Gegenüber Internetnutzern spricht Utiq von seiner „sozialen Verantwortung, die Daten der Menschen zu schützen und ihre Privatsphäre zu erhalten“. An mögliche Kunden gerichtet wirbt die Tracking-Firma dagegen damit, auch „Zielgruppen in schwer zu trackenden Umgebungen zu erreichen, ohne auf 3rd-Party-Cookies zu setzen“. Immer mehr Internetnutzer blockieren die kleinen Dateien zum Tracking von Drittanbietern, die Anbieterfirma von Utiq positioniert sich als Alternative.

Das Unternehmen Utiq gibt es seit etwa zwei Jahren – ursprünglich war die Trackingtechnologie für Mobilfunkanschlüsse vorgesehen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sieht das Verfahren „zwiespältig“. Den Internetanbietern – ohne deren Zusammenarbeit Utiq nicht funktionieren würde – komme ein besondere Vertrauensstellung zu. Dies sei mit dem Utiq-Tracking nur schwer vereinbar. Doch neben Mobilfunkanschlüssen trackt Utiq mittlerweile auch Breitband-Festnetzanschlüsse der Deutschen Telekom. Das zeigt eine Liste von teilnehmenden Telekommunikationsanbietern, die Utiq im Netz veröffentlicht.

Der digitalpolitische Verein D64 veröffentlichte letztes Jahr eine Recherche zu der Trackingtechnologie, die der Verein mit „Big Brother made in Germany“ betitelt hat. Gegenüber netzpolitik.org erneuert D64 diese Kritik: „Ausleitung von Informationen der Telekommunikationsunternehmen zu Werbezwecken sehen wir nach wie vor kritisch“. Grundsätzlich lehne D64 jegliches Tracking zu Werbezwecken ab.

Was ist an Utiq besonders?

Utiq arbeitet mit Internetanbietern zusammen. Deshalb kann das Unternehmen Surfverhalten über den Internetanschluss wiedererkennen, selbst nachdem Nutzer Cookies gelöscht, den Browser gewechselt oder gar ein neues Gerät genutzt haben. Mehrere Geräte in einem WLAN kann Utiq jedoch nicht auseinanderhalten.

Für die Nachverfolgung erhält die Firma von den teilnehmenden Anbietern keine persönlichen Daten wie die Mobilfunknummer oder Vertragsnummer, sondern eine einzigartige, pseudonyme Kennung. Utiq selbst erstellt kein Nutzerprofil, gibt an seine Kunden wie zum Beispiel bild.de oder die Hamburger Morgenpost Tracking-Cookies weiter, den Utiq dann mit dem Pseudonym verknüpfen kann. Die Utiq-Tracking-Cookies sind auf jeder Website unterschiedlich und bis zu 90 Tage lang gültig. In der kurzen Gültigkeit sieht Utiq einen besonderen Schutz der Websitenbesucher.

D64 meint hingegen, dass Utiq eine Ergänzung zu herkömmlichen Tracking-Mechanismen mit längeren Laufzeiten sei – und keine Alternative. Das Utiq-Pseudonym ließe sich potenziell mit Informationen aus anderen Trackern kombinieren, meint D64 auf Anfrage von netzpolitik.org. Unseren Recherchen nach arbeitet beispielsweise bild.de aktuell neben Utiq mit 271 anderen Drittanbietern zusammen und der Cookie-Banner der Hamburger Morgenpost listet derzeit 275 weitere Partner auf.

Ausführlichere und technische Erklärungen bieten die Deutsche Telekom und Utiq selbst (en).

Betrifft mich das?

Damit das Tracking aktiviert wird, muss zunächst dein Telekommunikationsanbieter mit Utiq zusammenarbeiten. Zweitens sollte sich Utiq erst dann aktivieren, wenn du dem Tracking zustimmst. Dafür sollten Website-Betreiber deine Einwilligung registrieren – meist passiert das mit einem Cookie-Banner und einem Utiq-Pop-Up. Auf dem Cookie-Banner kannst du aus der Liste von oft hunderten Trackern und Cookies explizit dem Utiq-Verfahren oder direkt allen Trackern widersprechen. Solltest du hingegen einwilligen, öffnet sich ein weiteres Utiq-Pop-Up. Hier kannst du erneut explizit dem Utiq-Verfahren widersprechen.

Die „Allen Trackern widersprechen“- oder „Alles ablehnen“-Knöpfe verstecken Website-Anbieter gerne mit sogenannten manipulativen Designs, die dich vom Widerspruch abbringen sollen. Zudem gibt es Pay-or-Okay-Modelle, bei denen Tracking nur gegen Bezahlung deaktiviert wird.

