Behörden aus 14 Ländern, darunter Deutschland, haben das weltweit agierende Datenleak-Forum LeakBase abgeschaltet, die zugehörigen Domains beschlagnahmt und mehrere Personen festgenommen. Das teilte die europäische Polizeibehörde Europol mit, die die Aktion leitete. Mit mehr als 142.000 Mitgliedern gilt die LeakBase-Datenbank als eines der weltweit größten Online-Foren für Cyberkriminelle zum Kauf und Verkauf gestohlener Daten und Tools für Cyberangriffe.

Das seit 2021 aktive und öffentlich zugängliche englischsprachige Forum verfügte nach Angaben der Ermittler über ein riesiges und ständig aktualisiertes Archiv gestohlener Datenbanken mit Hunderten Millionen Zugangsdaten und ermöglichte es Usern, Informationen aus diesen gestohlenen Datenbanken zu verkaufen. Angeboten wurden Kredit- und Debitkartennummern, Bankverbindungsdaten, Benutzernamen und zugehörige Passwörter, sensible Geschäfts- und personenbezogene Daten, die zum Teil bei aufsehenerregenden Cyberangriffen erbeutet wurden.

„Die Zerschlagung dieses Online-Forums stört eine wichtige internationale Plattform, die Cyberkriminelle nutzen, um sensible persönliche Daten, Bank- und Kontodaten zu erlangen und damit Profit zu machen“, sagte der stellvertretende Generalstaatsanwalt A. Tysen Duva von der Strafabteilung des US-Justizministeriums, das ebenfalls in die Ermittlungen involviert war.

Vorgehen in zahlreichen Ländern

Am 3. März führten die Strafverfolgungsbehörden nach eigenen Angaben in mehreren Ländern rund einhundert koordinierte Maßnahmen durch, darunter gegen 37 der aktivsten Nutzer der Plattform. Sie vollstreckten Durchsuchungsbefehle, nahmen Festnahmen vor und befragten Personen in den Vereinigten Staaten, Australien, Belgien, Polen, Portugal, Rumänien, Spanien und dem Vereinigten Königreich. Beamte aus Kanada, Deutschland, Griechenland, dem Kosovo, Malaysia und den Niederlanden unterstützen die Ermittlungen.

Im Rahmen der Operation beschlagnahmten die Behörden die Domain sowie die Datenbank des Forums. Dies ermöglichte die Entanonymisierung mehrerer Nutzer, die glaubten, anonym zu agieren, erklärte Europol in einer Mitteilung. Die Strafverfolgungsbehörden hätten über dieselben Online-Kanäle, die für kriminelle Aktivitäten genutzt wurden, direkten Kontakt zu mehreren Verdächtigen aufgenommen.

„Diese Operation beweist, dass kein Winkel des Internets vor der internationalen Strafverfolgung sicher ist“, sagte Edvardas Šileris, Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität bei Europol. „Was als dubioser Marktplatz für gestohlene Daten begann, wurde nun zerschlagen, und diejenigen, die sich hinter Anonymität versteckt wähnten, werden identifiziert und zur Rechenschaft gezogen. Dies ist eine klare Botschaft an Cyberkriminelle weltweit: Wer mit gestohlenen Daten anderer handelt, wird von den Strafverfolgungsbehörden gefunden und vor Gericht gestellt.“

(akn)

Auf den ersten Blick sind die „Smart Glasses“ von Meta nur markante Brillen mit breitem Rand; auf den zweiten Blick wird eine Kamera-Linse sichtbar. Recherchen schwedischer Zeitungen zeigen nun, wie tief die neue Überwachungsbrille von Meta in Privatsphäre und Datenschutz eingreift. Wenn viele Menschen solche Brillen tragen, droht die kommerzielle Totalerfassung von privaten und öffentlichen Räumen; bald könnte Meta die Brille zusätzlich mit Gesichtserkennung aufrüsten.

Vermarktet wird die im September 2025 von Meta-Chef Mark Zuckerberg wie eine Sensation vorgestellte Überwachungsbrille als stylischer Allround-Assistent, der den Alltag erleichtern soll. Dabei greift das Gerät massiv in die Privatsphäre der Nutzenden ein, wie Recherchen der schwedischen Zeitungen Svenska Dagbladet und Göteborgs-Posten zeigen. Sie haben hinter die Kulissen des Gadgets geschaut und dabei Erstaunliches herausgefunden. Demnach fließt ein „versteckter Strom privatsphärenrelevanter Daten“ direkt in die Systeme des Tech-Konzerns und von dort auf Bildschirme von Datenarbeiter:innen.

