Wie anonym können wir künftig noch bezahlen? Diese Frage stellt sich vermehrt in einer Welt, in der digitale Zahlungsmethoden sich immer weiter verbreiten. Die Europäische Zentralbank wirbt für den Digitalen Euro im­mer wieder mit einem Level an Privatsphäre, dass „Bargeld-ähnlich“ oder „Bargeld-nah“ sein soll. Nun hat der Europäische Datenschutzausschuss, in dem nationale und der EU-Datenschutzbeauftragte zusammenkommen, ein Gutachten in Auftrag gegeben.

Eine der zentralen Fragen: Wie nahe kommt der digitale Euro an Bargeld und welche technischen Möglichkeiten für Anonymität gibt es? Das hat der Kryptographie-Professor Tibor Jager (Universität Wuppertal) für den Datenschutzausschuss untersucht.

Für den Kontext: Der Digitale Euro, Fach-Abkürzung „D€“, steht gerade im Fokus der EU-Institutio­nen. Die Europäische Zentralbank (EZB) treibt die technische Umsetzung voran. Parallel dazu gibt es einen Gesetzgebungsprozess, Parlament und Rat beraten gerade über den Vorschlag der Europäi­schen Kommission.

Digitale Zahlungen online und offline

In der Praxis soll der Digitale Euro online und offline funktionieren. Das Online-System kommt da ins Spiel, wo man den digitalen Euro etwa für das Einkaufen im Internet nutzt. Das Offline-System soll Bargeld mög­lichst ähnlich sein. Damit sollen etwa Privatpersonen einkaufen, aber auch Geld untereinan­der transferieren können, ohne dass eine Bank oder ein Zahlungsdienstleister das autorisieren oder mitbekommen muss. „Die Offline-Funktionalität des Digitalen Euro soll es Verbrauchern ermögli­chen, auch in Notfällen wie Strom- oder Netzwerkausfällen weiterhin Zahlungen zu tätigen“, schreibt die EZB in ihrem neuesten Fortschrittsbericht.

Tibor Jager kommt in seinem Gutachten zu dem Schluss, dass ein anonymer Offline-D€ durchaus möglich ist. „Es existiert eine Bandbreite kryptografischer Werkzeuge, die man nutzen kann, um Sicherheit vor Fälschungen sowie Anonymität auf sehr starke Weise sicherzustellen“, schreibt er. Anonymität heißt in diesem Kontext: nicht verknüpfbar. Voreinander sind Zahler und Bezahlte zwar nicht anonym, allerdings sollten Dritte den Zahlvorgang nicht nachverfolgen können.

Konkret nennt Jager unter anderem das Verfahren der Blinden Signaturen. Dadurch könnte auch sichergestellt werden, dass Banken zwar sehen, dass ein bestimmter Betrag abgehoben oder eingezahlt wird, aber nicht die Token-ID, quasi die digitale Seriennummer. Das soll die Nachver­folgung des D€ verhindern.

Das Problem mit dem „Double Spending“

Eine Problem nennt Jager im Gutachten allerdings immer wieder: Wie kann man bei Offline-Transaktionen „Double Spending“ verhindern? Also dass eine Person denselben Digitalen Euro mehrmals ausgibt. Im Vergleich zu Bargeld wandert beim digitalen Euro ja kein physischer Geldschein über den Ladentisch.

Während es laut Gutachten vergleichsweise ein­fach ist, zu verhindern, dass Unbefugte neue Digitale Euros erschaffen, sei das unbefugte Kopie­ren von D€ schwieriger zu verhindern, vor allem in einem Privatsphäre-schonenden Offline-System. Dann könnte eine Person mit ihrem D€ zweimal offline bezahlen. Aber nur der erste Empfänger könnte diesen D€ „einlösen“, bei der zweiten bezahlten Person würde das Umwandeln abgelehnt.

