Der HTTP-Client axios war kurzzeitig mit einer Hintertür versehen und stand damit ausgerüstet für rund drei Stunden zum Download. Wie oft der Client in diesem Zeitraum heruntergeladen und installiert wurde, ist bislang unklar. Nun erklärt der Maintainer, wie das passieren konnte.

Am 30. März haben die Angreifer die mit Schadcode verseuchten Versionen 1.14.1 und 0.30.4 veröffentlicht. Mittlerweile hat der Entwickler wieder die Kontrolle und die Ausgaben sind offline. In einem Beitrag von Google Threat Intelligence finden sich Hinweise, an denen man bereits erfolgreich attackierte Systeme erkennen kann.

Klassischer Social-Engineering-Angriff

In seinem Post-Mortem-Bericht führt der axios-Maintainer aus, dass ihn die wahrscheinlich der nordkoreanischen Gruppe UNC1069 angehörigen Angreifer im Zuge einer Social-Engineering-Attacke ausgetrickst haben. Das Ganze sei extrem professionell und überzeugend abgelaufen.

Er gibt an, dass die Angreifer sich als Unternehmensgründer ausgegeben und ihn in einen Slack-Workspace eingeladen haben. Dort sah ihm zufolge alles äußerst überzeugend aus und es gab verschiedene Kanäle mit passenden Inhalten und glaubhaften Profilen.

Dann wurde er zu einem Teamsmeeting eingeladen. Währenddessen tauchte eine Fehlermeldung auf und er sollte ein Update installieren. Das war aber kein Teams-Update, sondern ein Trojaner zum Einsacken von Zugangsdaten. So konnten sie die npm-Zugangsdaten des Entwicklers kopieren und die Trojaner-Version von axios in Umlauf bringen.

Nicht die einzige Attacke

Der axios-Entwickler ist aber nicht das einzige Opfer im Open-Source-Maintainer-Umfeld. Offensichtlich haben es die Cyberkriminellen auf weitere Pakte wie das Mocha-Framework abgesehen. Das berichtet der Maintainer auf Github.

Sicherheitsforschern von Socket zufolge handelt es sich dabei um größer angelegte Supply-Chain-Angriffe, die unter anderem auch Lodash, Fastify und Pino betreffen. Die betroffenen Tools werden wöchentlich milliardenfach heruntergeladen und bilden somit die perfekte Basis für eine weitreichende Supply-Chain-Attacken.

(des)

Isa Schaller ist Mitarbeiterin von „Ein Team für digitale Gewalt“. Sie hat Philosophie, Informatik und Rechtsextremismusforschung studiert. Schaller interessiert sich für die Schnittstelle zwischen Technik und Wissenschaft und insbesondere für feministische Technikpolitik. In deren Zentrum steht die Frage: Wie kann die aktuelle technische Entwicklung im Sinne der Geschlechtergerechtigkeit gestaltet werden?

Seit 2023 gibt Isa Schaller Schulungen zum Schutz vor digitaler Ortung und Überwachung im Frauengewaltschutz. Sie war außerdem zwischen 2024 und 2025 als technische Beraterin am Modellprojekt “IT-Beratung” des Vereins Frauenhauskoordinierung beteiligt.

netzpolitik.org: Frau Schaller, wie stark prägt digitale Gewalt inzwischen den Alltag in der Frauenhausarbeit?

Isa Schaller: Die technische Entwicklung ist rasant, alle paar Monate kommen neue Funktionen hinzu. Viele davon lassen sich im Kontext von (Ex-)Partnerschaftsgewalt missbrauchen. Man muss in der technischen Beratung wirklich Detektivarbeit leisten. Insbesondere, wenn es um Cloud-Dienste geht, die einfach zu benutzen sind und häufig über eine Ortungsfunktion verfügen. Kurz gesagt: In vielen Fällen der Beratungsarbeit im Frauenhauskontext geht es inzwischen auch um digitale Gewalt.

netzpolitik.org: Ihre Initiative, „Ein Team gegen digitale Gewalt“, bietet deutschlandweit Schulungen für Beratungsstellen und Frauenhäuser an. Sie haben sich insbesondere auf den Schutz vor Ortung und Überwachung spezialisiert. Welche Bedrohungen begegnen Ihnen in der Praxis?

