Connect with us

Datenschutz & Sicherheit

Rotlichtviertel Frankfurt am Main: Hier analysiert die Polizei jedes Gesicht


Juanita Henning steht auf der Elbestraße in Frankfurt am Main und schaut in eine Videokamera. Die hängt etwa 50 Meter von ihr entfernt und hat acht Linsen, um von allen Straßenabschnitten gleichzeitig scharfe Bilder zu liefern. „Die vermisst jetzt gerade mein Gesicht und prüft, ob ich von der Polizei gesucht werde“, sagt Henning. Biometrische Fernidentifizierung in Echtzeit nennt das hessische Innenministerium die Technologie, die hier in einem Pilotprojekt getestet wird. Und wie fühlt es sich an, im Blickfeld der Kamera? „Absolut unangenehm. Du weißt ja auch nie, wozu diese Aufnahmen missbraucht werden“, sagt sie.

Juanita Henning befindet sich vor dem Büro von Doña Carmen, einer Beratungsstelle für Prostituierte. Links daneben ist eine Tabledance-Bar, rechts daneben ein Bordell. Gegenüber, auf der anderen Straßenseite, sind noch zwei weitere Bordelle. Auch ihre Eingänge liegen im Sichtbereich der Kamera. Insgesamt erfasst die Videoüberwachung des Frankfurter Bahnhofsviertels mindestens 16 Häuser, in denen Sexarbeit verrichtet wird.

Deren Türen und Fenster werden in der Videoüberwachung angeblich ausgeblendet, ansonsten wird der öffentliche Raum im Bahnhofsviertel von Frankfurt am Main „nahezu vollständig“ videoüberwacht, so die Polizei zu netzpolitik.org. 29 der 70 Kameras, die in Frankfurt öffentlichen Raum erfassen, stehen hier. 19 davon eignen sich für die automatisierte Gesichtserkennung.

„Ein ganz perverser Eingriff“

Henning sagt: „Videoüberwachung und automatisierte Gesichtserkennung dort, wo Sexarbeiter*innen arbeiten – das ist ein ganz perverser Eingriff in die Intimsphäre von Menschen.“ Henning ist im Vorstand von Doña Carmen, hat den Verein einst mitgegründet und ist auf ihren Wegen zu und von der Beratungsstelle regelmäßig der automatisierten Gesichtserkennung ausgesetzt. Sie hat nun gemeinsam mit Gerhard Walentowitz, ebenfalls Doña-Carmen-Vorstandsmitglied, und unterstützt von der Gesellschaft für Freiheitsrechte (GFF) vor dem Verwaltungsgericht Frankfurt Klage dagegen eingereicht.

Davy Wang von der GFF sagt: „Besonders problematisch ist der Einsatz der biometrischen Videoüberwachung in sensiblen Kontexten, etwa im Umfeld sozialer Beratungsstellen. Institutionen wie Dona Carmen sind darauf angewiesen, ihren Klient*innen einen geschützten, vertraulichen und niedrigschwelligen Zugang zu gewährleisten.“

Henning arbeitet seit 1991 als Sozialarbeiterin hier im Viertel. Sie sagt: „Den Frauen gefällt das absolut nicht, dass sie überwacht werden. Die wollen anonym bleiben, um sich und ihre Familien vor Diskriminierung und Stigmatisierung zu schützen.“ Zudem würden durch die vielen Kameras die Umsätze sinken, weil auch die Kunden lieber unerkannt blieben.

Frankfurt ist wohl erst der Anfang

Das Frankfurter Bahnhofsviertel ist Freiluftlabor für die Echtzeit-Fernidentifizierung. Zahlreiche Bundesländer haben bereits Interesse an der Technologie angemeldet, die hier deutschlandweit – nach einem Testlauf am Berliner Bahnhof Südkreuz – erstmals offen eingesetzt wird. In einem ersten Ausweitungsschritt wurde die automatisierte Gesichtserkennung auch an Kameras angeschlossen, die Haupt- und Konstablerwache überwachen, die Enden der zentralen Frankfurter Einkaufsstraße Zeil. Der hessische Innenminister Roman Poseck (CDU) hat noch vor Einführung der KI-Überwachung angekündigt, dass er diese hessenweit an Kriminalitätsschwerpunkten einführen will. Und Bundesinnenminister Alexander Dobrindt (CSU) möchte deutsche Bahnhöfe flächendeckend mit dieser Technologie – und zudem Verhaltensscannern – ausrüsten. Frankfurt ist also höchstwahrscheinlich erst der Anfang.

