Er wartet in deinem Portemonnaie auf seinen Einsatz. Schon jahrelang ist er unterwegs und meldet seinen Standort, wann immer er gescannt wird – was ziemlich oft passiert. Er kann deine Interessen und Bedürfnisse nachvollziehbar machen, persönliche Verbindungen und Geschäftsbeziehungen aufzeigen.

Er ist ein Geldschein, ein bedruckter Streifen aus Baumwollfasern mit zwei Buchstaben und einer zehnstelligen Zahlenkette in der oberen rechten Ecke auf seiner Rückseite – seiner einmaligen Seriennummer. Ein beispielhafter Zwanziger vielleicht. Er wird im Laufe seines Lebens an unzähligen Positionen registriert. Er durchläuft etwa Automaten für Fahrkarten, Parkscheine, Snacks, Kaffee, Zigaretten, Fotos oder Glücksspiel, und immer wieder Geräte, die Geld zählen, prüfen und sortieren. Maschinen mit modernen Banknoten-Verarbeitungs-Modulen können Seriennummern tracken.

Selbst wenn ein Mensch die Banknote einkassiert, ist sie nicht vor automatisierter Seriennummern-Erkennung geschützt. Denn die Einnahmen der meisten Geschäfte werden täglich von Geldtransportunternehmen abgeholt. Und die jagen das Geld in ihren Cash-Centern durch Banknotenprüf- und -sortiermaschinen, die auch Seriennummern auslesen können.

Der umfassende Einsatz von automatisierter Seriennummernerkennung bietet die technische Infrastruktur für eine detailreiche Nachverfolgung der Reise von Geldscheinen. Und es gibt zunehmend Bestrebungen, die anfallenden Daten zu speichern und zusammenzuführen. Bargeld wird so zum Überwachungsinstrument.

Strafverfolgungsbehörden nutzen die Seriennummern-Nachverfolgung bereits für Ermittlungen. Die Industrie möchte damit die Bargeldlogistik optimieren. Und auch neugierige Menschen tracken Bargeld als Freizeit-Beschäftigung. „Weil es Spaß macht!“, heißt es auf einer Website für leidenschaftliche Euro-Banknoten-Tracker*innen.

Dabei gibt es eine Menge Zahlungen, die einige Menschen lieber anonym abwickeln: Ausgaben für gesundheitliche Probleme oder sexuelle Spielarten beispielsweise, aber auch Spenden an politische Organisationen. Wenn der Schein, den ein hoher Beamter heute abgehoben hat, morgen in einer Arbeitsstätte für Sexarbeiter*innen auftaucht, kann ihn das erpressbar machen. Wenn ein ungeouteter Mensch mit einem getrackten Geldschein eine queere NGO unterstützt, kann das mancherorts seine Existenz bedrohen.

Bargeld ist populär – auch wegen des Datenschutzes

Über 80 Prozent der Deutschen sehen im Datenschutz ein Argument für Bargeldzahlungen. Mehr als zwei Drittel finden, dass Bargeld eine hohe Bedeutung für die Gesellschaft hat. Laut der aktuellsten Erhebung wurden 2023 immer noch über die Hälfte aller Bezahlvorgänge mit Bargeld abgewickelt. 395 Milliarden Euro bunkern die Menschen in Deutschland in bar.

Datenschützer*innen warnen vor einer neuen Form der Massenüberwachung und dem immensen Grundrechtseingriff, den Bargeld-Tracking potenziell bedeutet. Die Bundesbank verweist darauf, dass der Schutz der Privatsphäre für viele Menschen ein wichtiger Vorteil des Bargelds sei. Menschen in Deutschland hätten ein Recht auf informationelle Selbstbestimmung. Dabei verfolgt die deutsche Zentralbank selbst zu gewissen Gelegenheiten den Weg bestimmter Banknoten. „Es ist davon auszugehen, dass sich das Seriennummernlesen dauerhaft und irreversibel etablieren wird“, schreibt sie in einem internen Dokument von 2021, das netzpolitik.org per Informationsfreiheitsanfrage veröffentlicht hat.