Isa Schaller: In einer Situation meldete sich ein Frauenhaus nach einer Schulung zu Cyberstalking und Absicherung. Die Mitarbeiterin berichtete, dass sie unsere Tipps angewandt und ‚AirGuard‘ genutzt hatte. Dabei handelt es sich um eine von der Technischen Universität Darmstadt entwickelte Sicherheits-App, mit der sich Bluetooth-Tracker aufspüren lassen. Die Mitarbeitenden des Frauenhauses führten die App standardmäßig ein und ließen sie auch in der Poststelle laufen, wo sie ihre Pakete empfingen. Direkt beim ersten Mal schlug die App an. In einem Paket befand sich ein Bluetooth-Tracker – versteckt in einem Geschenk. Der Tracker sollte unbemerkt ins Frauenhaus getragen werden, um die Adresse herauszufinden. Das konnte in diesem Fall glücklicherweise verhindert werden. Aber das ist nur ein Beispiel, das exemplarisch steht für viele Situationen, mit denen Frauenhäuser heute konfrontiert sind.

„In vielen Fällen gibt es erste Anzeichen“

netzpolitik.org: Wie bemerken Betroffene überhaupt, dass sie überwacht oder geortet werden?



Isa Schaller: In vielen Fällen gibt es erste Anzeichen – zum Beispiel, dass der Täter in der Nähe der Betroffenen auftaucht, im Park, vor der Tür, oder, dass die Betroffene schon einmal im Frauenhaus gefunden wurde, dessen Standort ja eigentlich geheim ist. In solchen Fällen muss die Betroffene teilweise Hunderte Kilometer umziehen in das nächste Frauenhaus, das einen freien Platz hat. Die Frage ist dann: Wie konnte das passieren? Der erste Verdacht sind meistens Bluetooth-Tracker, die in Teddys, im Futter der Winterjacke oder in der Schuhsohle versteckt wurden. Die nächste Option ist die gemeinsame Cloud. Wenn der Ex-Partner sie eingerichtet hat, muss er sich nur einloggen, um Zugang zu Fotos und Terminen der Betroffenen zu haben. Eine weitere häufige Frage betrifft Kinderschutzfunktionen von Geräten. Die lassen sich so einrichten, dass betroffene Personen es häufig gar nicht mitbekommen, aber die Ortung im Hintergrund aktiv ist.

netzpolitik.org: Häufig instrumentalisieren Täter auch Kinder. Sie sind in vielen Fällen mitbetroffen von digitaler Gewalt.

Isa Schaller: Aktuell leben in Frauenhäusern sogar mehr Kinder als Frauen. Denn Frauen, die vor ihren (Ex-)Partnern flüchten, nehmen ihre Kinder in der Regel mit. 2024 wohnten 13.700 Frauen in Frauenhäusern und 15.300 Kinder. Und über Kinder versuchen Täter, digitale Gewalt auszuüben, etwa über digitale Kontaktversuche oder Geschenke, wie im oben genannten Fall. Da ergeben sich neue medienpädagogische Fragen. Die Kinder sind ohnehin in einer schwierigen Situation. Sie mussten umziehen und haben ihr soziales Umfeld in der analogen Welt verloren. Da kann man ihnen nicht sagen, dass sie jetzt auch noch aufhören sollen, Online-Spiele zu spielen oder per Messenger zu kommunizieren.

Es braucht einen sehr genauen Blick, wie man ihre Geräte absichern und weiter nutzen kann. Wenn es bei einigen Programmen wirklich zu gefährlich ist, sie weiter zu nutzen, braucht es eine sensible und altersgerechte Vermittlung und Abstimmung mit den betroffenen Kindern.

netzpolitik.org: Der sogenannte Digital Gender Gap weist auf eine gravierende Lücke hin. Demnach besteht zwischen Frauen und Männern nach wie vor ein großer Unterschied im Zugang zu digitalen Technologien. Frauen zählen demnach überdurchschnittlich häufig zu den „digital Abseitsstehenden“. Welche Rolle spielt die fehlende digitale Selbstbestimmung im Kontext von Gewalt?