Menschen in Nairobi berichten von gefilmten Toilettengängen

Über Meta gelangen die Daten demnach zum Dienstleister Sama, der für den US-Konzern arbeitet. Dort schulen Menschen „Künstliche Intelligenz“. Das heißt, sie benennen in mitunter 10-Stunden-Schichten gefilmte Gegenstände, damit die Software besser Objekte erkennen kann, etwa Blumen, Straßenschilder, Laternen, Autos und so weiter. Was Tech-Konzerne oftmals als technische und digitale Revolution verkaufen, basiert also auf der mühevollen Arbeit von Menschen in Niedriglohnländern. Der Clou: Auch Aufnahmen der „Smart Glasses“ landen offenbar bei Sama, wie die schwedischen Zeitungen berichten.

Die Journalist:innen haben mit mehr als 30 solcher Datenarbeiter:innen in Nairobi, Kenia gesprochen. Einige von ihnen sind mit Echtzeit-Daten beschäftigt, die offenbar auch durch die Überwachungsbrillen zu ihnen gelangen. Im Artikel des Svenska Dagbladet heißt es über die Mitarbeitenden von Sama:

Sie erzählen uns von sehr privaten Videoclips, die offenbar direkt aus westlichen Haushalten stammen und Menschen zeigen, die die Brille in ihrem Alltag nutzen. Mehrere beschreiben Videomaterial, das Toilettengänge, Sex und andere intime Momente zeigt.

Zum Beispiel hätten Brillen auf dem Nachtisch gelegen, während sich jemand umzieht. In einem anderen Fall habe jemand die Brille getragen, als eine Person nackt aus dem Badezimmer kam. Wohnzimmer seien ebenso zu sehen gewesen wie Bankkarten – oder Nutzer:innen, die gerade einen Porno schauen. Die Datenarbeiter:innen sollen auch private Chats gesehen haben, berichtet das Svenska Dagbladet.

Im Artikel kommt ein anonymer Mitarbeiter von Sama zu Wort. Auf die Frage, ob es sich anfühle, als würde man direkt in das Leben der Menschen schauen, sagt er:

Wenn man diese Videos sieht, fühlt es sich so an. Aber da es ein Job ist, muss man es tun. Man versteht, dass man das Privatleben von jemandem betrachtet, aber gleichzeitig wird von einem erwartet, dass man einfach seine Arbeit macht. Man soll keine Fragen stellen. Wenn man anfängt, Fragen zu stellen, ist man weg.

Volle Funktionen nur mit Datenweitergabe

Die Journalist:innen haben die Brillen auch technisch getestet. Beim Kauf hätten sie erfahren, dass sich die Brillen auch lokal per App nutzen ließen. Doch ohne Internetverbindung habe die KI-Funktion der Brille nicht funktioniert. Bei der Analyse des Netzwerkverkehrs stellten die Recherchierenden fest: Das mit der Brille verbundene Telefon habe häufig Kontakt zu Meta-Servern in Schweden und Dänemark.

Dem Artikel zufolge spiegele sich das auch in den Datenschutzbestimmungen wieder, die Nutzer:innen der Brille bestätigen müssen. Damit der KI-Assistent funktioniert, müssten Sprache, Text, Bilder und manchmal auch Videos verarbeitet und möglicherweise weitergegeben werden. „Diese Datenverarbeitung erfolgt automatisch und kann nicht deaktiviert werden“, heißt es in dem Bericht weiter. Auch in die Überprüfung aufgezeichneter Inhalten durch Menschen müssten Nutzer:innen einwilligen, um die Brille verwenden zu können.

„Transparenz und Rechtsgrundlage fehlen“

Kleanthi Sardeli ist Juristin bei der Wiener Datenschutz-Organisation None Of Your Business (NOYB). Sie kommentiert die Datenverarbeitung gegenüber dem Svenska Dagbladet: „Wenn dies in Europa geschieht, fehlen sowohl die Transparenz als auch die Rechtsgrundlage für die Verarbeitung.“ NOYB zufolge ist eine ausdrückliche Zustimmung erforderlich, wenn Daten zum Trainieren künstlicher Intelligenz verwendet werden.

Auch die schwedische Datenschutzbehörde IMY kritisiert gegenüber der Zeitung die Datenverarbeitung. „Der Nutzer hat wirklich keine Ahnung, was hinter den Kulissen vor sich geht“, sagt Petter Flink, ein IT-Spezialist der IMY.