Wie kann ich widersprechen?

Ein permanentes Opt-Out bei deinem Internetanbieter sei nicht vorgesehen und notwendig, erklärt die Deutsche Telekom auf Anfrage von netzpolitik.org. Nach Ansicht des Unternehmens willigen Kunden der Datenübertragung auf denjenigen Webseiten ein, auf denen Utiq verwendet wird. Also kannst du dem Tracking erstmal nur auf dem Cookie-Banner und dem Utiq-Pop-Up jeder entsprechenden Website widersprechen.

Du willst lieber, dass Utiq niemanden über deinen Internetanschluss trackt, selbst wenn dem jemand zustimmt? Dazu bietet Utiq ein „globales Opt-Out“ in seinem „consenthub“ an. Das lässt sich über den entsprechenden Internetanschluss besuchen. Der Widerspruch dort gilt ein Jahr lang, was D64 als „willkürlich“ bezeichnet. Selbst ein aktiver „globaler Opt-Out“ erfordert zur Verifikation einen gewissen Datenaustausch zwischen Utiq und dem Internetanbieter. Damit Utiq und dein Internetanbieter gar nicht miteinander reden, müssten alle Nutzenden also auf jeder Website dem Tracking widersprechen.

Zudem helfen beispielsweise das im Brave-Browser integrierte „Shield“ und die „strenge“ Variante der Aktivitätenverfolgung im Firefox-Browser. Wenn diese Funktionen aktiviert sind, kann Utiq die notwendigen Skripte nicht mehr einbetten. Für technisch Versierte verschaffen Browser-Erweiterungen wie beispielsweise uBlock Origin Abhilfe. Auch ein Netzwerk-weiter Ad-Blocker wie etwa Pi-hole sollte Utiq unterbinden. Diese Werkzeuge blockieren übrigens neben Utiq auch viele weitere Tracker.

Eine Sicherheitslücke in Citrix Netscaler ADC und Gateway entpuppte sich vergangene Woche als gravierend. Sie bekam daher von IT-Sicherheitsforschern den Titel „CitrixBleed 2“ verpasst. Nun haben andere IT-Forscher Indizien entdeckt, die auf laufende Angriffe auf die Schwachstelle hindeuten. IT-Verantwortliche sollten schleunigst die bereitstehenden Updates anwenden.

Die IT-Forscher von Reliaquest beschreiben in einem Blog-Beitrag, dass sie Ende vergangener Woche Indizien für aktiven Missbrauch der Schwachstelle im Internet beobachtet haben. Ganz sicher sind sie sich jedoch nicht, denn sie schränken ein: „Mit mittlerer Sicherheit stufen wir ein, dass Angreifer aktiv die Schwachstelle attackieren, um initialen Zugriff auf Ziel-Umgebungen zu erlangen“. Bei der „CitrixBleed 2“-Lücke handelt es sich um lesenden Speicherzugriff außerhalb vorgesehener Speichergrenzen, wodurch etwa Session-Token ausgelesen und zur Umgehung von Authentifizierung einschließlich Mehr-Faktor-Authentifizierung (MFA) missbraucht werden können (CVE-2025-5777 / EUVD-2025-18497, CVSS 9.3, Risiko „kritisch„).

Beobachteter Missbrauch

Sie haben übernommene Citrix-Web-Sessions auf Netscaler-Geräten beobachtet, schreiben die IT-Sicherheitsforscher. Authentifizierung sei ohne Kenntnis der User erlangt worden, was auf die Umgehung von MFA hindeute. Zudem wurden Session von mehreren IP-Adressen aus wieder genutzt, einschließlich Kombinationen von erwarteten und verdächtigen IP-Adressen. Weiterhin fanden LDAP-Anfragen statt, die üblicherweise mit Active-Directory-Reconnaissence-Aktivitäten, also erneutem Zugriff nach initialem Einbruch, in Verbindung stehen. Quer über die Umgebung fanden sich weiterhin Instanzen des „ADExplorer64.exe“-Tools, mit dem Domänen-Gruppen und Zugriffsrechte an mehrere Domain-Controller gestellt wurden. Außerdem stammten einige der Citrix-Sessions aus Rechenzentren-IP-Bereichen, die die Nutzung von Endkunden-VPN-Diensten nahelegen.

