Datenschutz & Sicherheit
Milliardeninvestitionen aus Europa fließen in Palantir
Rund neun Millionen Menschen in Deutschland haben Geld in Aktienfonds und ETFs investiert. Viele hoffen, damit für ihr Alter vorzusorgen und befürchtete Rentenlücken zu überbrücken. Die beliebten ETFs bilden dabei die Entwicklung eines Wertpapierindexes nach, einer der bekanntesten Indizes ist der MSCI World, auf dem viele ETF-Produkte wie der „iShares Core MSCI World ETF“ von BlackRock basieren.
Doch wer in einen Index mit vielen verschiedenen Unternehmen investiert, findet darunter meist auch solche, die jede Menge Kritik erhalten. Etwa Palantir, das derzeit mit 0,4 Prozent Gewichtung im oben genannten ETF enthalten ist. So wie im „iShares Core MSCI World ETF“ befinden sich Palantir-Anteile in mehreren hundert Indexfonds.
Palantir scheint für Anleger:innen attraktiv: Im 4. Quartal 2025 machte das US-Unternehmen mehr als 1,4 Milliarden US-Dollar Umsatz. Das hat der Hersteller von Big-Data-Analyse-Software wie Gotham zu großen Teilen der US-Regierung unter Donald Trump zu verdanken. Verschiedene Bereiche der Trump-Administration setzen auf Produkte aus dem Haus der Firmenmitgründer Peter Thiel und Alex Karp. International am bekanntesten ist wohl die zentrale Bedeutung von Palantirs Software für die US-Abschiebebehörde ICE, die mit Produkten des Unternehmens Jagd auf Migrant:innen macht. Der Strom an Aufträgen für Palantir reißt nicht ab: Erst kürzlich berichtete die Nachrichtenagentur Reuters, dass Palantirs KI-System „Maven“ im Pentagon nun als Kernsystem der US-Militärstrategie gilt. In Iran und Gaza kommt ebenfalls Palantir-Software zum Einsatz.
Die mittlerweile feste Rolle des Unternehmens in den Vereinigten Staaten trug offenkundig auch dazu bei, dass Palantirs Aktienkurs seit Donald Trumps zweiter Amtszeit als US-Präsident kräftig zugelegt hat. Rangierte das Papier vor dessen Wahl in einem Bereich um die 20 Euro, erreichte der Kurs im November 2025 sogar einen Wert bis zu rund 176 Euro.
Es verwundert also nicht, dass Palantir mittlerweile ein beliebtes Investitionsobjekt ist. Das gilt nicht nur für Privatanleger:innen, sonder offenbar auch für Banken, Vermögensverwalter, Pensionskassen und Versicherungen, wie eine Recherche des niederländischen Investigativ-Mediums Follow the Money mit internationalen Partnermedien zeigt.
Beteiligung an Palantir steigt Europa-weit
Das Ergebnis: Trotz immer neuer medial bekannter Menschenrechtsbedenken lassen sich viele der großen Investoren und Finanzdienstleister offenbar nicht abschrecken. Bei fast allen der 20 größten europäischen Anteilsinhaber erhöhte sich deren Bestand an Palantir-Aktien zwischen dem letzten Quartal des Jahres 2024 und 2025. Allen voran die norwegische Norges Band, die Ende 2025 29 Millionen Palantir-Aktien hielt – das entsprach damals einem Marktwert von 5,1 Milliarden US-Dollar. Das gesamte Investitionsvolumen von mehr als 100 europäischen Banken, Vermögensverwaltern und Versicherern beziffert Follow the Money auf mindestens 27 Milliarden US-Dollar.
netzpolitik.org konnte gemeinsam mit Follow the Money die Beteiligungen der zehn deutschen Unternehmen analysieren, die die meisten Aktien von Palantir halten. Die Zahlen dazu stammen aus den sogenannten 13F-Berichten, die von der US-Börsenaufsicht vierteljährlich veröffentlicht werden.
Spitzenreiter bei der absoluten Anzahl der Aktien ist unter den deutschen Akteuren mit großem Abstand die Deutsche Bank AG. Hielt sie Ende 2024 noch 6,7 Millionen Aktien des Unternehmens, waren es ein Jahr später schon mehr als 11 Millionen. Das entspricht aktuell einem Wert von 1,9 Milliarden US-Dollar und macht 0,64 Prozent des Gesamtportfolios der Deutsche Bank AG aus. Palantir steht somit auf Platz 18 der größten Investitionen der Bank. Damit ist die Deutsche Bank auch europaweit eine der größten Investor:innen des Unternehmens.
Spitzenreiter beim prozentualen Zuwachs ist der Versicherungskonzern Allianz SE, der seinen Aktienanteil an Palantir binnen eines Jahres um 1.126 Prozent steigerte – von 6.300 auf 77.255 Aktien. Das entspricht 0,18 Prozent des Gesamtportfolios. Die Kapitalverwaltungsgesellschaft der Allianz, die Allianz Asset Management GmbH, hält absolut gesehen noch mehr Anteile, nämlich über 2,4 Millionen.
