Datenschutz & Sicherheit
Polizei soll mit deinen Daten Software trainieren dürfen
Am Mittwoch will die grün-schwarze Landesregierung in Baden-Württemberg einen heftig umstrittenen Gesetzentwurf verabschieden. Er erlaubt dem Bundesland den Einsatz der Palantir-Software zur Datenanalyse, die das Land für mehr als 25 Millionen Euro bereits eingekauft hat.
Im Windschatten dieses Ansinnens bringt der Gesetzentwurf eine weitere bedeutende Verschlechterung des Datenschutzes im Land mit sich: Laut Paragraf 57a soll die Polizei von Baden-Württemberg künftig personenbezogene Daten zur Entwicklung, zum Training, zum Testen, zur Validierung und zur Beobachtung von informationstechnischen Systemen einsetzen dürfen. Dabei ist unerheblich, ob sich die betroffenen Menschen zuvor verdächtig gemacht haben. Die entsprechende Datenverarbeitung ist nicht an ein Ermittlungsverfahren gebunden, sondern allein zur Verbesserung und Implementierung von Überwachungssoftware gedacht.
Bürger*innen werden demnach künftig Daten liefern, mit denen beispielsweise das privatwirtschaftliche Unternehmen Palantir, gegründet vom rechten Anti-Demokraten Peter Thiel, seine Produkte verbessern kann. Wenn also in Kürze die ersten Tests der Palantir-Software in Baden-Württemberg beginnen, könnten diese direkt mit realen personenbezogenen Daten vorgenommen werden, die millionenfach in Polizeidatenbanken lagern.
Auch der Test und das Training von beispielsweise automatisierter Verhaltens- oder Gesichtserkennung ist damit möglich. Ausgenommen sind nur Daten, die im Rahmen einer Wohnraumüberwachung erhoben wurden.
Daten dürfen auch an Dritte weitergegeben werden
Sobald „unveränderte Daten benötigt werden oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist“, dürfen beispielsweise auch Klarnamen und andere eindeutig identifizierende Informationen wie Gesichtsfotos dabei genutzt werden. Die Daten dürfen auch an Dritte weitergegeben werden.
Tobias Keber, der Landesdatenschutzbeauftragte, fordert in einer Stellungnahme, zumindest in jedem Fall zu prüfen, ob eine Anonymisierung oder Pseudonymisierung tatsächlich unverhältnismäßig ist. Nach dem Entwurf, der Mittwoch zur Abstimmung gestellt wird, ist dies nicht zwingend vorausgesetzt, sobald „unveränderte Daten benötigt werden“. Außerdem solle, so Keber, seine Behörde jeweils frühzeitig eingebunden werden.
Es ist gut möglich, dass diese Rechtsgrundlage zum Testen und Trainieren mit personenbezogenen Daten eine Reaktion auf den bayerischen Umgang mit Palantir-Software ist. Dort hatten die Behörden die Datenanalyse mit Echtdaten tatsächlicher Menschen ohne Rechtsgrundlage getestet, woraufhin der bayerische Landesdatenschutzbeauftragte forderte, den Test zu beenden. Laut der Wissenschaftlichen Dienste des Bundestages muss ein derartiger Testbetrieb den gleichen – hohen – Anforderungen genügen wie der tatsächliche Einsatz.
Wer zusehen möchte, wie die grün-schwarze Landesregierung diesen massiven Grundrechtseingriff durchs Parlament bringt, kann dies Mittwoch ab 13.30 Uhr auf der Website des Landtags tun.
Datenschutz & Sicherheit
Wie Europol mit Microsoft, Palantir, Clearview & Co. auf Kuschelkurs geht
Europol forciert ihre Kooperation mit Tech-Unternehmen aus den USA. Die Bürgerrechtsorganisation Statewatch kritisiert diese Allianz in einem Forschungsbericht als intransparent und Quelle massiver Interessenkonflikte. Die Kooperation ist demnach derart eng, dass Microsoft-Angestellte bereits eigene Arbeitsplätze in der Zentrale der EU-Polizeibehörde in Den Haag haben. Ein Europol-Beamter habe Firmen auf dem InCyber Forum, das in diesem Jahr in Lille, Frankreich, veranstaltet wurde, zudem explizit dazu aufgerufen, unternehmenseigene Daten direkt über ein neues Cyber Intelligence Gateway weiterzuleiten, um die Koordination zu verbessern. Basis für diese Entwicklung ist die umstrittene Erweiterung des Europol-Mandats 2022, die den Datenaustausch mit privaten und öffentlichen Stellen vereinfacht, Big-Data-Analysen ermöglicht und den Einsatz KI-gestützter Ermittlungsinstrumente vorantreibt.
