Überwachungsfirmen, die auf Daten aus der Online-Werbeindustrie zurückgreifen, umwerben offenbar offensiv europäische Sicherheitsbehörden. Das geht aus einer am 22. Januar veröffentlichten Recherche von Le Monde (€) hervor. Die französische Zeitung konnte mehreren vertraulichen Werbe-Präsentationen unterschiedlicher Hersteller beiwohnen und Gespräche mit französischem Sicherheitspersonal führen.

Die Recherche zeigt, wie aktiv mehrere sogenannte ADINT-Firmen auch in Europa für ihre Dienste werben. Die Abkürzung steht für advertising-based Intelligence, werbebasierte Erkenntnisse. Es geht um einen anscheinend wachsenden Zweig der globalen Überwachungsindustrie, der sich darauf spezialisiert hat, Daten aus dem Ökosystem der Online-Werbung für staatliche Akteure aufzubereiten. Insbesondere für Handy-Standortdaten ist die Online-Werbebranche wohl eine Goldgrube, wie nicht zuletzt unsere Databroker-Files-Recherchen gezeigt haben.

Le Monde gibt nun neue Einblicke in die Selbstvermarktung einer sonst verschlossenen Branche. „Jedes Gerät, jederzeit, überall“, so lautet beispielsweise der Slogan einer ADINT-Firma. „Wir sammeln permanent Daten“, rühmt sich der Vertreter einer anderen. Mindestens eine Person aus französischen Sicherheitsbehörden hat das dem Bericht zufolge beeindruckt.

Von wegen anonym: Daten sammeln, Menschen finden

Für ADINT machen sich Firmen und Behörden zunutze, dass die Online-Werbeindustrie in den vergangenen Jahrzehnten den wohl größten Überwachungsapparat der Menschheitsgeschichte aufgebaut hat. Im Mittelpunkt stehen populäre Handy-Apps. Von dort fließen Standortdaten und andere Informationen in einem unübersichtlichen Ökosystem aus hunderten bis tausenden Firmen, für die Betroffenen weitgehend unkontrolliert. Tracking-Unternehmen, Datenhändler und ADINT-Dienstleister sammeln diese Daten auf unterschiedlichen Wegen ein und gründen darauf ihr Geschäft.

Insgesamt habe LeMonde um die 15 Firmen gezählt, die ADINT-Dienstleistungen anbieten. Darunter mehrere Anbieter mit Sitz in Israel oder den USA wie Penlink, Rayzone, Cognyte und Wave Guard. Doch auch das italienische RCS Lab biete mit seinem Produkt Ubiqo laut Bericht ADINT-Services an. Die genannten Anbieter ließen eine Presseanfrage von netzpolitik.org unbeantwortet.

Eine Vertriebsperson von RCS Lab soll dem Bericht zufolge in einer vertraulichen Präsentation damit geprahlt haben, man könne mit hoher Trefferquote Personen hinter pseudonymen Werbe-IDs identifizieren. Das sind einzigartige Kennungen, die mobile Betriebssysteme von Apple und Google ihren Nutzer*innen verpassen. Apps schicken diese Kennungen ins Werbe-Ökosystem, oftmals gemeinsam mit Standortdaten. Gelegentlich werden solche IDs als „anonym“ bezeichnet.

Laut Le Monde wolle RCS Lab mithilfe von Werbedaten angeblich 95 Prozent der italienischen Handys de-anonymisieren können. Die Zeitung bezieht sich dabei auf Aussagen eines Verkäufers. Auf offizielle Anfrage habe das Unternehmen das gegenüber Le Monde jedoch „vehement“ bestritten.

Durchwachsene Datenqualität

Wie leicht es möglich ist, konkrete Personen mithilfe von Standortdaten aus der Werbe-Industrie zu identifizieren, zeigen die Databroker-Files-Recherchen von netzpolitik.org, dem Bayerischem Rundfunk und Partnermedien. Mit verhältnismäßig einfachen Mitteln und kostenlosen Vorschaudatensätzen ist das mehrfach gelungen. Welcher Aufwand notwendig wäre, um dies im großen Stil zu machen, lässt sich nur schätzen.