Aktuell darf in Frankfurt mit der Gesichtserkennung nach Terrorist*innen gesucht werden, nach vermissten Menschen und nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung. Für jede Suche ist ein richterlicher Beschluss nötig. Das System läuft seit Juli 2025, seitdem wurde „eine niedrige zweistellige Anzahl an Personen“ damit gesucht. Erfolg gab es nur einmal, als eine vermisste 16-Jährige mit der Kamera-KI identifiziert wurde. Ab Juli 2026 soll eine Evaluationsphase folgen, aber es sieht bereits so aus, als solle das System auf jeden Fall verstetigt werden. Zuständig für die Gesichtserkennungstechnologie ist die Direktion 100 der Frankfurter Polizei, zu der auch das skandalumwitterte 1. Polizeirevier gehört.

Neben dem Probelauf mit der Fernidentifizierung ist Frankfurt am Main auch Experimentierfeld einer weiteren, bislang deutschlandweit einmaligen Form der automatisierten Gesichtserkennung. Polizist*innen nutzen hier seit Dezember 2025 eine App, mit der sie bei Personenkontrollen Verdächtige identifizieren, die sich nicht ausweisen wollen oder können. Die „Abfrage-App“ bietet eine mobile Schnittstelle zum Gesichtserkennungssystem des BKA. Dort wird das fotografierte Gesicht mit den Gesichtern der 5,36 Millionen Menschen verglichen, die in der polizeilichen Datenbank gespeichert sind. Gibt es einen Treffer, erscheinen Name, Geburtsdatum und Staatsangehörigkeit auf dem Smartphone-Display. Darauf folgt eine „menschliche Plausibilitätskontrolle“.

Die Kosten hält die Polizei geheim

Auf 160 Geräten wurde die App bislang installiert. Nach Abschluss der Pilotphase wolle man sie für alle Polizist*innen des Landes freischalten, so die hessische Polizei. Andere Landes-Polizeien und Bundesbehörden sollen die App dann ebenfalls einsetzen dürfen. Die Kosten für die Entwicklung der App – wie auch die Kosten für die Echtzeit-Fernidentifizierung – hält die Frankfurter Polizei geheim.

Dimitrios Bakakis, Fraktionsvorsitzender der Grünen im Frankfurter Stadtparlament, sagt: „Was hier erprobt wird, ist der Einstieg in eine Überwachungspraxis, die wir aus den USA kennen und die dort zu massiven Diskriminierungen geführt hat.“ Der Landesdatenschutzbeauftragte Alexander Roßnagel arbeitet gerade an einer Stellungnahme zu der Gesichtserkennungs-App.

Frankfurt am Main ist die deutsche Frontstadt der automatisierten Gesichtserkennung. Hier beginnt die Zeitenwende hin zur automatisierten Erfassung und Identifikation von Menschen über physiologische Merkmale. Und das ausgerechnet in dem Bundesland, das 1970 das erste Datenschutzgesetz der Welt verabschiedete. „Pilotprojekte wie Biometrie-Apps auf Polizeihandys oder Gesichtserkennung mit Kameras sind keine harmlosen Tests an begrenzten Orten, sondern weiten Schritt für Schritt biometrische Überwachung für alle aus“, sagt Kilian Vieth-Ditlmann von AlgorithmWatch. „Das Ende jeder Anonymität im öffentlichen Raum ist aus unserer Sicht keine Übertreibung, sondern die logische Konsequenz, die sich aktuell andeutet.“

Bakakis von den Frankfurter Grünen fügt hinzu: „Freiheit im öffentlichen Raum bedeutet nicht nur, dass man sich physisch bewegen darf – sondern auch, dass man anonym sein kann, also nicht automatisch identifiziert und registriert wird, nur weil man irgendwo entlangläuft.“

„Wie 1984“

Im Frankfurter Bahnhofsviertel kann man also schon jetzt erleben, was an vielen Orten droht: eine ständige potenzielle De-Anonymisierung aller Personen im öffentlichen Raum. Was macht das mit den Menschen vor Ort, wenn eine Software ständig versucht, sie zu identifizieren?

Milan, lange Haare, zerrissene Jeans, sitzt neben zwei Bekannten auf dem Bürgersteig, an der Wand eines Bordells. Er hält eine Metallpfeife in der Hand. Milan raucht damit Crack. Was sagt er zu der Kamera, die genau auf ihn zeigt? „Die ist mir egal“, sagt er. Die Polizei interessiere sich nicht für ihn. Die Kleinstmengen, die er und seine Bekannten bestenfalls einstecken hätten, seien den Aufwand nicht wert. Und was ist mit der Gesichtserkennungs-Software, die die Bilder analysiert? „Das ist ja wie in dem Buch ‚1984‘“, sagt er, eher interessiert als alarmiert.

Auch Lisa guckt frontal in eine achtlinsige Kamera. „Ganz schön gruselig“, sagt sie. Die Dreißigjährige wohnt hier im Bahnhofsviertel, die Kamera steht auf einem ihrer täglichen Wege. Lisas Alltag als Anwohnerin spielt sich zu einem guten Teil hier ab, unter Kameras. „Ich versuche das zu verdrängen, aber ein Unbehagen ist immer da“, sagt sie. Die offene Drogenszene empfindet sie hingegen als nicht bedrohlich. „Ich wohne hier ganz entspannt. Ich hatte kaum bedrohliche Situationen. Und wenn, könnten die Kameras mir nicht helfen“, sagt sie. Lisa nennt das Bahnhofsviertel „Projektionsfläche konservativer Politiker mit Ordnungsfantasien“.