Weiterlesen nach der Anzeige
Europol verweist laut der Analyse häufig auf „Geschäftsgeheimnisse“ oder „Datenschutz“, um Details über Verträge oder Lizenzierungen zurückzuhalten. Ein besonders kontroverses Beispiel ist die mehrjährige Nutzung der Big-Data-Plattform Gotham von Palantir. Obwohl die auch hierzulande umkämpfte Software laut Statewatch zur Basis zahlreicher Instrumente für vorausschauende Polizeiarbeit und Überwachung bei Europol gehört, habe das Amt Presseanfragen dazu abgeblockt. Von 69 Dokumenten zur Palantir-Zusammenarbeit seien lediglich zwei freigegeben, obwohl Europol nach dem Bruch sogar rechtliche Schritte gegen die US-Firma in Betracht gezogen habe. Auch die Gesichtserkennungsfirma Clearview AI, an der Palantir-Mitbegründer Peter Thiel beteiligt ist, präsentierte ihre Technologie bei Europol. Der EU-Datenschutzbeauftragte habe aber explizit gefordert, keine Dienste von Clearview in Anspruch zu nehmen, da dies wahrscheinlich gegen die Europol-Verordnung verstoßen würde.
„Wer ist wer“ der Überwachungsindustrie
Zunehmend problematisch erscheint auch das „Drehtür“-Phänomen, wonach Mitarbeiter der Behörde gerne in die Wirtschaft wechseln. Diese Gefahr dürfte sich noch verschärfen, da die EU-Kommission eine Verdoppelung der Europol-Stellen anstrebt. Ein Fall betrifft einen Ex-Cybercrime-Spezialisten, der unmittelbar nach seinem Ausscheiden 2023 zu Maltego Technologies wechselte. Europol weigerte sich, nähere Angaben dazu zu machen. Ein weiteres Unternehmen in Europols Dunstkreis ist Cellebrite, ein israelischer Tech-Riese, der Software zum Extrahieren von Daten aus Mobiltelefonen liefert. Seine Programme wurden in der Vergangenheit etwa zur Überwachung von Journalisten und Aktivisten verwendet. Die Tatsache, dass der Leiter des europäischen Vertriebs von Cellebrite zuvor in leitender Position beim Staatstrojaner-Entwickler NSO Group (Pegasus) tätig war, unterstreicht das Konfliktpotenzial solcher Allianzen.
Zentraler Schauplatz dieser Annäherung sind die jährlich stattfindenden „Research and Industry Days“. Dabei handelt es sich um eine 2024 von der Europol eingeführte Plattform, bei der Dutzende von Tech-Firmen und Verbänden ihre KI-basierten Überwachungs- und Datenanalysetools präsentieren. Die dabei vorgestellten Technologien reichen von Systemen zum Ausspähen von Mobiltelefonen von Asylsuchenden bis hin zu fortgeschrittenen Werkzeugen wie dem „Voice Inspector“ zur Stimmerkennung, Mitteln gegen Deepfakes oder Drohnen-Schnittstellen. Solche Veranstaltungen sicherten den Teilnehmern ein ungewöhnlich hohes Maß an Vertraulichkeit zu, monieren die Forscher. Sie werten diese Praxis als „präventive Garantie gegen die Freigabe von Informationen“, was die Rechenschaftspflicht und die öffentliche Kontrolle der zunehmenden „privat-öffentlichen Polizeiarbeit“ bei Europol zusätzlich erschwere.
()
Datenschutz & Sicherheit
Wie Europol mit Microsoft, Palantir, Clearview & Co. auf Kuschelkurs geht
Europol forciert ihre Kooperation mit Tech-Unternehmen aus den USA. Die Bürgerrechtsorganisation Statewatch kritisiert diese Allianz in einem Forschungsbericht als intransparent und Quelle massiver Interessenkonflikte. Die Kooperation ist demnach derart eng, dass Microsoft-Angestellte bereits eigene Arbeitsplätze in der Zentrale der EU-Polizeibehörde in Den Haag haben. Ein Europol-Beamter habe Firmen auf dem InCyber Forum, das in diesem Jahr in Lille, Frankreich, veranstaltet wurde, zudem explizit dazu aufgerufen, unternehmenseigene Daten direkt über ein neues Cyber Intelligence Gateway weiterzuleiten, um die Koordination zu verbessern. Basis für diese Entwicklung ist die umstrittene Erweiterung des Europol-Mandats 2022, die den Datenaustausch mit privaten und öffentlichen Stellen vereinfacht, Big-Data-Analysen ermöglicht und den Einsatz KI-gestützter Ermittlungsinstrumente vorantreibt.
