7 GByte heruntergeladen. Diese enthalten etwa 122 Millionen Einträge, darunter allein 4 Millionen Einträge zu Metas sozialem Netzwerk Facebook. Die Überlappung ist jedoch erheblich: Die Hälfte der Facebook-Kontonamen taucht in unserer Stichprobe zwei- oder mehrfach auf.

Während die heise-security-Redaktion mit Kommandozeilenwerkzeugen wie grep und awk hantiert (und die gewonnenen Daten nicht in einer Leak-Datenbank speichert), geht Zugangsdaten-Experte Troy Hunt wesentlich professioneller zu Werke. Er verarbeitete im vergangenen Februar eine Datenbank aus 23 Milliarden Einträgen und dokumentierte den Prozess minutiös in seinem Blog.

Insgesamt stehen auf der von uns angesteuerten txtbase-Tauschbörse über 10.200 Dateien zum Download bereit, unserer Stichprobe zufolge mit durchschnittlich 1,8 Millionen Zeilen pro Datei. Das bedeutet: Allein in dieser einen Quelle finden sich über 19 Milliarden Zugangsdaten – fast 20 Prozent mehr als im schlagzeilenträchtigen „Mega-Leak“. Und das ohne Darknet-Brimborium und Zahlungen an Cyberkriminelle, sozusagen ohne Leak und doppelten Boden.

Panik erneut unangebracht

Mit diesem Wissen zeigt sich: Panik anhand der „neuen Enthüllung“ ist unangebracht. Cyberkriminelle versuchen wie in der Vergangenheit, alte Datenfunde zu qualifizieren und etwa mittels Credential-Stuffing in Dienste einzubrechen. Internetnutzer müssen weiterhin achtsam bleiben, ob möglicherweise ungewöhnliche Zugriffe auf von ihnen genutzte Dienste erfolgen und gegebenenfalls bei Verdacht Passwörter ändern. Das Aktivieren von Mehrfaktorauthentifikation oder sogar die Nutzung von Passkeys empfiehlt sich für besseren Schutz.

Infostealer bleiben zudem ein weit verbreitetes Phänomen. Erst kürzlich stießen wir auf Malvertising mit macOS-Tipps, die Malware-Autoren verstecken Schadsoftware jedoch auch in Spiele-Betas und gefälschten Apps. Strafverfolger konzentrieren sich daher in der „Operation Endgame“ auf die Cyberkriminellen, die rund um die Infostealer ein einträgliches Ökosystem betreiben.

(dmk)