Wer in die Welt des Bargeld-Trackings eintaucht, nimmt Geld anders wahr. Die Scheine erzählen dann nämlich Geschichten. In diesem Artikel erkunden wir, wie Bargeldindustrie, Strafverfolgungsbehörden und Zentralbanken weltweit an der Nachverfolgung von Bargeld arbeiten. Wir schauen uns an, wie deutsche Polizeien und Staatsanwaltschaften Bargeld-Tracking nutzen. Und wir lernen ein ziemlich unbekanntes Start-up kennen, das Seriennummern an einem zentralen Knoten des Bargeldkreislaufs sammelt und Einblicke in die Datenbank an Ermittlungsbehörden verkauft.

„Eine vielversprechende Technologie“

Die nötige Technik, um den Weg einer Banknote nachzuverfolgen zu können, existiert bereits und wird in zahlreichen Ländern eingesetzt. Der Lobbyverband der Zentralbanken und Unternehmen der Bargeldindustrie, die International Association of Currency Affairs (IACA), hält das Bargeld-Tracking, im Fachsprech „Cycle-Cash Visibility and Collaboration“ genannt, für eine vielversprechende Technologie. Sie soll Bargeld effizienter handhabbar machen.

Wo die Branche die Zukunft sieht, zeigt die Auszeichnung für besonders fortschrittliche Lösungen der Bargeldnachverfolgung, die IACA Ende Mai vergeben hat. Gewonnen hat sie der japanische Konzern Glory Ltd mit einer Reihe von Projekten in Europa, bei denen Banken und Geldtransportunternehmen Seriennummern erfassen und automatisch nach Nummern gesucht wird, die in kriminelle Handlungen verwickelt waren.

Die Firma entwickelte auch Kibango, eine Software für Analyse und Management von Seriennummern. Darin lassen sich Seriennummern-Suchlisten importieren. Jede Banknote, die von einem Geldautomaten abgehoben werde, könne damit nachverfolgt werden, so Werbematerial der Firma. Derartige Software löst, wenn unser Beispiel-Zwanziger auf einer Suchliste verzeichnet ist, einen Alarm aus, sobald er irgendwo gescannt wird.

Diese Staaten tracken Bargeld bereits sehr genau

In China müssen Geldautomaten die Seriennummer jeder Banknote, die sie auszahlen, einem Konto zuordnen. So ist bei jedem Schein klar, wer ihn in Umlauf gebracht hat. Einige Geräte erfassen sogar biometrische Daten der abhebenden Person.

In Südafrika betreibt die Zentralbank eine Echtzeit-Nachverfolgung von Bargeldbewegungen, so Pearl Kgalegi, Chefin des dortigen Währungsmanagements, auf einer IACA-Tagung. Informationen aus Geldautomaten würden in einer zentralen Datenbank gesammelt und mit Sicherheitsbehörden geteilt. Seit dies geschehe, gäbe es mehr Verhaftungen, zum Beispiel nach Bankautomatensprengungen.

Die kanadische Zentralbank führt eine Datenbank mit Daten zu allen in Umlauf befindlichen kanadischen Banknoten, um Abnutzungserscheinungen zu erfassen. Die Bank of Israel hat ebenfalls eine Banknoten-Datenbank.

In den USA betreibt ein Zusammenschluss von 10.800 US-Strafverfolgungsbehörden, Regional Information Sharing Systems (RISS) genannt, ein Netzwerk von Geldzählmaschinen und eine Datenbank, in der die erfassten Geldscheine mit Fotos und Seriennummern gespeichert werden. Ermittler*innen teilnehmender Behörden können diese Datenbank durchsuchen. In Hawaii sei damit ein Drogengroßhändler gefasst worden, nachdem man Geld verfolgt hatte, das bei einem Kunden beschlagnahmt, registriert und wieder ausgehändigt worden sei, so eine RISS-Broschüre.

Auch deutsche Sicherheitsbehörden verwenden registrierte Geldscheine aktuell als Ermittlungsinstrument. Und gerade gibt es Bestrebungen, deren Bargeld-Tracking auf ein ganz neues Level zu heben.

