Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Falsche Ledger-Webseite: Indizien für Betrug

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Auf unsere Anfrage konnte Ledger noch nicht unmittelbar antworten. Wichtig ist jedoch, dass Ledger-Besitzer ihre Recovery-Seeds niemals auf Anforderung von Dritten preisgeben.

Mitte 2023 geriet Ledger in die Kritik der Nutzerinnen und Nutzer, da das Unternehmen mit „Ledger Recover“ einen Backup-Dienst für die geheime Recovery-Phrase einführen wollte. Der kostenpflichtige Dienst soll die Möglichkeit schaffen, die Seedphrase bei Cloud-Anbietern zu speichern.

(dmk)

Die Berliner Datenschutzaufsicht überprüft derzeit eine Immobilienvermittlungsplattform. Das Unternehmen soll die Kommunikation mit Kund*innen genutzt haben, um ein KI-System zur Bearbeitung von Anfragen zu trainieren – ohne die Kund*innen darüber zu informieren, wie die Behörde in ihrem Jahresbericht schreibt. Laut EU-Datenschutzregeln (DSGVO) ist das unzulässig.

Konkret geht es um Nachrichten, die Kund*innen per Mail und Kontaktformular an das Unternehmen geschickt haben, teilt die Berliner Behörde auf Anfrage von netzpolitik.org mit. Der mögliche Verstoß sei im Sommer vergangenen Jahres aufgefallen. Daraufhin leitete die Behörde ein Verfahren ein, das noch nicht abgeschlossen ist. Inzwischen enthielte die Datenschutzerklärung der Plattform einen entsprechenden Hinweis auf die Verwendung der Anfragen.

ImmoScout24 setzt auf KI-Lösung

Um welches Unternehmen es sich handelt, schreibt die Behörde nicht. Sie darf während laufender Verfahren keine Informationen dazu herausgeben. Es könnte sich jedoch um ImmoScout24 handeln, eine der größten Immobilienplattformen Deutschlands mit Sitz in Berlin. Laut eigener Aussage nutzen monatlich rund 19 Millionen Menschen die Seite.

Ein Sprecher von ImmoScout24 wollte auf Anfrage nicht bestätigen, dass es sich um das Unternehmen handelt und verwies darauf, dass verschiedene Immobilienplattformen in die Zuständigkeit der Berliner Behörde fielen.

Gleichzeitig erklärte er, ImmoScout24 setze seit etwa zwei Jahren eine KI-Lösung ein, die Kundenanfragen automatisch klassifiziert. Um das System kontinuierlich zu trainieren, verwende das Unternehmen abgeschlossene Kommunikation mit Kund*innen. Die Daten würden nach spätestens sechs Monaten gelöscht.

Im Klartext: Wer ImmoScout24 kontaktiert, etwa um eine Nachfrage zum eigenen Account zu stellen, muss damit rechnen, dass diese Kommunikation zum Trainingsmaterial wird.

Um welche KI-Lösung es sich handelt, hat das Unternehmen auf Nachfrage nicht beantwortet. In einem Blogbeitrag von 2018 nannte ImmoScout24 jedoch drei verschiedene Lösungen, die das Unternehmen damals testete: Salesforce Einstein, Parlamind und eine hausinterne Lösung in Zusammenarbeit mit Google.

Hinweis nachträglich ergänzt

In der Datenschutzerklärung des Unternehmens steht inzwischen, dass ImmoScout24 abgeschlossene Kundenanfragen per E-Mail oder Kontaktformular verarbeitet, um ein „intelligentes System zur thematischen Nachrichtenordnung“ zu trainieren. Auch Vertragskündigungen werden demnach automatisiert bearbeitet, wenn das System sie mit hoher Wahrscheinlichkeit als solche erkennt. Der Einsatz von KI-Technologien sei damit datenschutzkonform, schreibt der Sprecher.

Archivierte Versionen der Seite zeigen jedoch, dass diese Hinweise erst zwischen dem 9. Oktober und 1. November 2024 ergänzt wurden – also nachdem das System laut ImmoScout24 bereits im Einsatz war. Und nach Beginn des Prüfverfahrens der Berliner Datenschutzaufsicht wegen fehlender Transparenz gegen eine nicht benannte Immobilienplattform.

Behörde will mehr KI-Einsätze überprüfen

Der Fall ist nur einer von mehreren KI-Prüffällen, die die Berliner Datenschutzaufsicht in ihrem Jahresbericht nennt. Meist geht es dabei um Techniken des maschinellen Lernens, schreibt die Behörde. Diese Modelle benötigen dafür einen Datensatz mit Beispielen, um daraus Muster und Zusammenhänge zu erkennen.

„Unsere ersten Prüfverfahren von KI-Einsätzen zeigen, dass insbesondere die Transparenz bei KI-Anwendungen vielfach noch nicht auf dem notwendigen Niveau angekommen ist“, sagt Meike Kamp, die Berliner Datenschutzbeauftragte. Betroffene würden häufig gar nicht oder nur unzureichend über die Verarbeitung ihrer Daten in KI-Systemen informiert – ein Verstoß gegen die Informationspflichten der DSGVO. Die Behörde plant, die Prüfung von KI-Systemen in den kommenden Jahren zu verstärken.

Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien „einige Ihrer personenbezogenen Daten offengelegt“ worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. „Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen“, schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Centerparks: Vom Datenleck betroffene Informationen

Das Datenleck betreffe „möglicherweise“ Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. „Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern“, erklärt Centerparks weiter.

Betroffene sollen wachsam bleiben. Bislang wurde noch kein Missbrauch festgestellt. Dennoch könnten Kriminelle betrügerische E-Mails mit Zahlungsaufforderungen schicken, etwa mit dem Vorwand, dass eine Buchung unvollständig oder eine vorherige Zahlung fehlgeschlagen sei. Auch könnte es zu betrügerischen Anrufen oder SMS-Nachrichten kommen, in denen die Absender persönliche Informationen abfragen. Centerparks ist wichtig zu betonen, dass das Unternehmen Kunden niemals in einer E-Mail mit einem Link zur Zahlung auffordert. Für offene Buchungen sollen Kunden sich auf der offiziellen Centerparks-Webseite oder in der MyCP-App auf dem Smartphone anmelden.

E-Mails mit solchen Zahlungsaufforderungen etwa mit einer Bankverbindung sollen Empfänger nicht nachkommen, sondern im MyCP-Konto nachschauen, ob gegebenenfalls noch ein Saldo vorliegt.

Datenlecks sind leider inzwischen alltägliche Vorkommnisse. Vergangene Woche hat etwa ein Mitglied des CCC beim Übernachtungsdienstleister Numa nächtigen wollen. Dabei stieß es jedoch auf eine vollständige Kundendatensammlung.

(dmk)