Passive und aktive Investitionen
Die Aktienanteile der genannten und in der Tabelle aufgeführten Unternehmen können auf unterschiedliche Art und Weise zustande kommen. Mehrere der angefragten Unternehmen verwiesen darauf, dass die Anteile hauptsächlich daher rührten, dass Palantir in mehreren passiven Indexfonds enthalten ist. Neben dem eingangs erwähnten Blackrock-ETF haben andere Produkte noch deutlich höhere Palantir-Gewichtungen in ihrem Fonds. Etwa ein ETF, der sich auf US-Rüstungstechnologie konzentriert. Darin ist Palantir mit einer Gewichtung von mehr als 5 Prozent überdurchschnittlich vertreten.
Stecken also Kund:innen der Finanzinstitute ihr Geld in einen solchen Fonds, steigt auch die Menge an Palantir-Aktien im Portfolio des Unternehmens. So antwortet etwa die DWS, ein zur Deutschen Bank gehöriger Vermögensverwalter, in deren Auftrag: „Palantir ist Bestandteil gängiger Aktienindizes wie MSCI USA, S&P 500, MSCI World, Nasdaq 100. Diese Indizes dienen als Referenzindex einiger passiver ETFs, die die DWS anbietet.“ Veränderungen in den gehaltenen Anteilen würden sich so „primär aus Anpassungen der Indexzusammensetzungen sowie der Nachfrage unserer Kunden nach den jeweiligen Produkten“ zusammensetzen. Zu Details wolle man sich jedoch nicht äußern.
Eine andere Art, die Palantir-Anteile zu erhöhen, sind selbstgesteuerte Investitionen, etwa durch aktiv verwaltete Aktienprodukte. Wie relevant diese Investitionsart ist, wollte uns keines der angefragten Unternehmen offiziell mitteilen. Unseren Informationen zufolge verzichten einige der aufgeführten Unternehmen auf eigene, aktive Investitionen in Palantir, sowohl aus Bedenken gegen die Geschäftspraktiken als auch wegen Zweifeln an der ökonomischen Stabilität des US-Unternehmens.
Bedenken zu den Beteiligungen
In der Liste der zehn deutschen Top-Investoren findet sich nur ein Unternehmen, das seine Anteile zurückgefahren hat: die Baader Bank AG. Bei der DekaBank haben sich die Anteile nicht verändert. Auf europäischer Ebene jedoch gibt es noch mehr solcher Beispiele: Der norwegische Vermögensverwalter Storebrand verkaufte seine Anteile an Palantir wegen des Einsatzes von Palantir-Technologie zur Überwachung von Palästinenser:innen. Andere wie das belgische Bankinstitut KBC schlossen Palantir aus Produkten wie Fonds aus, die Nachhaltigkeit bewerben. Ein Bericht des US-Finanzdienstleisters MSCI bewertet Palantir in den Kategorien „civil liberties“ and „human rights concerns“ auf einer Skala von 1 bis 10 mit einer 2.
Doch auch bei den nicht als nachhaltig beworbenen Produkten stellt sich eine Frage: Die meisten Banken und andere Finanzinstitute haben sich den OECD-Leitsätzen „für multinationale Unternehmen zu verantwortungsvollem unternehmerischem Handeln“ und den UN-Leitprinzipien für Wirtschaft und Menschenrechte verpflichtet. Damit bekennen sie sich unter anderem dazu, „sich um Mittel und Wege zu bemühen, negative Auswirkungen auf die Menschenrechte zu verhüten oder zu mindern, die aufgrund einer Geschäftsbeziehung mit ihrer Geschäftstätigkeit, ihren Produkten oder Dienstleistungen unmittelbar verbunden sind, selbst wenn sie nicht zu diesen Auswirkungen beitragen“. Das würde nicht nur für eigene aktive Investitionen gelten, sondern auch dann, wenn die Unternehmen ihren Kund:innen ETFs von Dritten anbieten. Wie passt das zur Kritik an Palantir?
Tara Van Ho, Expertin für internationales Investment-Recht an der St. Mary’s University in Texas, plädierte gegenüber Follow the Money dafür, dass die Unternehmen möglicherweise Abstand von Palantir nehmen sollten: „Wenn glaubwürdige Bedenken hinsichtlich Menschenrechtsverletzungen bestehen, in die Palantir verwickelt ist, haben die Finanzakteure die Verantwortung, ihren eigenen Einfluss auf Palantir geltend zu machen, um zu versuchen, eine Änderung seines Verhaltens zu bewirken“, sagte sie. „Wenn Palantir sich weigert, sich zu ändern, müssen sie Wege finden, diese Beziehung zu beenden.“
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Palantir selbst weist gegenüber dem Recherchenetzwerk Vorwürfe zurück, dass das Unternehmen zu Menschenrechtsverstößen beitrage oder eine anti-demokratische Agenda verfolge. Stattdessen verwies ein Sprecher darauf, dass Palantirs Software europäischen Institutionen bei Gesundheitsversorgung, Verteidigung, Strafverfolgung und nationaler Sicherheit geholfen habe.