Unlösbar ist dieses Problem aber nicht. Laut dem Gutachten gibt es mehrere Schutzmechanismen gegen „Double Spending“:

Sichere Hardware: Schon jetzt ist geplant, dass der Digitale Euro in einer bestimmten Hardware-Umgebung auf dem Smartphone verwaltet wird, die sich durch andere Software auf dem Gerät nicht verändern lässt. Jager weist in seinem Gutachten darauf hin, dass es in der Geschichte immer wieder erfolgreiche Angriffe auf sichere Hardware-Elemen­te gegeben habe. Zudem werde die Sicherheit dieser Umgebung dadurch erschwert, dass nicht Personen von außen, sondern die Nutzer:innen selbst versuchen könnten, das System zu manipulieren. Um das Risiko gering zu halten, sollte die Hardware möglichst wenige Auf­gaben erfüllen. Dementsprechend sollten die Anonymität der Zahlungen und andere Sicherheitsmechanismen durch krypto­grafische Verfahren abgedeckt werden, die nicht auf entsprechenden Hardware-Sicherheitsmechanismen basieren.

Semi-Offline-Lösung: In diesem Szenario wäre nur die Zahlerin offline, der Bezahlte müss­te mit dem System verbunden bleiben, das dann den übertragenen D€ direkt verifizieren könnte. Auch wenn diese Idee aus Sicherheitsperspektive attraktiv ist, untergräbt sie eines der zentralen Versprechen des Offline-D€: Dass man mit ihm auch ohne Internetverbindung bezahlen kann, etwa während eines Stromausfalls.

Kleinere Einschränkungen: Das Gutachten nennt etwa Transfer-Limits, also Beschränkun­gen, wie oft und wie viel Geld mit dem Offline-D€ übertragen werden könnte. Dies mache Manipulationen weniger lukrativ. Auch aus finanzwirtschaftlicher Sicht wird beim D€ über über Halte-Limits diskutiert, also wie viele Digitale Euros man besitzen darf, bis diese in normales Bankguthaben umgewandelt würden. Das Gutachten diskutiert auch Ablaufdaten für die Tokens des Digitalen Euros.

Aufdecken statt Verhindern: Zudem könnte man sich weniger auf die Verhinderung als auf die Aufdeckung von „Double Spending“ konzentrieren. „Die Grundidee dieses Ansatzes besteht darin, einen Auditor einzuführen, der die Identität der Nutzer:innen nur in Fällen von Doppelausgaben offenlegen kann, während ehrliche Nutzer:innen bei normaler Nutzung vollständig anonym bleiben (auch gegenüber dem Auditor)“, schreibt Jager. Auch das sei durch das Blinde-Signaturen-Verfahren möglich.

Sicherheit braucht Transparenz

Alle diese Ideen führen an anderen Stellen zu Nachteilen. Diese Abwägungen müssten gut ausba­lanciert werden, heißt es in dem Gutachten. Der Idee von Security by Obscurity („Sicherheit durch Unklarheit“) erteilt das Gutachten eine klare Absage. Insgesamt könne man die Sicherheit des Digitalen Euros nur durch Transparenz erhöhen. Die technischen Anforderungen und Protokolle müssten öffentlich sein, fordert Jager. Es sollte Open-Source-Implementierungen für die entsprechende Soft- und Hardware geben. Sicherheits­forscher:innen und ethische Hacker:innen sollten aktiv ermutigt werden, das System auf Schwach­stellen zu testen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, hatte das Gutachten beim Europäischen Datenschutzausschuss angeregt. Gegenüber netzpolitik.org sagt sie: „Das Gutachten erklärt, vor welchen technischen Herausforder ungen eine anonymeOffline-Version des Digitalen Euros steht und zeigt, wie man sie lösen kann.“ Damit könne eine Bargeld-ähnliche Funktion machbar sein, die Betrug verhindert und trotzdem anonyme Zahlungen bis zu einem bestimmten Betrag ermöglicht, sagt Kamp.