Isa Schaller: Häufig lassen Frauen ihre technischen Geräte im vollsten Vertrauen von Männern einrichten. Sie selbst verfügen in vielen Fällen gar nicht über die Passwörter. Das führt zu einem massiven Machtgefälle. Im Endeffekt ist die digitale Gewalt eine Fortführung bestehender Gewaltformen. Da spielen dann noch andere Aspekte mit rein: In welcher finanziellen Lage befindet sich die Betroffene? Kann sie sich einfach ein neues Gerät kaufen, wenn mit dem alten etwas nicht stimmt? Gibt es überhaupt erreichbare, kompetente Hilfestellen? Da spielt dann etwa ein Stadt-Land-Gefälle eine Rolle.

„Eine massive Verschärfung“

netzpolitik.org: Laut einer Statistik aus dem Jahr 2024 fehlen in Deutschland mehr als 12.000 Frauenhausplätze. Gleichzeitig steigen die Zahlen zu häuslicher Gewalt.

Isa Schaller: Wir bewegen uns in den gleichen gesellschaftlichen Machtverhältnissen wie ohnehin schon. Nur leider mit mächtigen neuen Werkzeugen, die Bedroher nutzen können, um Personen zu verfolgen und sie weiter einzuschüchtern. Deshalb handelt es sich bei digitaler Gewalt nicht nur um eine Fortführung bestehender Gewalt, sondern auch um eine massive Verschärfung.

netzpolitik.org: Im Modellprojekt IT-Beratung der Frauenhauskoordinierung haben Sie Betroffene bei Verdachtsfällen von digitaler Überwachung unterstützt. Wie wichtig ist in derartigen Fällen ein ganzheitlicher Ansatz? Es geht ja um weit mehr als technische Beratung.



Isa Schaller: Alle Projekte, in denen ich bislang gearbeitet habe, hatten den Anspruch auf eine enge Koppelung an die bestehende Hilfslandschaft. An vielen Stellen spielt Medienpädagogik eine Rolle. Wie vermittelt man technische Details an erwachsene Betroffene? Viele Menschen wissen nach wie vor nicht, was eine Cloud ist und wie genau sie funktioniert. Teils wird den Betroffenen ihre digitale Situation und die damit einhergehende Bedrohung erst in der Beratung bewusst. Hier braucht es dann eine psychosoziale Betreuung. Diese Frauen haben schon sehr viele Übergriffigkeiten erlebt. Natürlich reißt man ihnen da nicht ungefragt das Handy aus der Hand. Es geht um eine gemeinsame Abstimmung.

Hinzu kommt die rechtliche Ebene. Da geht es etwa um rechtssichere Screenshots und die Frage, ab wann die Polizei für die Beweissicherung zuständig sein sollte. Es braucht ein ganzes Team, um diese Situation anzugehen.

netzpolitik.org: Nur arbeiten Frauenhäuser ohnehin schon am Limit. Jahr für Jahr müssen sie Hunderte Frauen abweisen – und brauchen bei digitaler (Ex-)Partnerschaftsgewalt spezialisierte Kompetenzen und technisches Know-How.

Isa Schaller: Deshalb bräuchte es mehr Geld in der gesamten Beratungslandschaft – und ein entsprechendes Stundenkontingent. Denn digitale Gewalt verursacht einen Mehraufwand in der Beratungsarbeit. In die Beratung kommt in vielen Fällen eine Person, die noch gar nicht ahnt, dass sie geortet und überwacht wird. Schließlich stehen für sie häufig erst einmal andere Fragen im Vordergrund: Was passiert mit den Kindern? Wie ist die finanzielle Situation? Dann kommt heraus, dass digitale Gewalt auch ein Thema ist. Häufig geht es da nicht nur um Handys, sondern beispielsweise auch um die Schultablets der Kinder oder Smartwatches. Bestehende Hilfesysteme zu unterstützen ist also der erste Schritt.

netzpolitik.org: Was müsste aus Ihrer Sicht noch passieren, um Betroffene besser zu schützen?