Die Reliaquest-Mitarbeiter empfehlen, umgehend die fehlerbereinigten Softwareversionen zu installieren und den Zugriff auf Netscaler einzuschränken. Zudem sollten Admins ungewöhnliche Aktivitäten überwachen, die auf Exploit-Versuche hindeuten. Das schließt die Wiederbenutzung von Sessions und die Webserver-Logs mit HTTP-Anfragen mit ungewöhnlichen Zeichenlängen ein. Als Beispiel verweisen die IT-Forscher auf das ursprüngliche „CitrixBleed“, bei dem HTTP-GET-Anfragen an den API- Endpunkt „/oauth/idp/.well-known/openid-configuration HTTP/1.1“ gerichtet wurden, bei denen der HOST_Header 24.812 Zeichen enthielt.

Vergangene Woche hatte Citrix die Schwachstellenbeschreibung der Sicherheitslücke CVE-2025-5777 / EUVD-2025-18497 angepasst. Sie hat seitdem einen ähnlichen Wortlaut wie die für die ursprüngliche „CitrixBleed“-Sicherheitslücke CVE-2023-4966 / EUVD-2023-54802, die 2023 massiv von Cyberkriminellen attackiert wurde.

(dmk)

Die Folgen eines Cyberangriffs auf den Pathologiedienstleister Synnovis im Juni 2024 werden immer deutlicher, wie aktuelle Untersuchungen zeigen. Demnach trug der Angriff – der zahlreiche Londoner Klinken massiv beeinträchtigt hatte –, auch zum Tod eines Patienten bei. Darüber berichtete unter anderem die BBC.

Laut NHS England liegt in diesem Fall ein „serious incident“ vor, da Blutergebnisse durch die IT-Störung nicht rechtzeitig bereitgestellt werden konnten. Das führte nachweislich zu einer Verzögerung der Patientenversorgung und damit zum Tod eines Patienten. Die offiziellen Leitlinien betonen, dass auch „unbeabsichtigte oder unerwartete Vorfälle, Handlungen oder Unterlassungen, die zu Schaden oder Todesfällen führen“, als schwerwiegende Sicherheitsvorfälle einzustufen sind.

Da der Tod des Patienten direkt auf die durch den Cyberangriff verursachte Verzögerung zurückzuführen ist, sind demnach eindeutig die Kriterien eines schwerwiegenden Vorfalls infolge eines „externen Ereignisses“ im Gesundheitswesen erfüllt: „Acts and/or omissions occurring as part of NHS-funded healthcare […] that result in: unexpected or avoidable death of one or more people.“

Die verspätete Bereitstellung der Blutergebnisse wird als wesentlicher Hauptfaktor unter mehreren Ursachen angesehen, die letztlich zum Tod des Patienten beigetragen haben, wie auch das HIPAA Journal berichtet – ein Fachblatt für Datenschutz und IT-Sicherheit im Gesundheitswesen. Damit wäre das der erste Todesfall in Europa, der konkret mit Ransomware als Ursache in Zusammenhang gebracht wird.

Weitreichende Auswirkungen

Der Angriff, der der Cyberkriminellengruppe Qilin zugeschrieben wird, legte zentrale IT-Systeme lahm und führte dazu, dass zahlreiche Londoner Krankenhäuser ihre Dienstleistungen stark einschränken mussten. Mehr als 10.000 ambulante Termine und über 1.700 geplante Eingriffe, darunter auch lebenswichtige Behandlungen wie Organtransplantationen und Krebstherapien, mussten verschoben werden.

Zudem waren die IT-Systeme der Bluttransfusionslabore stark beeinträchtigt, was zu einem akuten Mangel an Blutkonserven, insbesondere der Blutgruppe 0, führte. In der Folge wurden nicht nur die Bevölkerung, sondern auch NHS-Mitarbeiter und Medizinstudierende aktiv zum Blutspenden aufgerufen. Außerdem wurden Medizinstudenten dazu angehalten, in betroffenen Kliniken auszuhelfen, etwa als Botengänger für Labordaten oder bei der Patientenbetreuung.

In den ersten Tagen nach dem Angriff konnten in einzelnen Kliniken nur noch ein Bruchteil der üblichen Bluttests durchgeführt werden, was insbesondere chronisch Kranke und Risikopatienten traf. Auch Hausarztpraxen, die auf die Laborleistungen von Synnovis angewiesen sind, waren betroffen, sodass Routineuntersuchungen nur verzögert oder gar nicht stattfinden konnten. Finanziell bezifferte Synnovis die Auswirkungen des Angriffs auf mindestens 32,7 Millionen Pfund, wie aus einem Bloomberg-Bericht hervorgeht.

Bereits seit Jahren gab es Spekulationen darüber, ob bereits Menschen infolge eines Cyberangriffs gestorben sind. In einem Fall handelte es sich um eine Patientin aus Düsseldorf, die starb, nachdem sie aufgrund eines Cyberangriffs in ein anderes Krankenhaus verlegt werden musste.

(mack)