Meta habe auf viele konkrete Fragen des Svenska Dagbladet zur Datenverarbeitung nicht konkret geantwortet, sondern auf die KI- und Datenschutzrichtlinien verwiesen: „Wenn Live-KI verwendet wird, verarbeiten wir diese Medien gemäß den Nutzungsbedingungen und Datenschutzrichtlinien von Meta AI.“ Das Subunternehmen Sama hat auf die Fragen der Journalist:innen nicht geantwortet.

IT-Forscher haben sich einen Mikro-Wechselrichter von APsystems genauer angeschaut, das Modell EZ1-M. Dabei stießen sie auf Schwachstellen, die Angreifern das Unterjubeln beliebig manipulierter Firmware ermöglichen.

Lücken in den Cloud-Systemen der Wechselrichter-Hersteller sind nichts Neues. Alle größeren und kleineren Anbieter haben damit zu kämpfen. Hoymiles musste 2023 etwa Sicherheitslücken in den Clouddiensten stopfen, durch die sich Wechselrichter etwa zerstören ließen. Anfang vergangenen Jahres haben sich IT-Forscher von Forescout Photovoltaik-Anlagen näher angesehen und stießen dabei auf 46 neue Schwachstellen, während sie zunächst knapp 100 ältere bekannte Sicherheitslecks gesammelt hatten – der Großteil von denen betraf die Solar-Monitor-Systeme und die Cloud-Backends dahinter. Die konkrete Untersuchung jetzt hat jedoch einige Eigenheiten mit interessanten Methoden aufgedeckt.

Analyse mithilfe künstlicher Intelligenz

Die Mitarbeiter der kleinen IT-Sicherheitsfirma Jakkaru aus dem nordhessischen Kassel haben ihr Vorgehen und eine detailliertere Analyse veröffentlicht. Sie haben die Firmware des ESP32-C2-basierten Photovoltaik-Mikro-Wechselrichters APsystems EZ1-M untersucht und dabei die Adresse des herstellereigenen MQTT-Brokers gefunden sowie zwei zufällige Zeichenketten im Kontext. Da das Reverse Engineering der Firmware herausfordernd war, setzten die IT-Forscher auf disassemblierten C-Code, den sie der Gemini-Pro-KI zur Interpretation vorwarfen. Das habe erstaunlich gut funktioniert, sodass der Verbindungsprozess einfach nachvollziehbar wurde. Dabei stellte sich heraus, dass die Geräte-Seriennummer – eine fortlaufende, vorhersehbare Nummer – zusammen mit offenbar statischen Keys AES-verschlüsselt und das Ergebnis nochmals Base64-kodiert wird und schließlich als Username respektive Passwort für den MQTT-Brokerdienst dient.

Bei der weiteren Analyse stießen sie auf MQTT-Topics, die zum Update der Firmware „Over the air“ (OTA) dienen. Direkter Zugriff mit den generierten Zugangsdaten zum Abonnieren solcher MQTT-Topics war nicht möglich. Allerdings kennt MQTT sogenannte „Retained Messages“. Die werden umgehend und persistent an die Clients geschickt, sofern sie sich verbinden. Ein Angriff war also möglich, indem sich bösartige Akteure mit dem MQTT-Broker mit den erstellten Zugangsdaten verbinden, was die Verbindung des echten Mikro-Wechselrichters unterbricht. Dann senden Angreifer eine OTA-Update-Nachricht mit „retained“-Flag, die die eigene Seriennummer enthält. OTA-Update-Nachrichten enthalten zudem einen URL-Parameter als Download-Verknüpfung für die Firmware, den Angreifer beliebig anpassen können. Nach dem Beenden der Verbindung versucht der Wechselrichter wieder, Kontakt aufzunehmen. Er erhält die Nachricht und startet das OTA-Update.

Die IT-Forscher kommen anhand ihrer Scans auf rund 100.000 zugreifbare EZ1-M-Wechselrichter. Es können aber auch andere Geräte anfällig sein, die auf dieselben MQTT-Broker setzen. Angreifer können sich mit manipulierter Firmware etwa in Netze einnisten, DDoS-Angriffe starten, die Geräte zerstören oder etwa durch massenhafte Geräteabschaltungen Stromnetze destabilisieren, führen die Mitarbeiter weiter aus. APsystems haben sie Mitte November des Vorjahrs kontaktiert, die bis Ende Februar 2026 gebraucht haben, die Sicherheitslücken zu schließen und Tests vorzunehmen. Diese konkreten Schwachstellen sind daher inzwischen geschlossen.

(dmk)