Weiterlesen nach der Anzeige
Europol verweist laut der Analyse häufig auf „Geschäftsgeheimnisse“ oder „Datenschutz“, um Details über Verträge oder Lizenzierungen zurückzuhalten. Ein besonders kontroverses Beispiel ist die mehrjährige Nutzung der Big-Data-Plattform Gotham von Palantir. Obwohl die auch hierzulande umkämpfte Software laut Statewatch zur Basis zahlreicher Instrumente für vorausschauende Polizeiarbeit und Überwachung bei Europol gehört, habe das Amt Presseanfragen dazu abgeblockt. Von 69 Dokumenten zur Palantir-Zusammenarbeit seien lediglich zwei freigegeben, obwohl Europol nach dem Bruch sogar rechtliche Schritte gegen die US-Firma in Betracht gezogen habe. Auch die Gesichtserkennungsfirma Clearview AI, an der Palantir-Mitbegründer Peter Thiel beteiligt ist, präsentierte ihre Technologie bei Europol. Der EU-Datenschutzbeauftragte habe aber explizit gefordert, keine Dienste von Clearview in Anspruch zu nehmen, da dies wahrscheinlich gegen die Europol-Verordnung verstoßen würde.
„Wer ist wer“ der Überwachungsindustrie
Zunehmend problematisch erscheint auch das „Drehtür“-Phänomen, wonach Mitarbeiter der Behörde gerne in die Wirtschaft wechseln. Diese Gefahr dürfte sich noch verschärfen, da die EU-Kommission eine Verdoppelung der Europol-Stellen anstrebt. Ein Fall betrifft einen Ex-Cybercrime-Spezialisten, der unmittelbar nach seinem Ausscheiden 2023 zu Maltego Technologies wechselte. Europol weigerte sich, nähere Angaben dazu zu machen. Ein weiteres Unternehmen in Europols Dunstkreis ist Cellebrite, ein israelischer Tech-Riese, der Software zum Extrahieren von Daten aus Mobiltelefonen liefert. Seine Programme wurden in der Vergangenheit etwa zur Überwachung von Journalisten und Aktivisten verwendet. Die Tatsache, dass der Leiter des europäischen Vertriebs von Cellebrite zuvor in leitender Position beim Staatstrojaner-Entwickler NSO Group (Pegasus) tätig war, unterstreicht das Konfliktpotenzial solcher Allianzen.
Zentraler Schauplatz dieser Annäherung sind die jährlich stattfindenden „Research and Industry Days“. Dabei handelt es sich um eine 2024 von der Europol eingeführte Plattform, bei der Dutzende von Tech-Firmen und Verbänden ihre KI-basierten Überwachungs- und Datenanalysetools präsentieren. Die dabei vorgestellten Technologien reichen von Systemen zum Ausspähen von Mobiltelefonen von Asylsuchenden bis hin zu fortgeschrittenen Werkzeugen wie dem „Voice Inspector“ zur Stimmerkennung, Mitteln gegen Deepfakes oder Drohnen-Schnittstellen. Solche Veranstaltungen sicherten den Teilnehmern ein ungewöhnlich hohes Maß an Vertraulichkeit zu, monieren die Forscher. Sie werten diese Praxis als „präventive Garantie gegen die Freigabe von Informationen“, was die Rechenschaftspflicht und die öffentliche Kontrolle der zunehmenden „privat-öffentlichen Polizeiarbeit“ bei Europol zusätzlich erschwere.
()
Datenschutz & Sicherheit
Monsta FTP: Kritische Lücke ermöglicht Angreifern Schadcode-Ausführung
In der Web-basierten Datentransfer-Software Monsta FTP klafft eine Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen und ausführen. Ein Update steht bereit.
Weiterlesen nach der Anzeige
Die Schwachsstellenbeschreibung lautet: „Monsta FTP 2.11 und frühere Versionen enthalten eine Schwachstelle, die nicht authentifizierten Nutzern das Hochladen beliebiger Dateien erlaubt. Der Fehler ermöglicht Angreifern, Code auszuführen, indem sie speziell präparierte Dateien von einem bösartigen (S)FTP-Server hochladen“ (CVE-2025-34299, CVSS4 9.3, Risiko „kritisch“).
Schwachstellen-Analyse führt zu Stirnrunzeln
Die IT-Forscher von watchtowr haben die Lücke entdeckt und eine Analyse mit viel Augenzwinkern dazu veröffentlicht. Von Monsta FTP finden sich mindestens 5000 aus dem Internet zugreifbare Instanzen. Damit kann man etwa auf Inhalte eines externen (S)FTP-Servers zugreifen – Dateien lesen, schreiben und verändern, mit einem nutzerfreundlichen Interface. Die Nutzerbasis besteht etwa aus Finanzinstituten, Unternehmen und auch überambitionierten Einzelnutzern. Für Angreifer ist die Software auch deshalb interessant, da sie in PHP programmiert sei, frotzelt watchtowr.