Laut Le Monde haben jedoch auch andere Firmen mit ihren Fähigkeiten geworben, Personen gezielt zu identifizieren. Auf der Fachmesse für innere Sicherheit Milipol habe etwa das Unternehmen Wave Guard im Jahr 2025 seine „ADINT-Deanonymisierungsplattform“ vorgestellt. Auch Rayzone und Cognyte hätten demnach ähnliche Fähigkeiten versprochen. Penlink wiederum solle Ermittlern gesagt haben, es nutze gehackte und geleakte Daten aus dem Internet, um Standortdaten und Werbe-IDs echten Personen zuzuordnen.

Im Widerspruch zu vollmundigen Marketing-Versprechen der Branche steht die mangelhafte Qualität der Daten aus der Online-Werbeindustrie. Einer Studie des NATO-Forschungszentrums Stratcom aus 2021 zufolge könnten wohl nur 50 bis 60 Prozent der kursierenden Werbe-Daten als präzise angesehen werden. Die Vertriebsperson eines israelischen Unternehmens habe gegenüber Le Monde geschätzt, dass sogar 80 bis 85 Prozent der Daten, die sie sammeln, unbrauchbar seien.

Realistischerweise könne man weltweit etwa zehn oder 15 Prozent der Handys mit ADINT überwachen, soll eine andere anonyme Quelle geschätzt haben, wie Le Monde berichtet. Für Strafverfolgung eigne sich das weniger, für Geheimdienste jedoch mehr.

Zur Zielgruppe zählt offenbar auch der private Sektor

Beworben werden solche Überwachungsprodukte offenbar auch als Werkzeuge, um Migrant:innen ins Visier zu nehmen. So berichtet Le Monde aus einer vertrauliche Präsentation des Unternehmens Rayzone, das sein ADINT-Produkt als Waffe im „Kampf gegen illegale Migration“ angepriesen haben soll. Durch das gezielte Sammeln von Werbe-IDs an bekannten Grenzübergängen für Geflüchtete sollen Behörden demnach in die Lage versetzt werden, Telefone zu identifizieren, die dort regelmäßig auftauchen. So könnten etwa Schleuser gefunden werden. Gegenüber Le Monde habe Rayzone mitgeteilt, Kund:innen streng zu prüfen. Das Produkt könne nur für bestimmte Zwecke eingesetzt werden, etwa um Kriminalität oder Terror zu verhindern.

Bekannt ist, dass in den USA die paramilitärische ICE-Truppe bereits ADINT-Dienstleister nutzt, um Menschen für die Deportation aufzuspüren. Neu ist hingegen, dass ADINT-Firmen ihre Produkte offenbar nicht nur an staatliche Abnehmer verkaufen. Dem Bericht von Le Monde zufolge soll beispielsweise Wave Guard seine Dienste auch als Werkzeug für Finanzinstitute vermarkten – für „verbesserte Sicherheit und Betrugsprävention“.

Ob auch deutsche Behörden ADINT-Produkte beziehen, ist nicht öffentlich bekannt. Expert:innen halten das für wahrscheinlich, da diese Praxis in anderen europäischen Ländern wie Norwegen und den Niederlanden bereits belegt ist. Erst im Dezember verweigerte die Bundesregierung jedoch der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) eine Antwort auf diese Frage.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik untersucht den deutschen Teil des Internets nach verwundbaren Diensten. Dabei kam es in der vergangenen Woche auf rund 2500 verwundbare VMware ESXi-Instanzen, deren Verwaltungsschnittstellen offen aus dem Internet zugänglich waren.

Das hat die oberste deutsche IT-Sicherheitsbehörde im sozialen Netzwerk Mastodon gemeldet. „CERT-Bund sind aktuell rund 2.500 offen aus dem Internet erreichbare Management-Schnittstellen von VMware ESXi-Servern in Deutschland bekannt“, schreibt das BSI dort. Weiter ergänzt sie: „Diese sollten grundsätzlich nicht im Internet exponiert werden.“

Der Scan-Analyse zufolge laufen 60 Prozent der Server mit veralteten Versionen, die nicht einmal mehr Support vom Hersteller erfahren. „Weitere 31% laufen mit einer aktuellen Version, aber einem veralteten Patch-Stand“ – somit sind die für Cyberattacken anfällig.