„Man weiß nie, ob man gerade angestarrt wird“

Die Kamera filmt Lisas Gesicht. Die Bilder laufen in eine Videoleitstelle und werden dort von Polizist*innen gesichtet. Die können einige der Kameras auch ferngesteuert schwenken, neigen, zoomen. „Das ist eigentlich schlimm genug, dass man nie weiß, ob man gerade angestarrt wird“, sagt Lisa. Zudem werden die Bilder für 14 Tage gespeichert, sollten sie für Ermittlungen benötigt werden, auch länger.

„Und jetzt kommt der gruseligste Teil“, sagt Lisa. Sie meint: Die Software, die im Datenstrom der Kameras in Echtzeit Menschen identifiziert. Denn wenn die Polizei mit der Videoüberwachung gerade nach Menschen fahndet, scannt eine Software alle Gesichter, also auch Lisas. Das Programm leitet aus Lisas Physiognomie eine Datenkolonne ab und vergleicht diese mit den Daten des Zielgesichts. Würde Lisa tatsächlich gesucht oder wäre ihr Gesicht einem gesuchten zumindest ähnlich genug, würde auf dem Bildschirm des zuständigen „Videosachbearbeiters“ ein Screenshot erscheinen, auf dem Lisa optisch markiert ist, dazu erklänge ein akustischer Hinweis. Die Person vor dem Bildschirm müsste dann einschätzen, ob Lisa tatsächlich die gesuchte Person ist und gegebenenfalls Einsatzkräfte informieren. Die würden dann mit einer Personenbeschreibung zum Ort der Sichtung geschickt. Sind auf dem Videostream Straftaten zu sehen, wird sogar ein Foto der tatverdächtigen Person per polizeiinternem Messenger an die Dienst-Handys der Beamt*innen vor Ort gesendet.

Der Landesdatenschutzbeauftragte schrieb schon 2024, dass die Live-Gesichtserkennung einen „tiefgreifenden Grundrechtseingriff“ darstelle und nur unter „engen Voraussetzungen“ legal sei. Davy Wang von der Gesellschaft für Freiheitsrechte, die Juanita Henning in ihrem Kampf gegen die KI-Überwachung unterstützt, sagt: „Die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum stellt einen besonders schwerwiegenden Eingriff in die Grundrechte dar, weil sie massenhaft auch unbeteiligte Personen erfasst.“ Die hessische Rechtsgrundlage dafür sei zu unbestimmt, die Eingriffsschwelle zu niedrig. Lösch- Transparenz- und Bachrichtigungspflichten gebe es nicht.

Gesichtsscans ermöglichen Einblicke in das Privatleben

Die digitale Kennung, die die Software aus Lisas Gesicht errechnet, ließe sich auch mit Bildern aus dem Internet vergleichen. So fänden sich möglicherweise Demo-Fotos, auf denen sie in der Masse abgebildet ist, oder peinliche Jugendsünden auf Social Media. Die Bundesregierung will derartige Datenabgleiche zeitnah möglich machen, obwohl hohe grundrechtliche Hürden dagegenstehen.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

In Frankfurt wird ein Gesichtsscan angeblich sofort verworfen, wenn er nicht zu einem Treffer führt. „Aber ob das wirklich passiert, weiß ich nicht“, sagt Lisa. „Man weiß auch nicht, ob die Bilder aus den Kameras nicht doch irgendwann mit der Palantir-Software Hessendata ausgewertet werden“, fügt sie hinzu.

Eine Ecke weiter, eine Stunde später: Ein Trupp von fünf Polizist*innen stürmt im Laufschritt durch das Viertel, zielstrebig zu zwei überraschten Männern. Die werden umstellt und aufgefordert, sich auszuweisen, anschließend folgt die Leibesvisitation. Kein Ergebnis. Die Polizist*innen ziehen wieder ab. Was war das jetzt? „Anlasslose Kontrolle“, sagt ein Polizist. Aufgrund der Waffenverbotszone, die hier gilt, dürfen die Polizist*innen das.

Viele repressive Maßnahmen

Die Aktion ist eine von vielen repressiven Maßnahmen, mit denen Sicherheitsbehörden gegen Menschen im Bahnhofsviertel von Frankfurt am Main vorgehen. Die Polizei patrouilliert mit Fahrzeugen durchs Viertel, mit uniformierten Einheiten und mit Zivilfahnder*innen. Regelmäßig gibt es Groß-Razzien, dazwischen auch zahlreiche verdachtsunabhängige Kontrollen einzelner Menschen oder Gruppen. Polizist*innen können Aufenthaltsverbote für das Viertel aussprechen, die mit bis zu zwei Jahren Haft strafbewehrt sind. Am Stadtbild ändert sich dadurch nichts. Das ist, auch mit intelligenter Videoüberwachung, ganz offen von Crack geprägt.