„Stolz auf die europäischen Investitionen“
Doch wie könnte überhaupt eine solche Beziehung beendet werden? Allianz Global Investors teilt uns mit, einzelne Unternehmensbeteiligungen nicht zu kommentieren, schreibt aber allgemein: „Sämtliche Investmententscheidungen folgen unternehmensweit etablierten und robusten Prozessen. Dazu zählt insbesondere die Prüfung potenzieller Verstöße gegen international anerkannte Normen in den Bereichen Menschenrechte, Arbeitsstandards, Umweltschutz und Korruptionsbekämpfung.“ Diese Prüfung stütze sich „sowohl auf Daten anerkannter externer Anbieter als auch auf eigene Analysen und Einschätzungen“. Wenn man Auffälligkeiten entdecke, würden „diese selektiv im Rahmen unserer regelmäßigen Gespräche mit den Unternehmen“ adressiert. „Je nach Portfolioausrichtung und Schwere des Verstoßes kann im Extremfall der Ausschluss des Unternehmens aus dem investierbaren Universum erfolgen.“
Nach einem breiten Ausschluss von Palantir sieht es bisher keineswegs aus. Und auch wenn einige Anbieter Palantir nicht in ihre als nachhaltig gelabelten Fondsprodukte einschließen, lassen sich auch bei den „nachhaltigen“ Anlageprodukten solche mit Palantir-Anteilen finden. Etwa wenn sich die Fonds primär am Kohlendioxidausstoß der enthaltenen Firmen richten.
Palantir selbst sagt in einem Statement gegenüber Follow the Money, man sei „stolz auf die europäischen Investitionen in das Unternehmen“. Stolz dürfte Palantir auch auf die Aufträge sein, die es von europäischen Regierungen bekommt. In Deutschland arbeiten die Polizeien in Bayern, Hessen und Nordrhein-Westfalen bereits mit Palantir-Software. Baden-Württemberg sah eine Nutzung ab 2026 vor. Doch dort und anderswo in Ländern und Bund verbreitet sich Skepsis.
Bedenken bei Bundesminister:innen
Bundesjustizministerin Stefanie Hubig äußerte Bedenken und plädierte dafür, nur Mittel zu nutzen, „die mit rechtsstaatlichen Grundsätzen vereinbar sind“. Bundesverteidigungsminister Boris Pistorius ging auf Distanz zum deutschen Drohnenhersteller Stark Defence, da Palantir-Gründer Peter Thiel Anteile an dem Unternehmen hält.
Das Bundesinnenministerium äußert sich weniger klar. Der Bundestagsabgeordnete Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Parlament und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, fragte Innenminister Alexander Dobrindt schriftlich zu einer Beschaffung von Palantir-Produkten. Der Minister antwortete ausweichend: Eine gesonderte Positionierung der Bundesregierung dazu sei „nicht erfolgt und im Rahmen laufender fachlicher Prüf- und Entscheidungsprozesse auch nicht erforderlich“.
Von Notz kritisiert das gegenüber netzpolitik.org und erwartet eine klare Absage vom Bundesinnenminister. Die Antwort der Bundesregierung nennt der Abgeordnete „einmal mehr frappierend“: Obwohl Minister:innen auf Landes- und Bundesebene von Palantir abrücken würden und sich Gedanken über europäische Alternativen machten, sei man im Innenministerium „weiterhin nicht bereit, selbst diesen Schritt zu gehen und sich an den Diskussion zu beteiligen“. Auch die Bundesregierung sei nicht gewillt, „sich untereinander in dieser sicherheitspolitisch äußerst relevanten Frage abzustimmen und zu einer gemeinsamen Linie zu kommen“.
Vor diesem Hintergrund würden „alle schönen Sonntagsreden zur dringend notwendigen Erhöhung digitaler Souveränität und alle Gipfel, die man hierzu veranstaltet hat, zur Makulatur“.
Weitere Teile der Recherche erschienen bei Follow the Money, De Tijd, Børsen, Der Standard, Republik, Morgenbladet, The Nerve und El País.
Datenschutz & Sicherheit
Millionendeal mit Überwachungsfirma: Regierung in Österreich will Menschen mit illegalen Daten orten können
Wer in Österreich ein Handy nutzt, dessen genaue Standortdaten könnten auf den Bildschirmen dortiger Ermittler*innen landen. Das Innenministerium hat jüngst die Lizenz für eine Überwachungs-Software verlängert, die auf massenhaft erfassten Handy-Ortungen basiert. Das zeigt ein Dokument aus einem öffentlichen Vergabeportal. Zuerst berichtet hatte die Tageszeitung Der Standard.
Konkret geht es um das Werkzeug namens Webloc der US-Firma Penlink. Hierzu hatte im April das Citizen Lab der Universität Toronto einen Bericht veröffentlicht. Demnach soll Webloc Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem genaue GPS-Standorte gehören sowie die einzigartigen Werbekennungen eines Geräts („mobile advertising ID“). Eine kurzfristige Presseanfrage von netzpolitik.org hat die US-Firma Penlink nicht beantwortet.
Den Weg der Daten von populären Handy-Apps in fremde Hände konnten die Recherchen zu den Databroker Files von netzpolitik.org und Bayerischem Rundfunk seit 2024 zeigen. Angeblich nur zu Werbezwecken erhoben fließen die Daten über das Ökosystem der Werbe-Industrie an Datenhändler und von dort zu Überwachungsunternehmen. Betroffen sind potenziell alle Menschen, die ein Handy mit werbefinanzierten Apps nutzen und keine digitale Selbstverteidigung betreiben.