Diese Straftaten verfolgt die deutsche Polizei mit Bargeld-Tracking

Die deutsche Polizei nutzt spätestens seit den 70er Jahren Seriennummern von Geldscheinen zur Nachverfolgung von Bargeldströmen. Das kann zum Beispiel so aussehen: Ein Mensch wird entführt, die Entführer*innen stellen eine Lösegeldforderung. Doch bevor das Geld im Koffer übergeben wird, erfassen Polizist*innen die Seriennummern der zu übergebenden Scheine in einer Polizeidatenbank. In dieser Datenbank vermerken sie auch Seriennummern von Banknoten, die bei Bankautomatensprengungen oder Überfällen auf Geldtransporter erbeutet wurden. Wenn dann beispielsweise an einem Grenzübergang oder bei einer Hausdurchsuchung größere Mengen Bargeld auffallen, prüft die Polizei oder der Zoll, ob gesuchte Scheine dabei sind. So können sie, je nachdem, wo das Geld wieder auftaucht, Rückschlüsse auf die Täter*innen ziehen.

Die Seriennummern werden in der Polizeidatenbank auch mit Personen verknüpft. „Im Polizeilichen Informationsverbund ist die Verknüpfung verschiedener Informationskategorien möglich, unter anderem auch personenbezogener Daten“, schreibt die Polizei Bremen. Parallel zur Speicherung in der nationalen Datenbank erfolge auch eine Fahndungsspeicherung im Schengener Informationssystem, in dem sich Banknoten-Seriennummern auch europaweit suchen lassen.

Das heißt: Da draußen zirkulieren Polizei-bekannte Geldscheine. Und es kann sein, dass du einen davon in deinem Portemonnaie hast.

Die Ermittler*innen scheinen nicht gerne über dieses Werkzeug zu sprechen. BKA und Landespolizeien verweisen auf ermittlungstaktische Gründe, aus denen sie keine Angaben machen dürften. Die Polizei Hamburg wehrte Ende Mai sogar eine entsprechende parlamentarische Anfrage der Linken-Abgeordneten Nathalie Meyer ab. Doch aus dem wenigen, das die Polizeibehörden dann doch geantwortet haben, lässt sich ablesen, dass und wie Banknoten-Seriennummern für Ermittlungen verwendet werden.

Die Polizei Thüringen schreibt: „Bei der Verfolgung von Geldwäsche kann die Kenntnis der Seriennummern helfen, illegale Geldflüsse nachzuvollziehen und die beteiligten Personen oder Organisationen zu identifizieren.“ Die Polizei Bayern nennt als Einsatzbeispiel die Terrorismusfinanzierung, wo Bargeld-Tracking „Bargeldströme oder deren Herkunft“ aufklären könne. Die Polizeien weiterer Bundesländer bestätigen, dass Seriennummern von Banknoten für Ermittlungen in verschiedenen Kriminalitätsbereichen erfasst und gesucht werden.

Bislang müssen die Behörden darauf hoffen, dass die gesuchten Geldscheine irgendwann mal bei einer Polizei- oder Zollkontrolle auftauchen. Die Chance ist relativ klein. Wohl auch deshalb fragen Ermittler*innen regelmäßig bei der Bundesbank an, ob dieser ein bestimmter Geldschein begegnet ist. Das geht aus einer internen Studie von 2020 hervor, die netzpolitik.org per Informationsfreiheitsanfrage öffentlich gemacht hat. Die Bundesbank testete damals, ob sie umfassend Seriennummern verarbeiten könne, auch um den Ermittler*innen entgegen zu kommen. Sie entschied sich letztlich dagegen. Doch die Ermittler*innen können inzwischen in einer anderen Datenbank nach den Scheinen suchen lassen. Eventuell bekommen sie sogar Anschluss an eine Art Echtzeiterfassung des deutschen Bargeldkreislaufs.

“Wir lauschen quasi dem Bargeld“

Gerrit Stehle, Geschäftsführer der Elephant & Castle IP GmbH, will das behördliche Bargeld-Tracking in Deutschland auf eine neue Ebene heben. Stehle bietet einen beständigen, automatisierten Massenabgleich mit zirkulierenden Banknoten-Seriennummern. Eine Schnittstelle in den Maschinenraum der Bargeldinfrastruktur.

Sein Unternehmen bekommt Banknoten-Seriennummern mit Ort und Zeit der Erfassung von einem der Geldtransportunternehmen, die in Deutschland operieren. Die Geldtransporter sind zentrale Punkte im Bargeldkreislauf – hier kommen die meisten Scheine regelmäßig vorbei. Gerrit Stehle recherchiert für Sicherheitsbehörden als Gutachter in dieser Datenbank. Die Seriennummern der Scheine, deren Geschichten er für Behörden nachspürt, speichert Stehle ebenfalls in seinem System. Seine Firma arbeite bereits mit mehreren deutschen Staatsanwaltschaften zusammen und auch mit Sicherheitsbehörden aus anderen Ländern, sagt er.