„Ein hoher Datenschutzstandard ist entscheidend, um das Vertrauen der Bürger:innen in diese neue Form der Währung zu sichern. Die Möglichkeit, kleinere Beträge anonym zu bezahlen, würde den Digitalen Euro einzigartig machen und ihn von anderen digitalen Zahlungsmethoden abheben.“

Welche Datenschutzanforderungen die EU-Institutionen gesetzlich festlegen, wird sich in den kom­menden Monaten entscheiden. Nach Auskunft von Damian Boeselager (Volt, Greens/EFA), Schat­tenberichterstatter des EU-Parlaments zum Digitalen Euro, will das Parlament im Mai 2026 seine Position verabschieden. Die dänische Ratspräsidentschaft will die Position der Mitgliedsstaaten noch in diesem Jahr verabschieden, berichten mehrere Quellen. Sobald Parlament und Rat ihre Positionen beschlossen haben, kann der Trilog beginnen, also die Verhand­lung zwischen Ministerrat (den Mitgliedsstaaten), EU-Parlament und EU-Kommission.

Hinweis: Das Gutachten ist in englischer Sprache verfasst. Die direkten Zitate wurden übersetzt.

Seit ein paar Tagen läuft ein Supply-Chain-Angriff über die Marktplätze von Visual Studio Code. Betroffen sind sowohl der Marketplace von Microsoft als auch der alternative Open-VSX-Marktplatz der Eclipse Foundation.

Das auf Endpoint-Security spezialisierte Unternehmen Koi hat eine sich selbst verbreitende Schadsoftware entdeckt und GlassWorm getauft. Die Malware greift nicht nur Zugangsdaten ab, sondern nutzt den Zielrechner mit einem Remote-Access-Trojaner als Proxy-Knoten.

Zumindest im Open-VSX-Marktplatz sind nach wie vor infizierte Pakete vorhanden. Wie die im September auf npm gefundene Schadsoftware Shai Hulud vermehrt sich GlassWorm selbst und nutzt dazu neben der Open VSX Registry unter anderem GitHub und npm.

Malware per Update

Koi hat die Malware erstmals in der Open VSX Extension CodeJoy entdeckt. Auf den ersten Blick sieht CodeJoy wie eine reguläre Erweiterung aus, die ein paar nützliche Tools mitbringt. In Version 1.8.3 zeigt die Extension dann erstmals verdächtiges Verhalten wie Netzwerkzugriffe, die nichts mit den eigentlichen Funktionen zu tun hatten.

Wer in Visual Studio Code extensions.autoUpdate aktiviert, erhält automatisch Updates aller Extensions, inklusive potenzieller Malware. Dass scheinbar nützliche Software erst per Update Schadcode erhält, ist keine Seltenheit.

Unsichtbarer Schadcode

Die Schadfunktionen von GlassWorm sind äußerst gut versteckt. Die Malware setzt nicht einfach auf die üblichen Verschleierungstechniken oder mehrfach indirektes Nachladen, sondern enthält unsichtbaren Code dank nicht darstellbarer Unicode-Zeichen. Offenbar ist das mit dem Unicodeblock Variantenselektoren gelungen.

Laut dem Koi-Blog ist der Code nicht nur für menschliche Reviewer, sondern auch für statische Codeanalysewerkzeuge unsichtbar, aber der JavaScript-Interpreter führt den versteckten Code aus. Das Vorgehen ist neu, und der unsichtbare Code ist der Grund dafür, dass Koi die Schadsoftware GlassWorm getauft hat.

Kein gewöhnlicher C2-Server

Auch beim Command-and-Control-Server (C2-Server) geht GlassWorm neue Wege: Die Extensions nutzen die Solana-Blockchain als Infrastruktur, also eine öffentliche Blockchain. Darüber besorgen sie sich Links im Base64-Format auf den weiteren Payload mit der eigentlichen Schadsoftware.

Für die Angreifer hat die Blockchain zahlreiche Vorteile: Sie ist verteilt und bietet unveränderliche, anonyme Transaktionen. Außerdem lässt sich die C2-Infrastruktur nicht abschalten: Wenn jemand den auf der Blockchain abgelegten C2-Server abschaltet, können die Angreifer eine Transaktion mit einer neuen Adresse veröffentlichen, auf der sich die Schadsoftware anschließend bedient.