Isa Schaller: Hersteller müssen in die Verantwortung gezogen werden. Die Probleme dürfen nicht auf Betroffene und die Beratungslandschaft abgewälzt werden. Es kann nicht sein, dass Frauen ihre Geräte nicht mehr nutzen können. Das bedeutet für sie den Abschied aus digitaler Teilhabe. Viele Bereiche des Alltags sind heute nur noch digital zugänglich. Zu erwarten, dass sie sich aus dieser Welt ausklinken, darf nicht die Lösung sein. Insbesondere nicht in dieser Situation: Sie versuchen schließlich gerade, sich ein neues Leben aufzubauen. Dabei sollten sie unbedingt Kontakt halten zu Personen, die sie stabilisieren. Und dafür ist ihr Handy zentral.

netzpolitik.org: Welche Weichenstellungen sind aus Ihrer Sicht notwendig, um Technik gerechter und sicherer für alle zu gestalten?

Isa Schaller: Das fängt an bei stärkeren Warnsystemen für Bluetooth-Tracker. Ein weiterer Punkt betrifft SmartHome-Geräte. Viele Haushaltsgeräte erheben inzwischen private Daten, speichern sie und machen sie zugänglich. Jedes Auto ist inzwischen ein intelligentes Gerät, das überwachbar ist. Es braucht an dieser Stelle einen breiten gesellschaftlichen Diskurs. Wie wollen wir, dass unsere Technik gestaltet ist? Wo wollen wir mehr Komfort, wo machen wir aber auch Abstriche, um diese Geräte sicher zu gestalten für wirklich alle Beteiligten?

Das politische Tauziehen in Brüssel über die freiwillige Chatkontrolle hat ein vorläufiges Ende mit weitreichenden Konsequenzen gefunden: Seit diesem Wochenende fehlt für das anlasslose Scannen privater Kommunikation in der EU die rechtliche Grundlage. Eine entsprechende Übergangsregelung, die es Anbietern wie Meta, Google oder Microsoft erlaubte, Messenger-Dienste und E-Mails proaktiv nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen, ist ausgelaufen. Die EU-Kommission und Sicherheitsbehörden beklagen nun eine Schutzlücke. Bürgerrechtler wittern dagegen die Chance, den Kinderschutz auf ein rechtsstaatlich solides Fundament zu stellen.

Die Reaktionen auf das Auslaufen der Verordnung fallen heftig aus. EU-Innenkommissar Magnus Brunner nannte die im Parlament gescheiterte Verlängerung „schwer nachvollziehbar“. Kinderschutzorganisationen wie die Internet Watch Foundation sprachen von einem „eklatanten politischen Versagen“. Ohne die Ausnahmeverordnung verstoßen automatisierte Scans privater Nachrichten nach Ansicht von Experten gegen die geltende E-Privacy-Richtlinie. Ein Kommissionssprecher konstatierte: „Ohne Rechtsgrundlage ist es Unternehmen nicht mehr gestattet, sexuellen Kindesmissbrauch in der privaten Kommunikation proaktiv aufzuspüren.“

Doch die großen Tech-Konzerne denken nicht an einen sofortigen Stopp ihrer Überwachungsmaßnahmen. Google, Meta, Microsoft und die Snapchat-Mutter Snap kündigten am Samstag in einer gemeinsamen Erklärung an, dass sie „weiterhin freiwillige Maßnahmen ergreifen werden“, um entsprechendes Material auf ihren Plattformen zu identifizieren. Sie warnen: Generell bestehe mit der Gesetzesänderung „die Gefahr, dass Kinder weltweit weniger vor den abscheulichsten Schäden geschützt sind“.