„Unsere Technologie ermöglicht es, auf Knopfdruck die Historie von Banknoten nachzuvollziehen“, sagt Stehle. Es ließe sich etwa herausfinden, welche Scheine wie oft im Umlauf waren, welche verschwunden sind oder welche das Land verlassen haben. „Wir nutzen die Datenanalyse, um ein tiefes Verständnis für die Bewegungen von Bargeld zu entwickeln und Zahlungsströme zu identifizieren, die potenziell verdächtige Muster aufweisen. Wir ,lauschen’ quasi dem Bargeld“, sagt er. Seit sieben Jahren arbeite er an dem Projekt, inzwischen seien 15 Menschen daran beteiligt.

Diese Geräte tracken deine Geldscheine

Die Cybercrime-Staatsanwaltschaft von Nordrhein-Westfalen (ZAC NRW) hat das System getestet und es in einer Online-Schulung Fachdezernenten von Staatsanwaltschaften aus den Bereichen Organisierte Kriminalität, Betrug und Korruption vorgestellt. Die ZAC NRW verleiht auch eine Geldzählmaschine, die Seriennummern liest und bietet Hilfe bei der Datenerfassung an. ZAC-NRW-Leiter Markus Hartmann sagt, die Datenbank sei ein „Instrument, das in einer überschaubaren Anzahl von Fällen genutzt wurde“.

Stehle und sein Partnerunternehmen setzen bei der Seriennummernerfassung auf ein bestimmtes Geldzählgerät des Herstellers Glory Ltd aus Japan, das sei am zuverlässigsten. Die gewonnenen Informationen teilt Stehle in Form von Gutachten mit Ermittlungsbehörden. Die könnten die Daten dann mit den Aussagen von Beschuldigten abgleichen und Ungereimtheiten aufdecken oder Einlassungen bestätigen. „Ein Beispiel aus der Praxis: In einem Fall behauptete eine Person, das Geld stamme frisch von der Bank, doch durch unsere Analyse konnten wir nachweisen, dass das Bargeld schon wesentlich älter war“, sagt Stehle.

Behörden sollen direkte Schnittstelle bekommen

Am liebsten möchte Stehle noch weitere Kontrollpunkte an sein Bargeldüberwachungsnetz anschließen. „Geldzählgeräte sind bereits weit verbreitet, etwa im Backoffice von Supermärkten, was ein erhebliches Potenzial bietet. Wenn Seriennummern von Banknoten systematisch erfasst würden, könnten Überfälle auf ältere Bevölkerungsschichten, Geldtransporter, Bankautomaten oder Einzelhandelsgeschäfte deutlich an Attraktivität verlieren.“

Dabei sieht Stehle durchaus die Gefahr. Die Möglichkeit, anonyme Transaktionen durchzuführen, „stellt eine fundamentale Säule der Freiheit dar“, sagt er. Aber er sehe eben auch die Schattenseite: Bargeld könne missbraucht werden, um illegale Aktivitäten zu unterstützen.

Stehles Ziel ist, sein System Ermittler*innen über entgeltpflichtige Softwarelizenzen direkt zugänglich zu machen. Ohne Umweg über den Gutachter. „Über eine benutzerfreundliche Schnittstelle könnten sie sich dann an das System 24/7 anbinden und die entsprechenden Auswertungen eigenständig durchführen“, sagt Stehle.

Das Werttransportunternehmen, von dem die Daten stammen, erhält dafür kein Geld. „Das Unternehmen hat den Vorteil, dass Kosten sinken können, weil es tendenziell weniger Angriffe gibt und dass es Einzelhändlern und Banken die Nutzung dieser neuen Technologie anbieten kann“, sagt Stehle. Welches der Unternehmen mit ihm zusammenarbeitet, will er nicht verraten.

Die erhobenen Daten lägen, mit Kopien an mehreren Orten, in einer Cloud, die in einer Kooperation mit Google und Telekom entwickelt wurde, sagt Stehle. Dort seien sie auch geschützt vor dem unbefugten Zugriff durch US-amerikanische Sicherheitsbehörden.

Wie sensibel sind die Daten?