Mithilfe der Werbe-ID lassen sich solche Handy-Standortdaten mühelos zu Bewegungsprofilen verknüpfen. Sie geben oftmals unter anderem Wohnort und Arbeitsplatz preis, aber auch sensible Details über das Privatleben wie Besuche in Arztpraxen, Kliniken, religiösen Gebäuden oder Bordellen.
Der Fachbegriff für Erkenntnisse aus Daten der Werbe-Industrie ist ADINT. Sicherheitsbehörden können mit ADINT-Software diese Daten kinderleicht durchforsten: Ähnlich wie man etwa mit Google Maps nach Restaurants in der Nähe suchen kann, können Polizist*innen mit ADINT-Software nach Bewegungsprofilen von Menschen in einem bestimmten Areal suchen.
Fachleute sehen im Handel mit den Standortdaten einen Verstoß gegen die DSGVO (Datenschutz-Grundverordnung). Bereits 2024 schrieb das deutsche Verbraucherschutzministerium: „Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“ In Deutschland und Österreich bezweifeln Fachleute zudem, dass Sicherheitsbehörden solche Daten nutzen dürfen.
Zwei Jahre Überwachung, 1,85 Millionen Euro
Auf Anfrage von netzpolitik.org kommentiert das Innenministerium in Österreich den Einsatz von Webloc nicht direkt. „Über konkrete Softwarelösungen und deren Einsatz kann öffentlich keine Auskunft erteilt werden“, schreibt ein Sprecher. „Fakt ist, dass wir diese nur im Rahmen unserer gesetzlichen Möglichkeiten nutzen.“
Die erste Aussage ist nicht korrekt. Das Ministerium kann sich durchaus äußern, will das aber offenbar nicht. Die zweite Aussage ist nicht belegbar: Wenn das Ministerium über die Software schweigt, lässt sich auch nicht unabhängig prüfen, ob ihr Einsatz legal ist.
Deine Daten landen bei der Polizei.
Wir decken es auf. Mit deiner Unterstützung.
In der ausweichenden Antwort der Behörde stecken jedoch Hinweise darauf, wer die Software zu welchem Zweck einsetzen könnte: Zuständig ist demnach die Direktion Staatsschutz und Nachrichtendienst; in einer kurzen Vorrede geht der Sprecher auf „extremistische und terroristische Straftaten“ ein.
Laut Vergabeportal hat Österreich schon einmal an Penlink gezahlt. Die Rede ist von einer „Verlängerung“ der Lizenz um weitere zwei Jahre. Kostenpunkt dieses Mal: rund 1,85 Millionen Euro. Zum Paket gehören demnach nicht nur Webloc, sondern auch weitere Produkte der Firma.
Deren Hauptprodukt heißt Tangles. Es soll dem Citizen Lab zufolge etwa soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kund*innen können demnach etwa nach Namen, Telefonnummern oder E‑Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Bereits 2024 hatte Österreich eine Lizenz für Tangles gezahlt; das Zusatzprodukt Webloc taucht in dem älteren Dokument jedoch nicht ausdrücklich auf.
Tracking-Forscher: „Das ist anlasslose Massenüberwachung.“
Der Wiener Tracking-Forscher Wolfie Christl kritisiert den Einsatz von Webloc. Auf Mastodon schreibt er:
Auch wenn Webloc ’nur’ zur Überwachung von Einzelnen genutzt wird, sammelt und analysiert es täglich Daten über Millionen Unbeteiligte. Das ist anlasslose Massenüberwachung. Diese komplett zweckentfremdete Nutzung von Werbedaten für staatliche Überwachung ist ein Dammbruch.
Die Daten, auf denen Werkzeuge wie Webloc basieren, hält Christl mit Blick auf die DSGVO für illegal. Niemand in der Lieferkette habe eine gültige Einwilligung, um solche Daten für staatliche Überwachung weiterzugeben. Eine solche Einwilligung bräuchte es aber – und zwar von jeder betroffenen Person. „Eine andere DSGVO-Rechtsgrundlage als die Einwilligung ist kaum denkbar“, schreibt Christl.
Getrennt davon zu betrachten sei die Frage, ob das Innenministerium eine Rechtsgrundlage für die Nutzung der Daten habe. „Die österreichische Datenschutzbehörde muss eine Untersuchung einleiten“, schreibt der Forscher.
Datenschutzbehörde in Österreich weiß nichts Näheres
Auf Anfrage von netzpolitik.org teilt die Datenschutzbehörde in Österreich mit, sie habe „keine näheren Kenntnisse über den geplanten Einsatz der genannten Software durch das BMI“. Demnach sei man auch nicht vom Ministerium dazu konsultiert worden. Eine solche Konsultation sei nötig, wenn eine Behörde bei einer Datenschutz-Folgenabschätzung ein hohes Risiko erkennen würde, erklärt der Sprecher.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Wird die Datenschutzbehörde nun aktiv? Eine klare Antwort gibt der Sprecher nicht, hält sich aber alle Türen offen: Man könne „jederzeit im Rahmen eines Beschwerde- oder amtswegigen Prüfverfahrens die Einhaltung datenschutzrechtlicher Vorgaben überprüfen“.