Sisyphos-Arbeit des BSI

„CERT-Bund benachrichtigt deutsche Netzbetreiber seit zwei Jahren zu betroffenen Systemen in ihren Netzen“, erklären die Autoren der Meldung weiter. Eine nie enden wollende Aufgabe offenbar, was auch schon bei anderen anfälligen Servern auffiel. So stehen eine Größenordnung höhere Anzahl an verwundbaren Exchange-Servern offen im Netz und sind dadurch Angreifern ausgeliefert. Mehr als 30.000 allein in Deutschland sah das BSI Ende vergangenen Oktober.

Da nimmt sich die Anzahl an im Netz erreichbaren, verwundbaren Zimbra-Server mit rund 600 nicht mehr vom Hersteller unterstützten Fassungen und mehr als 150 weiteren für aktuelle, kritische Schwachstellen anfälligen Systemen Mitte Januar 2026 vergleichsweise klein aus.

Für die verwundbaren Softwarestände gibt es aktualisierte Versionen, die die Sicherheitslücken darin schließen. Offenbar hinken Admins in deutschen Organisationen ungebrochen zu einem großen Anteil mit Aktualisierungen teils deutlich hinterher.

(dmk)

Microsoft hat am Montag ein Notfall-Update für Microsoft 365 und mehrere Office-Versionen herausgegeben. Die zugrundeliegende Sicherheitslücke wird bereits aktiv ausgenutzt. Es reicht, wenn das Opfer eine entsprechend manipulierte Office-Datei öffnet, um den Angriff zum Erfolg werden zu lassen. Offenbar ist es damit möglich, Sicherheitsmaßnamen zu umgehen, die die Ausführung schädlicher OLE- (Objekt-Verknüpfung und -Einbettung) und COM-Komponenten (Component Object Model) verhindern sollen.

Nähere Details verrät der Datenkonzern in seinen Mitteilungen bislang nicht. Die Sicherheitslücke ist als CVE-2026-21509 verzeichnet und mit einem CVE-Wert von 7.8 als „hoch“ eingestuft. Betroffen sind Microsoft 365 Apps for Enterprise sowie die Office-Versionen 2016 (Version 16.0.0 bis vor 16.0.5539.1001), 2019 (16.0.0 bis vor 16.0.10417.20095), LTSC 2021 und LTSC 2024, jeweils die Varianten für 32 Bit und 64 Bit.

Was zu tun ist

Das Update für Office 2021 und 2024 wird serverseitig eingespielt; Anwender müssen lediglich ihre Office-Anwendungen komplett neu starten, um den Schutz zu erhalten. Das muss wohl auch für Microsoft 365 Apps for Enterprise gelten; Microsoft hat sich bislang dazu nicht geäußert, die einschlägige Webpage ist noch nicht aktualisiert.

Für mit Großhandelslizenzen installierte Office 2019, wie zum Beispiel Office Professional Plus 2019, ist die Unterstützung zwar ausgelaufen, doch hat der Softwarekonzern dennoch ein Update aufgelegt. Um die Sicherheitslücke zu schließen, gilt es, auf Version 1808 Build 10417.20095 upzugraden. Für lokal installierte Office 2016 gibt es das Update KB5002713, welches das Update KB5002522 vom 13. Februar 2024 ersetzt. Alternativ können Windows-Benutzer in den beiden letztgenannten Fällen die System-Registry manuell bearbeiten.

Für im Einzelhandel erworbene Ausgaben von Office 2016 C2R (click to run) und Microsoft Office 2019 gibt es kein Update. Microsoft hat die Unterstützung Mitte Oktober 2025 eingestellt und bleibt auch dabei.

Am Wochenende hat Microsoft ungeplante Windows-Updates nachgelegt. Sie korrigieren Fehler der jüngsten fahrplanmäßigen Patches und bringen neue Boot-Zertifikate.

(ds)