Datenschutzrechtlich sieht Stehle keine Probleme. „Es handelt sich hierbei um Sachdaten, die nicht dem Datenschutz unterliegen. Wir erheben keinerlei personenbezogene Daten der Bürgerinnen und Bürger“, sagt er. Die DSGVO schützt nur personenbezogene Daten – also solche, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Jede Menge andere Daten fallen nicht darunter, zum Beispiel Wetteraufzeichnungen. Aber haben Daten über Bargeldströme wirklich so wenig mit einzelnen Personen zu tun wie etwa die Windstärke?

Luke Hoß, Bundestagsabgeordneter der Linken, sieht im Bargeld-Tracking durchaus eine Bedrohung der Privatsphäre: „Eine umfassende Nachverfolgung von Bargeld-Seriennummern würde tiefgreifende Einblicke in das Privatleben von Menschen ermöglichen. Nicht nur der Gang zum Bäcker, auch die Fahrt zu einer Klinik für Schwangerschaftsabbrüche wäre nachvollziehbar.“ Das Recht auf Privatsphäre dürfe nicht unter Verweis auf Sicherheitsaspekte weiter eingeschränkt werden. „Bei einer Machtübernahme autoritärer Parteien wie der AfD besteht die Gefahr, dass die hierbei erfassten Vorgänge zu Verfolgung führen, auch wenn sie nach aktueller Rechtslage legal sind“, sagt er.

Obwohl Gerrit Stehle von „Sachdaten“ spricht, zeigt er dennoch Verständnis dafür, dass die Daten nicht ganz harmlos sind. „Sie besitzen eine gewisse Potenz, solche Informationen sollten nicht in privaten Händen liegen“, sagt er. Deshalb biete er seine Dienste nur staatlichen Stellen an. Zum Teil gäbe es schon Schnittstellen zwischen polizeilichen Fallbearbeitungstools und seinem System. „Deren Tools laden unsere Daten in ihre Tools hoch“, sagt er.

Welche Zukunft Stehle sich vorstellen kann, zeigt ein internationales Patent, das er 2018 angemeldet hat. Er nennt es den „Nukleus des Projekts“. Stehle beschreibt darin einen Automaten, der Bargeld annimmt und mittels der Seriennummern auf den Scheinen erkennt, ob dieses Geld gestohlen gemeldet oder im Rahmen einer Lösegelderpressung übergeben wurde. Bei entsprechenden Funden soll er automatisch Polizei oder Sicherheitsdienste benachrichtigen können. Und an Tankstellen könnten, so Stehles Patentschrift, Einzahlungsautomaten bei einem Fund von gesuchtem Geld automatisch die Speicherung der passenden Videobilder initiieren.

Zoll-Gewerkschaftschef fordert umfassendes Bargeld-Tracking

Frank Buckenhofer, Vorsitzender der Gewerkschaft der Polizei im Zoll, ist ein engagierter Fürsprecher der Technologie zum Bargeld-Tracking. „Banken und auch Geldkurierdienste erfassen die Nummern der Geldscheine und deren zeitlich-örtliche Zuordnung. Hilfreich wäre, wenn diese Daten zusammengeführt und den Polizei- und Zollbehörden verfügbar gemacht würden“, sagt er. Die Daten ergäben ein relativ dichtes Netz von wichtigen Informationen über Weg und Herkunft des Bargeldes. „Und weil die bloßen Nummern keine personenbezogenen Daten sind, spielt auch der Datenschutz keine Rolle“, behauptet er. Die Datenschutzbeauftragte von Schleswig-Holstein sieht das anders – dazu gleich mehr.

Wenn von Polizei- und Zollbehörden größere Mengen Bargeld aufgefunden würden, so Buckenhofers Hoffnung, könnten mit Hilfe registrierter Seriennummern Widersprüche in den Aussagen ermittelt werden. „Wird zum Beispiel jemand an der Grenze mit einer Million Euro Bargeld oder mehr aufgegriffen, was immer wieder vorkommt, kann er den Beamten jede Geschichte erzählen. Zum Beispiel die, dass es ,Erspartes von der Oma‘ sei“, sagt Buckenhofer. Wenn dann aber mit einer Geldzählmaschine Scheine identifiziert würden, die in den letzten 48 Stunden noch in vielen verschiedenen Geldautomaten, an Tankstellen oder Supermärkten waren, dann breche die Geschichte des Geldkuriers zusammen. „Wir brauchen also dringend diese Daten, sonst können uns die Leute die Hucke vollügen.“