Mit dem nun bekannt gewordenen Lizenzdeal ist Österreich das zweite EU-Land auf der Kundenliste von Webloc. Im April berichtete das Investigativmedium VSquare, dass die ungarische Regierung unter dem inzwischen abgewählten Premier Viktor Orbán Webloc-Lizenzen gekauft habe. In den USA soll die paramilitärische US-Abschiebebehörde ICE das Werkzeug nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.
Deutschland hält Databroker-Deals geheim
Verwenden auch deutsche Sicherheitsbehörden Werkzeuge wie Webloc, oder kaufen sie sich die Standortdaten einfach selbst ein? Die Bundesregierung macht daraus ein Staatsgeheimnis. Ende 2025 hat sie nach einer Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) die Auskunft verweigert; damals ging es um Bundeskriminalamt (BKA) und Bundespolizei.
Auch in den Ländern mauern die Regierungen. Eine Recherche von netzpolitik.org und Bayerischem Rundfunk im Juni hat gezeigt: In neun Bundesländern will sich die Polizei nicht über mögliche Databroker-Deals äußern. Nur in fünf Bundesländern hatte die Polizei solche Deals verneint.
In Brandenburg habe die Polizei zwar Daten von „beispielsweise Wirtschaftsauskunfteien“ erworben, nicht aber kommerzielle Standortdaten. Einzig in Mecklenburg-Vorpommern hatte die Landespolizei eingeräumt, Standortdaten der Werbe-Industrie genutzt zu haben. Die dortige Datenschutzbehörde hat daraufhin eine Prüfung eingeleitet.
Opposition in Österreich: „nicht lockerlassen“
Wieso wollen sich so viele Behörden auf Bundes- und Landesebene nicht äußern? „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen“, sagte Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag, mit Blick auf sein Bundesland. Und mit seiner Skepsis ist er nicht allein: In mindestens acht deutschen Bundesländern fordert die Opposition nach unseren Recherchen Aufklärung.
Auch in Österreich will die Opposition weiter Druck machen. Der grüne Abgeordnete Süleyman Zorba hatte bereits vergeblich versucht, Transparenz zu schaffen. „Erst hieß es, jede Auskunft gefährde die nationale Sicherheit. Nun ist der Einsatz der Software in öffentlichen Vergabeunterlagen dokumentiert“, fasst er gegenüber dem Standard zusammen.
„Ich werde nicht lockerlassen, bis Innenminister Gerhard Karner offenlegt, auf welcher gesetzlichen Grundlage das Ministerium handelt, welche Daten verarbeitet werden und wer deren Einsatz kontrolliert“, so Zorba weiter. Die Bevölkerung habe ein Recht darauf, zu erfahren, was mit ihren Daten geschieht.
Datenschutz & Sicherheit
Sicherheitslücken in Apples AirDrop und Androids Quick Share entdeckt
Sicherheitsforscher des CISPA Helmholtz-Zentrums für Informationssicherheit haben gleich drei Schwachstellen in Apples AirDrop-Funktion zur kabellosen Übertragung von Daten gefunden. Glücklicherweise kann keine der Lücken genutzt werden, um Schadcode auszuführen. Schlimm genug ist aber, dass sie dafür genutzt werden können, um Abstürze auszulösen. Weitere drei Sicherheitslücken wurden in Googles und Samsungs Quick Share aufgedeckt.
Weiterlesen nach der Anzeige
Arash Ale Ebrahim und Nils Ole Tippenhauer haben für ihre Untersuchung eigens das Testprogramm „AirFuzz“ entwickelt, ein Werkzeug, das automatisiert fehlerhafte oder manipulierte Datenpakete an AirDrop schickt, um Abstürze und Fehlverhalten zu provozieren. Im Fokus stand dabei die Anwendungsebene der Funktionen und nicht Schwachstellen auf der reinen Funkebene.
Wie die Lücken funktionieren
Zwei der drei AirDrop-Lücken lassen sich bereits auslösen, wenn AirDrop auf „Jeder“ steht. Die dritte wird erst nach Annahme einer Übertragung erreicht.
So reicht ein einzelner, fehlerhaft formatierter HTTP-Request aus, um den zuständigen Systemdienst sharingd abstürzen zu lassen. Das bringt nicht nur AirDrop zum Erliegen, sondern auch verwandte Funktionen wie AirPlay, Handoff und die Zwischenablage-Synchronisation zwischen Geräten.
Eine zweite Lücke steckt in der Verarbeitung von Property-Lists, einem internen Datenformat, und kann durch verschachtelte Datenstrukturen einen Speicherüberlauf auslösen. Eine dritte Schwachstelle in Apples Netzwerk-Framework lässt sich durch präparierte HTTP-Header provozieren.
Die Forscher betonen ausdrücklich, dass zehn verschiedene Versuche, die eigentliche Nutzerbestätigung für Dateiübertragungen zu umgehen, allesamt scheiterten – Apples Prüfung der Apple-ID hält demnach stand.
Auch Probleme bei Google und Samsung
Weiterlesen nach der Anzeige
Bei Quick Share fanden die Forscher zwei Probleme in Samsungs Implementierung: Zum einen verarbeitet der Dienst bestimmte Datenpakete bereits, bevor der eigentliche Authentifizierungs-Handshake abgeschlossen ist. Zum anderen werden drei von sieben Nachrichtentypen auch dann verarbeitet, wenn sie entgegen der Spezifikation unverschlüsselt ankommen – ein Angreifer im selben WLAN könnte so etwa Verbindungen manipulieren oder Sitzungen künstlich am Leben halten.