Die Frankfurter Polizei lässt die Konsument*innen weitgehend in Ruhe, geht aber gegen Dealer vor, auch mit Hilfe der Videoüberwachung. Die Händler haben sich vermutlich deshalb außerhalb der videoüberwachten Zone eingerichtet. Dort, kurz vor dem Schild, das vor den Kameras warnt, nickt beispielsweise ein junger Mann herausfordernd Passant*innen zu. Wer seinem Blick standhält, dem wispert er „Brauchst du was?“ entgegen.

In Blickweite des mutmaßlichen Dealers, in der überwachten Zone, steht das Nika-Haus, ein selbstverwaltetes Wohnprojekt. Im Erdgeschoss residiert eine Beratungsstelle des „Förderverein Roma“. Timur Beygo leitet sie. Vor seiner Tür stehen und sitzen Menschen und konsumieren Crack. „Wir kommen im Allgemeinen sehr gut mit denen aus“, sagt er. Was ihn hingegen stört, das ist die Videoüberwachung. „Hier erscheinen etwa 15 Klienten am Tag, Roma und Sinti, meist Mütter mit Kindern, die werden dann einfach mitüberwacht. Das ist hochgradig überzogen.“ Kritik hat er auch an den Polizeieinsätzen. „Die Polizei tritt häufig sehr ruppig auf. Mein Eindruck ist zudem, dass Polizeieinsätze die Situation mitunter erst zuspitzen, obwohl vorher noch gar kein Konflikt bestand.“

„Das wird testhalber eingeführt und dann entgrenzt“

Auf einer Bierbank vor einem Kiosk im Bahnhofsviertel sitzen Walter Schmidt und Uli Breuer. Die beiden gehören zur Bürgerrechtsgruppe dieDatenschützer Rhein Main. Gelegentlich bieten sie Führungen an, in denen sie die KI-gestützte Videoüberwachung des Areals zeigen und erklären. „Das wird immer alles testhalber eingeführt und dann entgrenzt“, sagt Breuer. „Jetzt haben wir noch eine relativ freie Gesellschaft, aber wenn solche Methoden in die falschen Hände geraten, dann kann das sehr schlimm werden.“ Schmidt fügt hinzu: „Ich empfinde das als Unverschämtheit, dass ich von allen möglichen Kamerabetreibern erfasst werde und wehre mich dagegen wo möglich.“

Die beiden positionieren sich auch gegen die verdachtsunabhängigen Kontrollen, die im Viertel möglich sind (Breuer: „Das ist Willkür!“), und gegen den hessischen Polizeigesetzpassus, der Videoüberwachung ermöglicht, wenn mutmaßlich das Sicherheitsgefühl von Bürger*innen beeinträchtigt ist (Schmidt: „Ganz üble Kiste“). „Wir können sie nicht stoppen, aber bremsen“, sagt Breuer zu den Überwachungsbestrebungen. Nachdem sich die beiden beschwert hatten, erhielten beispielsweise einige Kameras an der Alten Oper eine Abschirmung, sodass diese nur noch die zulässigen Flächen abfilmen können.

Hoffnung für die beiden Datenschützer liefern die Grünen im Hessischen Landtag. Die lassen mit einem Normenkontrollantrag beim Staatsgerichtshof klären, ob die der Echtzeit-Fernidentifizierung zugrunde liegende Polizeigesetzänderung rechtens war. Eine Überprüfung der Rechtsgrundlage streben auch Juanita Henning und die GFF an. Sie haben beim Verwaltungsgericht Frankfurt beantragt, dass es die Abschnitte aus dem Polizeigesetz, die die Fernidentifizierung erlauben, dem Bundesverfassungsgericht vorlegt.

Durchkärchern

Etwa 150 Meter Luftlinie von Schmidt und Breuer auf ihrer Bierbank: Eine Frau mit löchriger Strumpfhose und rastlosen Beinen wälzt sich in einem Hauseingang. Zwei Männer hocken einander gegenüber zwischen parkenden Autos, während einer ein Glasröhrchen erhitzt. Eine Gruppe hat sich entlang einer Hauswand niedergelassen. Menschen liegen vollverhüllt in Schlafsäcken, einige reden, andere sitzen vornübergebeugt und präparieren anscheinend Drogen zwischen ihren ausgestreckten Beinen. Crackpfeifen er- und verglühen im erratischen Takt. Darüber wacht ein Kameraturm.

