Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien „einige Ihrer personenbezogenen Daten offengelegt“ worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. „Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen“, schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Centerparks: Vom Datenleck betroffene Informationen

Das Datenleck betreffe „möglicherweise“ Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. „Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern“, erklärt Centerparks weiter.

Betroffene sollen wachsam bleiben. Bislang wurde noch kein Missbrauch festgestellt. Dennoch könnten Kriminelle betrügerische E-Mails mit Zahlungsaufforderungen schicken, etwa mit dem Vorwand, dass eine Buchung unvollständig oder eine vorherige Zahlung fehlgeschlagen sei. Auch könnte es zu betrügerischen Anrufen oder SMS-Nachrichten kommen, in denen die Absender persönliche Informationen abfragen. Centerparks ist wichtig zu betonen, dass das Unternehmen Kunden niemals in einer E-Mail mit einem Link zur Zahlung auffordert. Für offene Buchungen sollen Kunden sich auf der offiziellen Centerparks-Webseite oder in der MyCP-App auf dem Smartphone anmelden.

E-Mails mit solchen Zahlungsaufforderungen etwa mit einer Bankverbindung sollen Empfänger nicht nachkommen, sondern im MyCP-Konto nachschauen, ob gegebenenfalls noch ein Saldo vorliegt.

Datenlecks sind leider inzwischen alltägliche Vorkommnisse. Vergangene Woche hat etwa ein Mitglied des CCC beim Übernachtungsdienstleister Numa nächtigen wollen. Dabei stieß es jedoch auf eine vollständige Kundendatensammlung.

(dmk)

In Österreich regiert ein Dreierbündnis aus der konservativen ÖVP, der sozialdemokratischen SPÖ und den liberalen NEOS. In ihrem Regierungsprogramm haben die drei Parteien im Februar klargemacht, dass allerhand neue Überwachungsbefugnisse auf das Land zukommen. Nun, rund eine Woche nach einem Amoklauf an einer Schule in Graz, geht es schnell: Die österreichische Regierung hat eine Gesetzesvorlage für Staatstrojaner vorgelegt und zudem Alterskontrollen in sozialen Medien mit Registrierungspflicht der Nutzer:innen in den Raum gestellt.

Auf Staatstrojaner zur Messengerüberwachung durch die Direktion Staatsschutz und Nachrichtendienst (DSN), einigte sich am Mittwoch der österreichische Ministerrat. Die DSN ist gleichzeitig polizeiliche Staatsschutzbehörde als auch Inlandsgeheimdienst. Zuvor lagen die Regierungspartner im Clinch, vor allem die NEOS zweifelten die Verfassungsmäßigkeit der heimlichen, invasiven Überwachung an. Inzwischen ist dies der fünfte Anlauf, um die umstrittene Ermittlungsmethode gesetzlich zu verankern. Rechtlich sind ihr nach einem Grundsatzurteil des Verfassungsgerichtshofs aus dem Jahr 2019 enge Grenzen gesetzt.

Staatstrojaner gegen „verfassungsgefährdende Angriffe“

Nun soll Schadsoftware auf Geräten von Verdächtigen installiert werden dürfen, wenn „verfassungsgefährdende Angriffe“ vermutet werden, die mit mindestens zehn Jahren Freiheitsstrafe bedroht werden und andere Ermittlungsmaßnahmen aussichtslos scheinen. Ziel der Überwachung sollen dabei vor allem verschlüsselte und unverschlüsselte Nachrichten sein sowie „Informationen, die über internetbasierte Apps wie WhatsApp, Telegram etc. übermittelt werden, als auch über einen Cloud-Diensteanbieter an einen Cloud-Server übermittelte Datenpakete“.

Lokal gespeicherte Dateien sollen laut der Gesetzesvorlage nicht betroffen sein. Fachleute etwa vom Chaos Computer Club weisen jedoch seit Jahren darauf hin, dass diese Abgrenzung technisch eine eher kosmetische Bedeutung hat und durch Nachladen neuer Module des Staatstrojaners schnell aufgehoben werden kann.

Zur rechtlichen Absicherung soll jeder Staatstrojanereinsatz zuvor durch das österreichische Bundesverwaltungsgericht genehmigt und vom Rechtsschutzbeauftragten im Innenministerium begleitet werden müssen. Betroffene sollen im Nachhinein informiert werden. Eine solche Informationspflicht für Überwachungsmaßnahmen besteht regelmäßig auch in Deutschland, in der Praxis unterbleibt sie jedoch aufgrund zahlreicher Ausnahmen.

Kritik von Bürgerrechtler:innen

Kritik an der geplanten Messenger-Überwachung kommt von IT-Sicherheitsfachleuten und Bürgerrechtsorganisationen. Die Österreichische Liga für Menschenrechte schrieb in einer Stellungnahme zum Gesetzentwurf, dass die geplante Maßnahme „mit den in Österreich geltenden Grund-, Freiheits- und Menschenrechten nicht vereinbar ist“. Die Vereinigung der österreichischen Rechtsanwältinnen und Rechtsanwälte weist darauf hin, dass für Staatstrojaner IT-Sicherheitslücken offengehalten und so gleichsam „die österreichische Gesellschaft und Wirtschaft verletzlich“ würden.