Das Quartett fordert die EU-Institutionen zugleich auf, „dringend Verhandlungen über einen Regulierungsrahmen abzuschließen“. Ein Brancheninsider verwies gegenüber Politico darauf, dass die Rechtslage zwar „trüb“ geworden sei. Das mache das Scannen aber nicht zwingend ungesetzlich. Diese Einschätzung steht im direkten Widerspruch zur Ansicht nicht nur der Kommission. Vor dem Greifen der Ausnahmebestimmung hatte die Meta-Tochter Facebook das Rastern der Kommunikation Ende 2020 ausgesetzt.

„Scheinsicherheit statt echter Hilfe“

Widerstand gegen die Fortführung der seit Jahren umkämpften Praxis kommt etwa von der Piratenpartei und deren Ex-EU-Abgeordneten Patrick Breyer. Sie argumentieren, dass das bisherige System vor allem „Scheinsicherheit“ produziert habe. Laut Zahlen des Bundeskriminalamts (BKA) seien fast die Hälfte der durch US-Konzerne ausgelösten Verdachtsmeldungen strafrechtlich irrelevant. Zudem handele es sich bei 99 Prozent der Meldungen von Meta um bereits bekanntes Material, dessen Detektion keinen laufenden Missbrauch stoppe. So würden die Behörden nur mit Dubletten überlastet.

„Das Aus der anlasslosen Chatkontrolle ist kein Rückschlag, sondern eine Chance für echten Kinderschutz“, unterstrich Breyer. Er vergleicht die Massenüberwachung mit dem Versuch, den Boden aufzuwischen, während der Wasserhahn weiterläuft. Stattdessen müsse das Augenmerk auf die Quelle des Übels gerichtet werden.

5-Punkte-Plan für digitalen Kinderschutz

Zusammen mit der Piraten-Vorsitzenden Lilia Kayra Kuyumcu hat Breyer einen Aktionsplan vorgelegt, der den Fokus hin zu einem gezielten Vorgehen verschieben soll. Ein Punkt ist das Prinzip „Löschen statt Wegsehen“. Frei werdende Kapazitäten beim BKA, die bisher durch die Flut irrelevanter Meldungen gebunden waren, sollen genutzt werden, um Missbrauchsdarstellungen in Darknet-Foren aktiv aufzuspüren und entfernen zu lassen. Bislang lassen Strafverfolger solche Funde oft im Netz stehen.

Weitere Kernpunkte: Apps sollen so vorkonfiguriert sein, dass Fremdkontakte und die Freigabe persönlicher Daten standardmäßig erschwert werden (Safety by Design). Für Ermittler seien gezielte, richterlich angeordnete Überwachungsmaßnahmen gegen konkrete Verdächtige das beste Instrument. Ein „Klassensatz zur digitalen Selbstverteidigung“ soll Schülern zudem helfen, Versuche des Heranpirschens potenzieller Täter übers Netz (Grooming) frühzeitig zu erkennen.

Betroffene verlangen Privatsphäre

Auch selbst sexualisierter Gewalt Ausgesetzte begrüßen das Ende der anlasslosen Scans. Der IT-Experte Alexander Hanff hebt hervor, wie wichtig verschlüsselte und private Kommunikation für Opfer sei: „Wir Überlebende brauchen Privatsphäre, denn ohne sie verlieren wir unsere Stimme.“ Er wirft der Kommission vor, Millionen in Algorithmen investiert zu haben, die Kinder nicht wirksam schützen. Direkte Hilfe für Betroffene fehle dagegen.

Parallel laufen die Gespräche über eine dauerhafte „Chatkontrolle 2.0“ in Brüssel, die noch Monate andauern könnten. Bis dahin bleibt die rechtliche Situation für die Tech-Riesen heikel. Sollten sie ihre Scans ohne explizite Erlaubnis fortsetzen, drohen neben Bußgeldern wegen Datenschutzverstößen auch neue Grundsatzurteile. Bereits 2021 legte die ehemalige EuGH-Richterin Ninon Colneric in einem Gutachten dar, dass solche Eingriffe die Grundrechte auf Privatsphäre und freie Meinungsäußerung unverhältnismäßig verletzten. Die Debatte zeigt: Der Kampf gegen Kindesmissbrauch ist unbestritten. Über den Weg dorthin bleibt Europa aber gespalten.

(nen)