Auftritt Stadtpolizei Frankfurt am Main. Vier Beamt*innen sprechen die Menschen auf der Straße an und fordern sie auf, zu gehen. „Lagern und Verweilen zum Zweck des Konsums von Betäubungsmitteln“ ist hier verboten. Bis zu 100 Euro Bußgeld kann das kosten. Nach und nach lösen die Polizist*innen die Gruppe auf. Im Davonstolpern bereitet sich ein Mann, Kapuze auf dem Kopf, eine weitere Pfeife zu, hinter ihm gehen die Beamt*innen, dahinter bürstet eine Kehrmaschine der Stadtreinigung über den Bürgersteig. Als letzter in der Prozession folgt ein Mann mit einem Hochdruckreiniger. Er gibt dem Pflaster den letzten Schliff.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Google warnt: Angreifer geben sich als IT-Techniker aus und betreten Büros


Die Google Threat Intelligence Group warnt aktuell davor, dass Angreifer physisch auf die Systeme ihrer Opfer zugreifen: Sie geben sich vor Ort als IT-Techniker aus und betreten dann die Büros eines betroffenen Unternehmens. Mit einem USB-Stick greifen sie anschließend sensible Daten direkt vom Endgerät ab.

Weiterlesen nach der Anzeige

Normalerweise versuchen digitale Angreifer meist aus der Ferne Daten zu stehlen oder Netzwerke zu sabotieren: Das Opfer fällt etwa auf eine Phishing-Mail herein, kontaktiert den Angreifer und der erhält remote Zugriff aufs Firmennetz – dann kopiert er sensible Daten. Kommt der Angreifer so nicht weiter, steht er in manchen Fällen direkt vorm Firmengebäude.

Bei den falschen IT-Supportern geht es laut Google um die Hackergruppe UNC3753, die auch als Luna Moth, Chatty Spider oder Silent Ransom Group bekannt ist. Sie zielen hauptsächlich auf Anwaltskanzleien in den USA ab, aber auch Versicherungs-, Finanz- oder Gesundheitsunternehmen sind betroffen. Bei den Daten geht es dann um rechtliche Vereinbarungen, personenbezogene Daten oder Finanzunterlagen, mit denen sie das Unternehmen später erpressen wollen.

Die Hackergruppe sucht auf Firmenwebsites nach Kontaktdaten, um ihre Opfer etwa per Telefon oder Mail zu erreichen. Dabei tun sie so, als würden sie zur IT- oder Sicherheitsabteilung des Unternehmens gehören. Sie machen dann das Opfer auf eine vermeintliche Sicherheitslücke aufmerksam oder wollen ihm bei einem erfundenen Projekt helfen, um Daten zu migrieren. So bauen sie Vertrauen auf und versuchen, das Opfer zu einer Fernwartungssitzung zu überzeugen.

Laut Google nutzt UNC3753 ganz normale Screen-Sharing-Software: Zoom, Microsoft Terminal Services, Microsoft Teams oder Quick Assist. In einem Beispiel hat der Angreifer etwa innerhalb von drei Tagen mit dem Opfer fünfmal per Teams gesprochen. Sie versuchen die Opfer aber auch dazu zu bewegen, spezielle Remote-Software zu installieren: wie AnyDesk, Bomgar oder Zoho Assist. In einem Fall sollte der Nutzer einen „SuperOps RMM agent“ per cURL herunterladen.

Weiterlesen nach der Anzeige

Haben die Angreifer das Vertrauen des Opfers, kopieren sie sensible Daten. Sie melden sich etwa direkt im Browser des Opfers bei Dateifreigabe-Konten und laden Dateien direkt hoch – das taten sie entweder selbst oder haben ihre Opfer dazu angeleitet. Dabei imitierten sie auch das Branding des Zielunternehmens.

Unter anderem kamen dabei die Datenübertragungsprogramme WinSCP oder Rclone zum Einsatz. In einem Fall haben die Angreifer etwa 1,7 GByte an Daten aus einem lokalen OneDrive-Ordner auf ein Google-Drive-Konto übertragen. Zudem haben sie Opfer angewiesen, Dateien aus der Anwaltssoftware iManage direkt per Mail an die Hacker zu senden.

Falls die Remote-Taktiken der Angreifer fehlschlagen, versuchen sie laut Google physisch die Daten zu stehlen. Auch das FBI hat davor bereits Ende Mai gewarnt (PDF). Sie stellen sich wieder als IT-Support vor und täuschen etwa vor, dass sie ein Backup erstellen müssen. Dafür nutzen sie externe Festplatten oder einfache USB-Sticks. Haben die Hacker alle Daten, die sie brauchen, senden sie eine Erpressermail an die Firma und drohen mit der Veröffentlichung.

Das FBI empfiehlt unter anderem, die Berechtigungen aller Personen zu kontrollieren, die Unternehmensräume betreten. Außerdem sollen Unternehmen ihre Mitarbeiter schulen, Backups anlegen und etwa die Möglichkeit, externe Laufwerke anzuschließen, einschränken.