Abgriff von Credentials und die Arbeit als Wurm

Der von GlassWorm über die Infrastruktur nachgeladene Payload besteht wohl aus AES-256-CBC-verschlüsseltem Code. Der zugehörige Schlüssel findet sich direkt in den HTTP-Response-Headern, wodurch er sich dynamisch verteilen lässt.

Der Schadcode sucht schließlich nach Credentials für diverse Developer-Plattformen und nutzt sie, um sich weiterzuverbreiten.

GlassWorm nutzt npm-Authentifizierungs-Token, um Pakete mit Schadcode auf dem JavaScript-Paketmanager zu veröffentlichen. GitHub-Token und Git-Credentials dienen ihm dazu, legitime Repositorys zu kompromittieren. Zugangsdaten zu Open VSX nutzt die Malware, um weitere Visual-Studio-Code-Erweiterungen mit Schadcode zu veröffentlichen.

Schließlich sucht die Software nach Zugangsdaten für Kryptowährungen. Und als Bonus enthält sie einen Link auf den Google-Kalender, der ein raffinierter Backupmechanismus für die C2-Infrastruktur ist.

Zombi(e) als Bonus

In dem Kalender-Link findet sich eine weitere URL im Base64-Format, die sogar im Verzeichnisnamen /get_zombi_payload/ die Funktion offenbart: Der heruntergeladene, verschleierte und verschlüsselte Code zeigt sich als Remote-Access-Trojaner. Der infizierte Rechner wird zum SOCKS-Proxy-Server und öffnet damit den Zugriff auf den firmeninternen Nertzwerkverkehr.

Die Steuerung erfolgt über Peer-to-Peer-Verbindungen via WebRTC. Und wieder liegen die Befehle nicht auf einem einzelnen C2-Server, sondern die Angreifer verteilen sie über BitTorrent.

Aktiver Glaswurm

Koi hat den Schadcode am 17. Oktober 2025 entdeckt und zunächst sieben infizierte Extensions in der Open VSX Registry gefunden. Kurz danach tauchten weitere betroffene Erweiterungen sowohl dort als auch im VS Code Marketplace auf. Das Unternehmen zählte insgesamt 35.800 Installationen.

Der Koi-Blog listet im Anhang die Namen der gefundenen Pakete, die bekannten Payload-URLs sowie der Solana-Wallet und -Transaktion auf.

Wer eins der betroffenen Pakete installiert hat, muss davon ausgehen, dass sich die Schadsoftware auf seinem System befindet. Dasselbe gilt für Zugriffe auf die bekannten Adressen von C2-Servern und die betroffene Solana-Wallet.

(rme)

Ein Gericht in den USA hat das Tech-Unternehmen NSO Group Technologies dazu verpflichtet, den Messengerdienst WhatsApp nicht mehr anzugreifen. Laut dem Hersteller der Überwachungssoftware „Pegasus“ gefährdet diese Entscheidung den Geschäftsbetrieb des Unternehmens.

In dem am vergangenen Freitag verkündeten Urteil erließ US-Bezirksrichterin Phyllis Hamilton eine dauerhafte einstweilige Verfügung, die der NSO Group untersagt, WhatsApp-Nutzer ins Visier zu nehmen. Der Fall wurde vor dem Bezirksgericht der Vereinigten Staaten für den nördlichen Bezirk von Kalifornien in Oakland (Az. 19-CV-07123) verhandelt. Zugleich reduzierte das Gericht die dem WhatsApp-Mutterkonzern Meta zugesprochene Schadensersatzsumme von 167 auf „nur noch“ vier Millionen US-Dollar. Richterin Hamilton begründete die Entscheidung damit, dass das Verhalten der NSO Group nicht als „besonders schwerwiegend“ einzustufen sei und deshalb keinen so hohen Schadensersatz rechtfertige.