Mit der Technologie lasse sich auch ehemaliges Lösegeld und Geld aus geknackten Geldautomaten aufspüren. So kann beispielsweise die Suche nach Verdächtigen in Regionen intensiviert werden, in denen gesuchte Geldscheine auftauchen. „Die systematische Erfassung der Geldscheine in einer Datenbank ermöglicht eine ganze Reihe von Nutzungen für die kriminalistische Arbeit von Zoll und Polizei“, sagt Buckenhofer. Er hätte gerne Gesetze zum Bargeld-Tracking und eine privatwirtschaftliche Seriennummern-Datenbank, auf die Zoll- und Polizei-, Steuer- Finanz- und Geldwäscheaufsichts-Behörden online zugreifen können.

Datenschutzbeauftragte in Sorge

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht umfassendes Bargeld-Tracking kritisch. Sie sagt: „Wenn Seriennummern mit Zeit und Ort der Erfassung gespeichert und diese Daten immer granularer gesammelt werden, verliert man die Anonymität des Bargelds.“ Auch wenn die Erfassung jeweils berechtigte Interessen verfolge, könne sie problematisch sein. „In der Gesamtschau entsteht das Risiko, dass die einzelnen Daten einen Personenbezug ergeben. Ab einer gewissen Schwelle könnten beispielsweise Standortdaten von Personen abgeleitet werden. Ebenso ließe sich dann ablesen, wer sich wofür interessiert“, sagt sie.

Durch umfassendes Bargeld-Tracking entstünden nicht nur Risiken für Individuen, sondern auch für Geschäftsgeheimnisse und womöglich gar für die innere Sicherheit, sagt Hansen. So könnten damit beispielsweise geheimdienstlich verwertbare Informationen über sicherheitsrelevante Personen gewonnen werden.

Hansen vergleicht die Seriennummern mit den Drucker-IDs, sogenannten Yellow Dots, die in Farbausdrucken enthalten sind. „Das sind auch erstmal nur technische Daten und dennoch lassen sie sich beispielsweise dazu nutzen, Whistleblower zu identifizieren.“

Hansen hält es für wichtig, dass Menschen eine wirklich anonyme Zahlungsmöglichkeit zur Verfügung steht. Denn aus den Zahlungsspuren ließen sich persönliche oder gar intime Details ablesen: mehr oder weniger gesunde Ernährung, Süchte, Liebschaften. „Das sind Informationen, die andere nichts angehen. Hier haben Menschen das legitime Interesse, keine Spuren zu hinterlassen“, sagt sie.

In einem weiteren Teil dieser Recherche verfolgen wir das Leben einer Banknote vom Druck bis zum Schredder und sehen, wo überall bereits Seriennummern erfasst werden. Die Rundreise im Bargeldkreislauf zeigt eindrücklich, wie die drohende Vernetzung der Datenpunkte das Bargeld deanonymisieren würde.

Eine Reihe moderner x86-Prozessoren der aktuellen und letzten Generationen weist neue Sicherheitslücken auf, durch die Angreifer sensible Informationen abgreifen könnten. Da diese vier entweder als wenig oder mittelmäßig gefährlich eingestuften Schwachstellen von Microsoft präventiv gefunden wurden, wurden sie bislang offenbar nicht ausgenutzt. AMD hat die betroffenen CPU-Modelle der Athlon-, Ryzen- und Epyc-Serien genannt, aber ob Intel-Prozessoren betroffen sind, ist noch offen.

Bereits letzten Monat hat AMD Updates gegen Sicherheitslecks in Krypto-Coprozessor und TPM der eigenen Prozessoren und Plattformen veröffentlicht, doch dabei handelt es sich um hochriskante Sicherheitslücken. Die jetzt gefundenen „Transient Scheduler Attacks“ (TSA) stuft AMD dagegen als lediglich mittelmäßig gefährlich ein (CVE-2024-36350 und CVE-2024-36357). Durch sogenannte Seitenkanalangriffe könnten Daten aus nicht für das eigentliche Programm reservierten Speicherstellen oder aus dem L1D-Cache abgegriffen werden, was zum Abfluss sensibler Informationen führen könnte.