Zudem rät Google dazu, den ausgehenden Datenverkehr und das Netzwerk strikt zu überwachen – der Abfluss von mehreren GByte an Daten sollte nicht unbemerkt bleiben. Unternehmen sollen nicht autorisierte Filesharing-Dienste blockieren, die übertragenen Datenmengen in den Firewall-Protokollen erfassen und den SSH-Verkehr auf Port 22 gezielt auf massenhafte Übertragungen prüfen.


(str)



Source link

Weiterlesen

Datenschutz & Sicherheit

Angebliche „Auto-Reports“: Das steckt hinter der Betrugsmasche beim Kfz-Verkauf


Der Verkauf gebrauchter Fahrzeuge über Online-Plattformen wie Kleinanzeigen und Mobile ist nichts für schwache Nerven: Neben nächtlichen Nachrichten oder Anrufen der Gattung „was ist dein letzter Preis?“ gibt es reichlich Gauner, die Unbedarften allerlei Fallen stellen. Eine dieser Maschen taucht unter wechselnden Namen immer wieder auf: angebliche „Kfz-Berichte“. Was es damit auf sich hat, haben wir untersucht.

Weiterlesen nach der Anzeige

Der Ablauf eines Gebrauchtwagenverkaufs über das Internet ist meist etwa so: Der Verkäufer macht einige Fotos, sammelt notwendige Informationen des Autos zusammen und stellt Verkaufsanzeigen auf Plattformen wie Kleinanzeigen online. Interessenten melden sich, stellen Rückfragen, machen Preisangebote und bitten zur einfacheren Abwicklung um die Telefonnummer. Die herauszugeben, ist mehrheitlich keine gute Idee, scheint einem schnellen Verkauf aber oft zuträglich.

Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

In einem uns vorliegenden Fall (gefunden auf Reddit) bat der potenzielle Käufer per WhatsApp in tadellosem Deutsch um mehr Informationen zum Auto und einen Besichtigungstermin. Nachdem der Verkäufer ihm Vorschläge für die persönliche Begutachtung unterbreitet hatte, schwenkte der angebliche Interessent um: Er müsse lange fahren und zöge daher einen kompletten Fahrzeugbericht vor. Den könne der Verkäufer mittels Eingabe von Kennzeichen oder Fahrgestellnummer auf der Webseite „kfzabfrage.de“ herunterladen.

Fantasievolle Fahrzeugabfrage

So weit, so gut – doch was ist das für eine Webseite? Beim Aufruf von „kfzabfrage.de“ erwartet den Kaufinteressenten zunächst eine nichtssagende Webseite aus dem Baukasten, womöglich KI-generiert. Die Abfrage ist per Autokennzeichen oder Fahrzeugidentifikationsnummer (VIN) möglich, doch warum im entsprechenden Eingabefeld neben einem LKW und PKW auch ein Fahrradfahrer-Piktogramm erscheint, wissen wohl nur die unbekannten Autoren.


Startseite kfzabfrage.de

Startseite kfzabfrage.de

Hier können wir allerhand Neues über unser zukünftiges Fahrzeug erfahren – allerdings samt und sonders gelogen.

Immerhin: Über 500.000 Nutzer weltweit sowie die bekannten Marken „Auto Bild“ und „TopGear“ vertrauen angeblich der Kfz-Abfrage (die laut Logo unter dem Markennamen „VinCheck“ auftritt). Auch ein Beispielbericht lässt sich abrufen: Er enthält einige Fotos des Autos sowie den Kilometerstand, Leistung (verräterisch: die Verwendung der englischen Abkürzung „hp“ für Pferdestärken) und eine „Überprüfung auf gestohlenes Fahrzeug“. Und der Laie fragt sich: Wie soll ein Webportal an all diese Informationen kommen? Fotos von Unfallschäden tauchen in keiner öffentlichen Datenbank auf, genauso wenig wie Positionsdaten oder Tachostände.

Weiterlesen nach der Anzeige

Gibt man ein Autokennzeichen wie „CT-DE 1234“ oder eine zufällig ausgewürfelte, aber syntaktisch korrekte VIN in das Eingabefeld ein, leuchtet die frohe Botschaft auf: „Erfolg! Wir haben das Fahrzeug und seine bisherigen Daten gefunden.“ Spätestens jetzt ist klar: Es kann sich nur um Betrug handeln, denn das Ortskennzeichen „CT“ existiert in Deutschland schlicht nicht. Dennoch wollen wir wissen, was die halbseidene Fahrzeugdatenbank über unser Auto weiß.


Gefälschter Report

Gefälschter Report

Was letzte Preis? 19,99 Euro für einen Fantasiereport.

Doch das mag sie uns ohne Gegenleistung nicht verraten – und die besteht natürlich in der Angabe unserer Kreditkartendaten für den 19,99 € teuren Report. Nun denn, ermutigt durch die vielen Kreditkarten- und das Paypal-Logo begeben wir uns zur Kasse. Dort empfängt uns eine weitere Überraschung: Von Paypal-Zahlung ist plötzlich keine Rede mehr. Stattdessen nimmt der Seitenbetreiber Google Pay an, das haben wir jedoch nicht „auf Tasch“ – also muss es die Kreditkartenzahlung sein.