Interessierte können dort eine Untersuchungskette verfolgen, die von der nicht ganz taufrischen Version 2.10.4 von Monsta FTP ausgeht – aktuell ist der 2.11er-Entwicklungszweig –, da ein großer Teil des Internets nicht die aktuelle Version einsetze. Darin fanden sich drei Sicherheitslücken, die bereits für die Version 2.10.3 bekannt waren. Daher haben die IT-Sicherheitsforscher sich den aktuellen 2.11er-Zweig angesehen, ob die Lücken darin abgedichtet waren.
Die Analysten fanden neue Funktionen im Programmcode, die Filterung etwa für Pfade nachrüsten. Proof-of-Concept-Code zum Missbrauch der SSRF-Schwachstelle CVE-2022-31827 – in Monsta FTP 2.10.3 – funktionierte jedoch immer noch. Die Analyse der Schwachstelle führte dann zur Entdeckung der neuen Sicherheitslücke, die das Ausführen von Schadcode ermöglicht – im Speziellen eine „Pre-Authentication Remote Code Execution“, also Ausführen von Schadcode aus dem Netz ohne vorherige Anmeldung.
Monsta FTP 2.11.3 vom 26. August 2025 soll diese Sicherheitslücke korrekt abdichten, erklärt watchtowr. Das Changelog von Monsta FTP schreibt zu dem Release lediglich „Resolved PHP 7.x compatibility issue“; abgedichtete Sicherheitslecks erwähnen die Entwickler nicht.
Weiterlesen nach der Anzeige
Datentransfer-Software mit Lücken: Liebling der Cybergangs
Datentransferlösungen wie Monsta FTP kommen etwa zur Verwaltung von Webseiten zum Einsatz, oder auch allgemeiner zum Datenaustausch. Cybergangs wie cl0p nutzen derartige Sicherheitslücken darin aus, um Daten in großem Stil zu kopieren und die betroffenen Unternehmen damit zu erpressen. Mitte 2023 hatte die kriminelle Vereinigung etwa durch eine Sicherheitslücke in MOVEit Transfer Daten bei vielen namhaften Unternehmen und Konzernen abgegriffen.
Auf der Darknet-Leaksite der Cybergang cl0p sind erneut namhafte Unternehmen als Opfer aufgetaucht.
(Bild: heise medien)
Erst vor wenigen Tagen ist auf der Darknet-Leaksite der cl0p-Bande die Washington Post als Opfer eines Datenabzugs aufgetaucht. Die Washington Post reagierte nicht auf unsere Anfragen dazu; die Täter nennen auch nicht den Umfang und die Art der angeblich kopierten Daten. Noch jünger ist der Eintrag zum Tastatur- und Maus-Hersteller Logitech. Auch hier fehlen etwaige Informationen zu Art und Umfang des Datendiebstahls oder gar eine Bestätigung seitens Logitech. Ob cl0p tatsächlich Daten bei den beiden namhaften Organisationen abgegriffen hat und durch welche Sicherheitslücke in welcher Software, ist derzeit vollkommen unklar.
Cybercrime und Ransomware sind keine Naturkatastrophen, denen man ohnmächtig gegenübersteht. Wer verstanden hat, wie die Angreifer ticken, welche Methoden sie einsetzen und wie die existierenden Schutzmöglichkeiten funktionieren, kann seine IT so absichern, dass deren Schutzmaßnahmen nicht beim ersten falschen Klick in sich zusammenstürzen. Genau dabei hilft das heise security Webinar Die Bedrohung durch Cybercrime – und wie man sich davor schützt.
(dmk)
Kommentar zur KI-Blase: Sam Altman mimt den Oppenheimer des 21. Jahrhunderts
Wie Europol mit Microsoft, Palantir, Clearview & Co. auf Kuschelkurs geht
Wie Europol mit Microsoft, Palantir, Clearview & Co. auf Kuschelkurs geht
-
UX/UI & Webdesignvor 3 MonatenDer ultimative Guide für eine unvergessliche Customer Experience
-
UX/UI & Webdesignvor 2 MonatenAdobe Firefly Boards › PAGE online
-
Apps & Mobile Entwicklungvor 3 MonatenGalaxy Tab S10 Lite: Günstiger Einstieg in Samsungs Premium-Tablets
-
Social Mediavor 3 MonatenRelatable, relevant, viral? Wer heute auf Social Media zum Vorbild wird – und warum das für Marken (k)eine gute Nachricht ist
-
UX/UI & Webdesignvor 3 WochenIllustrierte Reise nach New York City › PAGE online
-
Datenschutz & Sicherheitvor 2 MonatenHarte Zeiten für den demokratischen Rechtsstaat
-
Entwicklung & Codevor 3 MonatenPosit stellt Positron vor: Neue IDE für Data Science mit Python und R
-
Entwicklung & Codevor 2 MonatenEventSourcingDB 1.1 bietet flexiblere Konsistenzsteuerung und signierte Events