Am gravierendsten ist ein Fund in Googles Quick-Share-Client für Windows: ein sogenannter Use-after-Free-Fehler, bei dem das Programm auf bereits freigegebenen Speicher zugreift. Diese Klasse von Fehlern lässt sich unter bestimmten Umständen zur Ausführung von Schadcode missbrauchen. Die Forscher konnten zwar einen zuverlässigen Absturz auslösen, aber keinen vollständigen Exploit entwickeln.
Bugfixes sind in Arbeit
Apple hat die drei AirDrop-Lücken bestätigt, an Fixes wird laut den Forschern gearbeitet. Samsung hat seine beiden Funde an Google weitergereicht, da der betroffene Code aus Googles Quick-Share-Komponenten stammt; diese werden derzeit noch geprüft. Google hat die Windows-Lücke bestätigt und mit einer Bug-Bounty-Prämie belohnt.
Die Angriffe funktionieren nur aus relativer Funknähe von etwa 10 bis 30 Metern – ein Angreifer muss sich also physisch in der Nähe des Zielgeräts aufhalten. In dicht gedrängten Umgebungen wie Flughäfen, Bahnhöfen oder auf Konferenzen ließen sich damit aber theoretisch viele Geräte gleichzeitig ins Visier nehmen.
Da noch keine Patches vorliegen, empfiehlt sich vorerst Zurückhaltung: Wer AirDrop nicht aktiv nutzt, sollte den Modus meiden, mit dem einen jeder im Umkreis für einige Minuten sehen kann, oder zumindest so kurz wie möglich halten. Bei Quick Share gilt ähnliche Vorsicht in unbekannten Umgebungen mit aktivierter Sichtbarkeit für alle Geräte.
(mki)
Datenschutz & Sicherheit
Cyber-Sklaverei in Scam-Fabriken: „Wer dem Tiger entkommt, trifft auf das Krokodil“
Schon mal eine Betrugsnachricht via Social Media oder per SMS erhalten?
Hi, ist das die Nummer von David? 🙂
Es besteht die Chance, dass diese Nachricht aus einem „Scam Center“ – einer Fraud Factory – in Südostasien stammt. Laut Interpol stecken dahinter groß angelegte Betrugs-Ökosysteme, die auf Investment- und Liebesbetrug ausgelegt sind. Bei diesen Betrugsmaschen bauen die Täter oft über lange Zeiträume Vertrauen zu den Opfern auf. KI-Technologie treibe die Entstehung immer ausgefeilterer Methoden voran: KI-generierte Inhalte, manipulierte Audio- und Bilddateien und automatisierte Interaktionen, die über mehrere Plattformen hinweg simuliert werden.
Die Chance ist jedoch höher, dass hinter der Nachricht ein Mensch sitzt, der zum Betrügen gezwungen wird. Trotz der technischen Innovationen verlassen sich die kriminellen Organisationen weiterhin überwiegend auf die Ausbeutung von Zwangsarbeiter:innen.
Gezwungen von „chinesischen Gangstern“
Ein aktueller Amnesty-Bericht erzählt die Geschichte hinter den Betrugs-Chats aus der Perspektive dieser Opfer auf der anderen Seite: Eines davon ist Winta (kein Echtname). Winta suchte als 16-Jährige in Ost-Afrika nach einer Arbeit, ihre Mutter war kurz zuvor verstorben. Ein Mann habe Winta und ihrer Schwester Jobs auf einem Kreuzfahrtschiff angeboten und beide nach Sri Lanka gebracht. Doch von dort aus wurden sie laut des Berichts nach Myanmar und Laos verschleppt, wo „chinesische Gangster“ sie zur Arbeit in einer Scam-Fabrik zwangen.
Sieben Jahre später, im Jahr 2026, ist Winta in Kambodscha – weiterverschleppt in eine andere Anlage. Laut Amnesty wissen die Behörden zu diesem Zeitpunkt bereits seit vier Jahren von der Scam-Fabrik. Seit Beginn des Frühjahrs gehen die Behörden gegen einige davon vor. Doch Winta wird kurz vor dem Eintreffen der Polizei in eine andere Anlage gebracht – dort gefesselt und geschlagen – und zuletzt an einem Stadtrand nahe der thailändischen Grenze ausgesetzt. Die später eintreffende Polizei habe ihr und den anderen Opfern jedoch nicht geholfen, sondern gedroht: Die Ausgesetzten sollen die Gegend verlassen, ansonsten bringe die Polizei sie wieder zurück zur Anlage.
Seit Mitte 2025 verkündet Kambodschas Regierung historische Schläge gegen die transnational organisierten Syndikate – die Hintermänner der Scam-Fabriken. Amnesty International sowie ein UN-Bericht von Februar 2026 dokumentieren jedoch, dass ein Großteil der Anlagen weiterhin in Betrieb ist. Gleichzeitig behandeln die Behörden die Befreiten wie Kriminelle.