Also generieren wir uns schnell beim Zahlungsdienstleister unserer Wahl eine Einmal-Kreditkarte – und laufen vor die Wand. Denn die wird von „kfzabfrage“ schnurstracks abgelehnt. Womöglich möchten die unbekannten Betreiber sich die Option auf (unerlaubte) Folgezahlungen offenhalten. Mit einer anderen virtuellen Kreditkarte der Online-Bank Revolut klappt die Zahlung. Zumindest beinahe, denn die Revolut-App schlägt innerhalb von Sekunden Alarm.


Revolut sperrt Zahlung an kfzabfrage

Revolut sperrt Zahlung an kfzabfrage

Leider nein, leider gar nicht: Revolut erkennt den Betrugsversuch von „Autostoria24“.

Die Zahlung über 19,99 € an einen Händler namens „Autostoria24“ führte die Bank nicht aus, sondern sperrte direkt die Karte. Offenbar haben automatische Systeme zur Betrugserkennung bei Revolut zugeschlagen. Derlei vehemente Warnungen schlagen wir nicht in den Wind und brechen den Kauf ab. Stattdessen schauen wir, was wir über die Hintergründe der Masche erfahren können.

Wer steckt dahinter?

Die Recherche beginnt bei der Domain und ihren Inhabern. „kfzabfrage.de“ wurde am 29. Mai 2026, also eine Woche vor Erscheinen dieses Artikels registriert. Laut DENIC-Inhaberinformationen auf ein Unternehmen namens AUTO INFORM in der Ballifeary Road im britischen Bamburgh. Das malerische Küstendörfchen im Nordosten Englands ist berühmt für seine mittelalterliche Burg. Die diente unter ihrem altenglischen Namen Bebbanburg dem Romanhelden Uthred aus Bernard Cromwells gleichnamiger Romanreihe als Sehnsuchts- und Herkunftsort, ist eine beliebte Filmkulisse und Touristenattraktion. Doch Bamburgh hat keine Ballifeary Road, die gibt es lediglich im fünf Autostunden entfernten Inverness.

Bei der Suche nach dieser Straße fiel uns auf, dass unter derselben fiktiven Adresse wie das Kfz-Abfrageportal gleich zwei verschiedene Logistikdienstleister mit nichtssagenden Namen und verdächtiger Webseite residieren. Viel Gewerbe für ein Dorf mit 400 Einwohnern – der Verdacht liegt nahe, dass die Webseiten ebenfalls zu betrügerischen Zwecken aufgebaut wurden und die northumbrische Fantasieadresse regelmäßig recycled wird.

Auch die angeblichen E-Mail-Adressen des Domaininhabers führen ins Leere: Die Domain „autexa24.com“ existiert zwar und ist beim US-Anbieter Cloudflare gehostet, doch ist die Webseite nicht erreichbar und auch in der Wayback Machine nicht zu finden. Immerhin die zweite E-Mail-Adresse existiert, sie gehört zu einem Domain-Treuhanddienst des saarländischen Unternehmens Key Systems. Und die Kontakt-Telefonnummer? Die gehört zu einem Dienst für den kostenlosen SMS-Empfang und ist somit eine Wegwerfnummer.

Weitere Indizien für die Hintermänner sind spärlich gesät: Die AGB verweisen auf ein britisches Unternehmen namens „Datachecker Limited“, das jedoch bereits im Juli 2025 von Amts wegen liquidiert wurde. Das Hosting stellt GoDaddy in Straßburg bereit, die Domain ist über Key Systems registriert. Das stärkste Indiz könnte die Händlerkennung „autostoria24“ bei der Kreditkartenzahlung sein – dieser Name führt zu einem übel beleumundeten Händler für Fahrzeugteile, der offenbar auch seit 2025 nicht mehr im Geschäft ist.

Augen auf beim Fahrzeugverkauf

Ermittler warnen immer wieder vor der Betrugsmasche. Die Betrüger greifen nicht nur knapp 20 Euro von ihren Opfern ab, sondern auch deren persönliche Daten und die VIN oder das Autokennzeichen. Diese können sie später nutzen, um weiteren Betrügereien Glaubwürdigkeit zu verleihen, etwa indem sie selbst als Verkäufer auftreten und Interessenten die ergatterte VIN als Legitimation mitteilen.

Einen „Fahrzeugbericht“, wie ihn der betrügerische Interessent vom Verkäufer anfordert, gibt es zudem in dieser Form nicht. Werden Sie als Verkäufer also danach gefragt, sollten Sie den Kontakt sofort abbrechen – es handelt sich um Bauernfängerei. Wenn Sie bereits gezahlt haben, reklamieren Sie die Zahlung bei Ihrem Kreditkartenunternehmen und lassen sie zurückbuchen. Da nicht auszuschließen ist, dass die Betrüger weitere Abbuchungsversuche unternehmen, behalten Sie die nächsten Kreditkartenabrechnungen genau im Auge oder lassen die Karte gar sperren.