Besonders aktiv im Kampf gegen diesen und vormalige Versuche zur Einführung von Staatstrojanern in Österreich ist seit mehreren Jahren die NGO epicenter.works mit ihrer Kampagne bundestrojaner.at. In einer Stellungnahme weist epicenter.works auf die durch Staatstrojaner entstehende Gefahr für liberale Demokratien hin, die aus den Staatstrojaner-Skandalen rund um Pegasus, Predator und andere deutlich geworden seien: „Die gezielte Überwachung politischer Opposition, die systematische Einschüchterung unabhängiger Medien und die Manipulation öffentlicher Diskurse mittels verdeckter staatlicher Überwachung unterminieren zentrale Elemente liberaler Demokratien – darunter politische Pluralität, Meinungsfreiheit, faire Wahlen und rechtsstaatliche Gewaltenteilung.“

Widerstand gegen die Messenger-Überwachung könnte im weiteren Prozess auch von Regierungsparteien selbst kommen. Die müssen im parlamentarischen Verfahren weitere Details klären, damit das Gesetz wie geplant Anfang 2027 in Kraft treten kann. Laut Medienberichten sollen trotz der Einigung die NEOS weiterhin nicht glücklich mit dem Vorstoß sein. „Ich bin tief davon überzeugt, dass NEOS als liberale Partei solche staatliche Überwachungssoftware nicht unterstützen kann“, zitiert Der Standard deren Vizeklubchef Nikolaus Scherak. Die österreichischen Grünen warfen der liberalen Partei indes vor, umgefallen zu sein und die Überwachungsfantasien der ÖVP zu erfüllen.

Alterskontrollen und Registrierungspflicht

Weniger konkret als die Staatstrojaner-Pläne der Regierung sind Ankündigungen zu Registrierungspflicht und Alterskontrollen im Netz, die ÖVP-Staatssekretär Alexander Pröll machte. Er brachte ins Spiel, dass sich Nutzer:innen sozialer Medien vorher registrieren müssen. Erfolgen könnte dies etwa mit der digitalen Identität „ID Austria“, mit der sich Bürger:innen bislang Behörden gegenüber ausweisen. Im Raum steht eine Altersgrenze von 14 Jahren, was zum einen Kinder und Jugendliche von einer Nutzung ausschließen würde. Zum anderen könnten Behörden dann potenziell bei den Dienste-Anbietern die bürgerliche Identität hinter gewählten pseudonymen Account-Namen abfragen.

Mit einem solchen Vorstoß würde Österreich die Anonymität im Netz torpedieren. Gleichzeitig ist ein solches Vorhaben europarechtlich fragwürdig. Ein nationaler Alleingang hätte wahrscheinlich keinen Bestand vor dem Europäischen Gerichtshof, wie Thomas Lohninger von epicenter.works gegenüber Der Standard sagte. Die EU arbeitet mittlerweile selbst an Leitlinien für mögliche Alterskontrollen im Netz.

Eine Alterskontrolle gepaart mit einer Registrierungspflicht würde außer europarechtlichen noch viele weitere Probleme schaffen und stellt durch Abschreckung eine Gefahr für die freie Meinungsäußerung und persönliche Entwicklung dar, sei es für queere Jugendliche, Whistleblower:innen oder Demokratie-Aktivist:innen.

Sowohl die Diskussion um Registrierungspflicht als auch Messengerüberwachung steht in Österreich derzeit unter dem Eindruck des Grazer Amoklaufs. Dabei haben beide eines gemeinsam: Geändert hätten die Maßnahmen an der Tat des volljährigen und zuvor unbescholtenen, mutmaßlichen Einzeltäters wohl nichts.

Im WordPress-Plug-in AI Engine können Angreifer eine Sicherheitslücke missbrauchen, um ihre Rechte auszuweiten und so die volle Kontrolle über die Webseite zu übernehmen. Das Plug-in ist auf mehr als 100.000 WordPress-Webseiten installiert. Ein Update zum Schließen des Sicherheitslecks steht seit kurzem zur Verfügung.

Die IT-Forscher von Wordfence haben die Sicherheitslücke entdeckt. Laut der Sicherheitsmitteilung von Wordfence geht das Problem auf eine unzureichende Autorisierung zurück, die die Ausweitung der Nutzerrechte über eine Schwachstelle in MCP (Model Context Protocol) im Plug-in AI Engine ermöglicht. „Die Schwachstelle können authentifizierte Angreifer ausnutzen, die Zugriffsrechte auf Subscriber-Level oder höher haben, um vollen Zugriff auf das MCP zu erlangen und diverse Befehle wie ‚wp_update_user‘ auszuführen und so ihre Zugriffsrechte auf Administrator durch die Aktualisierung ihrer User-Role auszuweiten“, erklären die IT-Sicherheitsforscher (CVE-2025-5071 / noch kein EUVD, CVSS 8.8, Risiko „hoch„).

Ausnutzbarkeit eingeschränkt

Die Schwachstelle lasse sich dann missbrauchen, wenn die Dev-Tools und das MCP in den Einstellungen aktiviert wurden. Standardmäßig sind diese abgeschaltet.

Die seit Mittwoch der Woche verfügbare Version 2.8.4 von AI Engine dichtet das Sicherheitsleck ab. Wer das Plug-in auf WordPress-Instanzen einsetzt, sollte die Aktualisierung nicht lange aufschieben, sondern zeitnah durchführen.

Mitte Mai wurden Sicherheitslücken in dem Plug-in TheGem bekannt, die mehr als 82.000 WordPress-Seiten gefährdet haben, sodass Angreifer hätten Schadcode einschleusen können. Ein Update steht dafür zur Verfügung. Für eine Sicherheitslücke in TI WooCommerce Wishlist von Ende Mai war das zunächst nicht der Fall, auch sie ermöglichte bösartigen Akteuren das Hochladen von Schadcode. Die mit CVSS-Höchstwert 10.0 von 10 möglichen Punkten als „kritisch“ eingestufte Lücke klaffte bis in Version 2.9.2 des WordPress-Plug-ins. Inzwischen steht dort die Version 2.10.0 des Plug-ins zur Verfügung – laut Patchstack soll sie die Schwachstelle ausbessern.

(dmk)