Cyberkriminalität in „industriellem Ausmaß“
Der UN-Bericht bezeichnet die Scam-Fabriken als Cyberkriminalitäts-Operationen in „industriellem Ausmaß“. Im Raum Südostasien arbeiten demnach mindestens 300.000 Menschen aus 66 Ländern in Scam-Fabriken. Die meisten davon unfreiwillig. Rund drei Viertel der Anlagen lägen den Satellitenbildern zufolge in der Mekong-Region, konzentriert vor allem in Kambodscha und Myanmar.
Den globalen Gewinn solcher Scam-Fabriken schätzt der UN-Bericht auf rund 64 Milliarden US-Dollar im Jahr. Davon entfallen 43 Milliarden US-Dollar allein auf die Mekong-Region (Kambodscha, Myanmar, Laos, Vietnam, Thailand). Ein weiterer Hotspot seien die Philippinen.
Eine zentrale Rolle spiele die rasante Expansion des digitalen und kryptobasierten Finanzwesens: Die Kriminellen nutzen Strohmann-Bankkonten und tauschen Gewinne in digitale Kryptowährungen um, verschieben diese über Krypto-Wallets. Außerbörsliche Broker waschen diese Gelder anschließend und führen sie den regulären Bankkanälen wieder zu.
Die Spur eines Millionenbetrugs
Deine Daten landen bei der Polizei.
Wir decken es auf. Mit deiner Unterstützung.
Behördliches Eingreifen ist überwiegend inszeniert
Die kambodschanische Regierung behauptet seit Beginn ihrer Maßnahmen, mehr als 250 Anlagen geschlossen zu haben, so der Amnesty-Bericht. Sie habe in tausenden Fällen mit Strafverfahren und Abschiebungen gegen kriminelle Akteure reagiert. Zudem habe sie mehrere mutmaßliche Bandenchefs festgenommen.
Die Amnesty-Recherchen widersprechen diesem Bild. Im Jahr 2025 habe die Organisation 46 von 53 identifizierten Anlagen besucht. Im Jahr 2026 identifizierte sie 33 neue Anlagen und besuchte 29 davon. Entgegen den Regierungsbehauptungen fand Amnesty International nur bei 24 von diesen insgesamt 86 identifizierten Anlagen Belege für staatliches Eingreifen. Dies deute darauf hin, dass die Regierung nur in 25 Prozent der Fälle interveniert hat – ein starker Kontrast zur angeblichen Schließung von 250 Anlagen.
In Bezug auf die Strafverfahren kritisiert Amnesty mangelnde Transparenz: Die Regierungsangaben seien widersprüchlich und es gehe aus ihnen nicht hervor, ob Verfahren tatsächlich in Anklagen und Verurteilungen mündeten. Auch wer überhaupt verfolgt und untersucht werde – ob Betreiber, Eigentümer, Finanziers, hochrangige Akteure und mitschuldige Beamte –, habe die kambodschanische Regierung nicht offengelegt. Gleichzeitig gehe sie mit Klagen, Festnahmen und anderen Repressalien gegen Helfer:innen und unabhängige Journalist:innen vor, die über Scam-Fabriken berichten.
Razzia nach Absprache
Der Amnesty-Bericht identifiziert drei zentrale Muster:
- Die kambodschanischen Behörden handeln nicht aus eigenem Antrieb, sondern reagieren auf internationalen Druck. So beispielsweise als chinesische Bandenmitglieder einen südkoreanischen Studenten zu Tode folterten und damit eine diplomatische Krise auslösten.
- Selbst wo die kambodschanische Regierung intervenierte, habe Amnesty bei mindestens drei von 24 Anlagen festgestellt, dass der Betrieb sowie die Menschenrechtsverletzungen fortbestehen. Die Behörden greifen trotz Wissens darüber nicht ein.
- Mutmaßliche Absprachen zwischen den Managern der Anlagen und den lokalen Behörden haben die Effektivität der polizeilichen Maßnahmen signifikant untergraben. Die Opfer berichteten, die Betreiber hätten im Vorfeld der Razzien Warnungen erhalten und so Verlegungen zu anderen Anlagen vornehmen können.
In einer Fallstudie beschreibt Amnesty eine konkrete Anlage, die von der Polizei unangetastet blieb. Maskierte, bewaffnete Wachleute patrouillieren hier weiterhin die Tore und kontrollieren Fahrzeuge. Acht Opfer berichteten zudem übereinstimmend, die Polizei sei an diesem Ort regelmäßig vorbeigekommen, um Leichen abzuholen – und zum Kaffeetrinken. Ein ghanaisches Opfer habe einen Polizisten direkt auf Englisch angesprochen und um Hilfe gebeten. Der Polizist habe sie ignoriert.
Strafen und Folter gehören dazu
Der UN-Bericht widmet sich ebenfalls den Zuständen in den Anlagen und stützt sich dabei auf Interviews und schriftliche Aussagen von Betroffenen, Zeugenaussagen sowie Gesprächen mit Fachleuten.
Demnach hätten sämtliche Befragte schwere Misshandlungen erlebt, Misshandlungen mit angesehen oder selbst ausführen müssen. Wer die Vorgaben in den Betrugsfabriken nicht erfüllen konnte, dem drohten Strafen, Schläge oder der Weiterverkauf an andere Anlagen.