Die Betrüger wechseln die Domains im Wochen- oder Monatstakt und treten sicherlich mit einer Vielzahl von Designvorlagen aus. Allen gemein ist jedoch: Sie sind Teil einer Betrugsmasche.


(cku)



Source link

Weiterlesen

Datenschutz & Sicherheit

Angriff auf GitHub.dev stiehlt das OAuth-Token für alle Repos


Die Web-Version des Editors VS Code auf GitHub.dev hatte eine Sicherheitslücke, die es Angreifern erlaubt hat, sämtliche Repos eines Opfers zu übernehmen – auch private. Sie hätten hier Lieferkettenangriffe mit weiterem Schadcode initiieren oder einen Maintainer gezielt attackieren können.

Weiterlesen nach der Anzeige

Jeder GitHub-Anwender hätte über einen bösartigen Link schnell Opfer werden können. Durch eine Kombination aus eingebetteten Vorschaufenstern mit von JavaScript erzeugten Tastenschlägen hätten Angreifer unbemerkt eine Extension installieren können, die das Zugangs-Token für sämtliche Repos klaut, auf die das Opfer Zugriff hat. Auch die Desktop-Version war prinzipiell betroffen, jedoch mit höheren Hürden. Microsoft hat inzwischen Gegenmaßnahmen ergriffen und verhindert nun, dass Angreifer die Warnung vor einer nicht vertrauenswürdigen Umgebung ausschalten können.

Iframe-Sandbox aufgebrochen

Der Sicherheitsforscher Ammar Askar hat den Angriff in seinem Blog im Detail beschrieben: GitHub bietet eine Version von VS Code im Web unter github.dev. (Genauer genommen ist VS Code ursprünglich eine Webanwendung, die via Electron im Desktop läuft.) Jeder GitHub-Anwender kann seine Repos mit github.dev/user/repo statt github.com/user/repo unmittelbar in einer VS-Code-Umgebung im Browser öffnen, bearbeiten und verwalten.

Dadurch, dass die Web-App „fast die gesamte Ladung der Millionen Zeilen der TypeScript-Codebasis ausführt, eignet sie sich hervorragend als Ziel für jeden, der Bugs in VS Code sucht“, hebt Askar hervor. Im Prinzip schützt der Editor die Anwenderinnen und Anwender durch verschiedene Sandbox-Mechanismen jedoch vor der Übermacht der JavaScript-Funktionen.

Der Angriff nutzt die Funktion Webview, die externe Inhalte in einer Sandbox in einem Iframe ausführt, zum Beispiel um Markdown zu rendern oder Jupyter-Notebooks zu bearbeiten. Intern haben Webviews eine andere Code-Quelle: vscode-webview://... statt vscode-file://... und damit keinen Zugriff auf die Node.js-APIs, auf denen VS Code basiert. Aber es gibt einen Informationsaustausch über Messages mit der übergeordneten Hauptseite. So nimmt Webview Tasten-Events (keydown) für das Hauptfenster entgegen, beispielsweise Strg-Shift-P, um die Befehlspalette von VS Code zu öffnen. Über diese wiederum lassen sich Extensions installieren. Um dann die Installation der Extension zu bestätigen, dient Strg-Shift-A, was immer den Default-Button einer Meldung wählt, hier „Install“ für Erweiterungen.

Ein Angreifer kann nun Tastatureingaben einfach mit JavaScript-Code emulieren, um die Installation einer Extension anzustoßen. Askar zeigt, wie sich weitere Sicherheitsmechanismen einfach aushebeln ließen, darunter die Warnung an das Opfer, dass ein neuer Extension-Herausgeber etwas installieren will. Diese Überprüfung konnte Askar über das Vorspielen einer vertrauenswürdigen Local Workspace Extension umgehen – eine Schwachstelle, die Microsoft laut Askar inzwischen bereinigt hat.

Weiterlesen nach der Anzeige

Der Forscher demonstriert den Angriff mit einem Jupyter-Notebook, das über einen github.dev-Link wie oder über eine Umleitung darauf lädt. Die bösartige Extension tritt dann unbemerkt in Aktion und klaut das Token, mit dem sie Zugriff auf alle Repos bekommt, auf die auch das Opfer Zugriff hat – GitHub vergibt nur ein Token für alle Verzeichnisse.

Nur Anwender, die github.dev noch nicht oder länger nicht mehr benutzt haben, bekommen einmal die Warnung „The extension ‚GitHub Repository‘ wants to sign in using GitHub“. Im Blog von Askar findet sich ein Demo-Link, den die heise-developer-Redaktion jedoch nicht auf Sicherheit überprüft hat.

Lesen Sie auch


(who)



Source link

Weiterlesen

Beliebt