Patches nur für mittel gefährliche Lecks

Den beiden weiteren Lücken (CVE-2024-36348 und CVE-2024-36349) gibt AMD einen niedrigeren Schweregrad, auch wenn diese ebenfalls zu unberechtigtem Datenabfluss führen könnten. Doch in diesen Fällen müssten Prozesse spekulativ ins Kontrollregister eingreifen oder einen bestimmten Befehl zum Auslesen von Informationen ausführen, obwohl dieses eigentlich unterbunden wurde. In diesen zwei Fällen verzichtet AMD auf Patches, denn laut Hersteller sind dabei keine sensiblen Informationen betroffen. Für die beiden zuvor genannten Schwachstellen gibt es hingegen neue Firmware-Versionen, die AMD seinen Partnern für entsprechende BIOS-Updates zur Verfügung gestellt hat.

Sollten darüber hinaus Betriebssystem-Updates notwendig sein, verweist AMD auf die entsprechenden Anbieter. Die Linux-Community hat bereits reagiert und einen Kernel-Patch gegen TSA freigegeben, schreibt Phoronix. Dabei wurden die Sicherheitslücken von Microsoft gefunden. Der Software-Konzern hat ein Programm entwickelt, um x86-Prozessoren auf Lecks in der Mikroarchitektur zu untersuchen. Dabei wurden diese vier neuen Lecks entdeckt. Mit diesem Tool will Microsoft präventive Sicherheitsprüfungen in CPU-Designs bieten, statt wie oftmals mit Patches auf Lücken reagieren zu müssen.

AMD-CPUs mit Zen 3 und 4 gefährdet

Bei den von den beiden als mittel gefährlich eingestuften Sicherheitslücken betroffenen AMD-Prozessoren handelt es sich überwiegend um Modelle mit den Architekturen Zen 3 und 4. Allerdings sind nicht alle CPUs dieser Mikroarchitekturen berührt. So sind laut AMD nur Epyc-Prozessoren der dritten (Milan) und vierten Generation (Genoa, Bergamo und Siena) betroffen, mit Ausnahme der Epyc Gen.4 mit dem Codenamen Raphael. Die beiden vorherigen Epyc-Generationen (Naples und Rome) haben diese Schwachstellen nicht, schreibt AMD.

Ähnlich sieht es bei den Desktop- und Mobilprozessoren aus. CPUs der Serien Ryzen 3000, Athlon 3000 und Ryzen 4000 sind von diesen beiden Lücken nicht betroffen, für Ryzen 5000, 6000, 7000 und 8000 gibt es Firmware-Updates. Bei den High-End-Desktop- und Workstation-CPUs von AMD ist nur die Ryzen Threadripper Pro 7000 WX-Serie betroffen (Codename: Storm Peak). Die Ryzen Threadripper 3000, Pro 3000WX und Pro 5000WX Prozessoren spricht AMD von diesen Schwachstellen frei.

Intel hat sich bislang nicht zu diesen Sicherheitslücken geäußert, sodass unklar ist, ob auch Core- und Xeon-Prozessoren davon betroffen sein könnten. Die jüngste Liste von Sicherheitsinformationen zu Intel-Produkten enthält keinerlei Angaben zu diesen TSA-Schwachstellen.

(fds)

Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.

Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.

Die Angriffswelle

Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.

Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.

Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.

Die Anklage

Die Tätergruppe wurde in IT-Sicherheitskreisen als Hafnium bekannt. Bereits 2021 machten die USA, die Europäische Union und andere damals verbündete die Volksrepublik China als Drahtzieher aus. Peking stellte die Vorwürfe in Abrede.

Juristisch enthält die Anklage neun Anklagepunkte. Vorgeworfen werden absichtliche Beschädigung geschützter Computer, Erlangung von Information durch nicht autorisierten Zugriff auf geschützte Computer, schwere Identitätsanmaßung, Betrug unter Verwendung von Telekommunikation, sowie jeweils Verschwörung dazu. Verschwörungen sind leichter nachzuweisen, weil es dabei nicht darauf ankommt, welches Mitglied einer Tätergruppe tatsächlich welchen Aspekt des Tatbildes verwirklicht oder zu verantworten hat. Entscheidend ist lediglich die rechtswidrige Mitwirkung.

Das Verfahren ist am US-Bundesbezirksgericht für das südliche Texas unter dem Az. 4:23-cr-00523 anhängig.

(ds)