Der Zwang beginnt bereits mit dem Finanziellen: Die Verträge seien den Opfern oft erst nach der Ankunft vorgelegt worden. Ein Opfer aus Bangladesch etwa habe einen 18-Monats-Vertrag unterschreiben müssen, der ihn zu 200.000 Dollar „Gewinn“ verpflichtete. Ein thailändisches Opfer habe täglich Betrugserlöse von 9.500 US-Dollar generieren müssen. Geldstrafen folgten für Vergehen wie „Tastatur-Tragen“. Wer gehen wollte, hatte erfundene Rechnungen zu begleichen. Angehörige wurden per Videoanruf erpresst, indem diese den Misshandlungen zusehen mussten.
Arbeitstage konnten bis zu 19 Stunden lang sein. Gähnen, sprechen, singen oder die Beine übereinander schlagen konnte verboten sein. Bei morgendlichen Appellen konnten leistungsschwache Teams als Warnung an die übrigen gefoltert werden. Manche Opfer berichten, sie seien zur Strafe in Wassercontainern eingesperrt gewesen oder dass sie tagelang in völliger Dunkelheit ausharren mussten. Eine andere Person schilderte, seine Gruppe habe über Wochen so wenig Nahrung erhalten, dass die Kraft zum Stehen fehlte. Manche der Gefangenen seien bei Fluchtversuchen oder durch Folter gestorben.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Gewalt in jeder Form
Beide Berichte dokumentierten zudem, dass die sexualisierte Gewalt in den Scam-Fabriken seit 2024 zugenommen hat. Die Befragten berichteten, Opfer von Vergewaltigungen, erzwungener Prostitution sowie erzwungener Abtreibung geworden zu sein.
Auch psychische Gewalt habe zur Tagesordnung gehört, darunter Drohungen von Organraub oder das Gelände niemals lebend verlassen zu werden. Es herrschte eine allgegenwärtige Atmosphäre der Überwachung und Unsicherheit darüber, was gesagt und wem vertraut werden durfte.
Um Fluchtversuche zu verhindern, wurden manche Zwangsarbeiter:innen isoliert oder ihnen strafrechtliche Sanktionen außerhalb des Geländes angedroht. Ein vietnamesisches Opfer beschreibt, wie ihre Schwester nach einem Fluchtversuch mit einem Taser gefoltert und für eine Woche ohne Nahrung eingesperrt wurde.
Eine automatisierte Betrugsmaschine
Der Köder kommt aus vertrauter Quelle
Laut UN-Bericht beginnt die Rekrutierung bei der Mehrheit der Opfer durch vertraute Quellen wie Freunde oder Familienmitglieder. Die Anwerbung laufe professionalisiert mit mehrstufigen Bewerbungsverfahren ab: mit Tests, Vorstellungsgesprächen via Zoom und inszenierten Personalabteilungen. Werbevideos zeigten scheinbar zufriedene Angestellte an sauberen Arbeitsplätzen. Fast 80 Prozent der Befragten gaben zudem an, vorher nichts von der Existenz derartiger Scam-Fabriken gewusst zu haben.
Soziale Medien seien dem UN-Bericht zufolge der wichtigste Anwerbekanal und Facebook das meistgenutzte Netzwerk. Der Kontakt wandere von dort auf verschlüsselte Messenger wie Telegram, WhatsApp oder Signal. Künstliche Intelligenz durchforste soziale Netzwerke gezielt nach Menschen, die Anzeichen finanzieller Not zeigten.
Einige Opfer berichten, selbst zum Anwerben neuer Opfer gedrängt worden zu sein. Dafür habe es finanzielle Versprechen oder die Aussicht auf Freilassung gegeben.
Behörden behandeln Befreite wie Kriminelle
Tatsächliche Schließungen von Scam-Fabriken resultierten in Kambodscha darin, dass tausende Menschen auf den Straßen der Hauptstadt Phnom Penh strandeten, berichtet auch NPR. Demnach habe es nur ein einziges überfülltes Schutzhaus gegeben – mit einer langen Warteliste.
Statt Schutz erwarte viele Opfer bei den Behörden eine feindselige Bürokratie, unbezahlbare Geldstrafen für überzogene Visa und überfüllte Abschiebeeinrichtungen. Keine der befragten Befreiten sei laut Amnesty als Opfer von Menschenhandel anerkannt, obwohl alle völkerrechtlichen Definitionen erfüllten seien. Die kriminellen Banden haben zudem viele der Opfer als sogenannte „Money Mules“ eingesetzt – sie also dazu gezwungen, ihre Bankkonten für die Geldwäsche herzugeben. Ihnen drohen deshalb Strafverfahren und dauerhafte Bankensperren.
„Wer dem Tiger entkommt, trifft auf das Krokodil,“ beschreibt der UN-Bericht die Lage der Befreiten und fordert ein Non-Punishment-Prinzip: Der Staat darf Verschleppte nicht für Straftaten verfolgen, zu denen sie gezwungen wurden. Stattdessen muss er gegen die eigentlichen Hintermänner vorgehen, grenzüberschreitend gegen die organisierte Kriminalität durchgreifen und die Korruption in den eigenen Strukturen bekämpfen.
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