Trotz der Reduzierung der Strafzahlung zeigten sich Verantwortliche von WhatsApp erfreut über den Richterspruch. „Das heutige Urteil verbietet dem Spyware-Hersteller NSO, WhatsApp und unsere weltweiten Nutzer jemals wieder ins Visier zu nehmen“, erklärte WhatsApp-Chef Will Cathcart in einer Stellungnahme. „Wir begrüßen diese Entscheidung, die nach sechs Jahren Rechtsstreit gefällt wurde, um NSO für die Überwachung von Mitgliedern der Zivilgesellschaft zur Rechenschaft zu ziehen.“

Langjährige Auseinandersetzung vor Gerichten

Der Rechtsstreit beschäftigt Gerichte seit vielen Jahren. In einer im Oktober 2019 eingereichten Klage warf der WhatsApp-Mutterkonzern Meta NSO Group vor, bei der Installation der Spionagesoftware Pegasus gegen verschiedene Gesetze verstoßen zu haben. So soll NSO Group Anfang 2019 unrechtmäßig auf WhatsApp-Server zugegriffen und dadurch die Überwachung von 1.400 Personen, darunter Journalisten und Menschenrechtsaktivisten, ermöglicht haben.

Im Jahr 2020 lehnte ein Richter den Antrag von NSO Group auf eine Form der Immunität ab. Gegen diese Entscheidung legte das Unternehmen Berufung ein. Ein Berufungsgericht jedoch bestätigte im Jahr 2021 die Entscheidung. Anfang 2023 wiesen schließlich die Richter des US-Supreme Court die Berufung von NSO Group zurück. In dieser hatte das Unternehmen argumentiert, es sei immun gegen eine Klage, weil es bei der Installation der Spionagesoftware als Agent für nicht identifizierte ausländische Regierungen gehandelt habe.

Der Fall landete schließlich vor dem US-Bezirksgericht für den nördlichen Bezirk von Kalifornien. Ende Februar 2024 entschied die zuständige Richterin, dass NSO Group den Quellcode der Pegasus-Spyware herausrücken muss. Kurz vor dem Jahreswechsel gab das Gericht schließlich dem Antrag von WhatsApp statt. Anfang Mai dann sprach eine Geschworenenjury Meta schließlich mehr als 167 Millionen US-Dollar Schadenersatz zu. Dagegen legte die NSO Group Widerspruch ein und forderte eine Neuanordnung des Verfahrens oder eine Reduzierung der Schadenssumme. Zumindest die Reduzierung hat NSO Group erreicht.

Herausforderung für NSO Group

Zufrieden dürfte das Unternehmen, das kürzlich von einer US-amerikanischen Investorengruppe übernommen wurde, dennoch nicht sein. Vielmehr dürfte die einstweilige Verfügung, nicht mehr gegen WhatsApp vorzugehen, für NSO Group eine Herausforderung darstellen, vermutet die Nachrichtenagentur Reuters. In dem Verfahren hatte das Unternehmen argumentiert, dass die beantragte einstweilige Verfügung „das gesamte Unternehmen NSO gefährden“ und „NSO aus dem Geschäft drängen“ würde, da „Pegasus das Flaggschiffprodukt von NSO ist“, heißt es in dem Urteil.

NSO Group argumentiert, dass die Pegasus-Software Strafverfolgungsbehörden und Nachrichtendienste bei der Verbrechensbekämpfung und dem Schutz der nationalen Sicherheit unterstützt und dabei helfen soll, Terroristen, Pädophile und Schwerverbrecher dingfest zu machen. Fakt ist aber auch, dass zahlreiche Regierungen weltweit die Pegasus-Spyware in den vergangenen Jahren zur politischen Überwachung genutzt haben, wie etwa in Mexiko zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Antikorruptionskämpfern.

Das Unternehmen kündigte an, die Entscheidung des US-Gerichts zu prüfen und „entsprechend über die nächsten Schritte zu entscheiden“.

(akn)