Little Snitch, bislang vor allem als macOS-Firewall bekannt, kommt für Linux. Die Software überwacht ausgehende Netzwerkverbindungen auf Anwendungsebene und zeigt Nutzern, welche Prozesse wohin kommunizieren. Bei Bedarf lassen sich Verbindungen gezielt blockieren – allerdings mit technischen Grenzen.

Die Software arbeitet als hostbasierte Application Firewall: Statt nur Ports oder IP-Adressen zu filtern, kontrolliert Little Snitch den ausgehenden Traffic pro Prozess und erlaubt feingranulare Regeln. Bekannt ist das Tool für seine interaktiven Abfragen bei neuen Verbindungen und die grafische Aufbereitung der Netzwerkaktivität. Unter Linux trifft es auf etablierte Werkzeuge wie nftables oder ufw, die primär paket- und netzwerkzentriert arbeiten.

Regeln pro Anwendung statt pro Port

Die Linux-Version knüpft Netzwerkregeln direkt an Anwendungen. Verbindungen lassen sich nicht nur nach Zieladresse oder Port steuern, sondern nach konkretem Binary oder Prozess. So kann ein Administrator zum Beispiel curl ausschließlich den Zugriff auf eine bestimmte API-Domain gestatten und alle anderen Ziele blockieren. Die Kontrolle verschiebt sich damit von der Netzwerk- auf die Anwendungsebene.

Baut ein Prozess erstmals eine Verbindung auf, informiert Little Snitch den Nutzer und fordert eine Entscheidung ein. Das greift beispielsweise, wenn ein frisch installiertes Tool unbemerkt Telemetriedaten verschickt. Unter Linux gibt es solche interaktiven Mechanismen bisher kaum – die meisten Firewall-Lösungen setzen auf Logging und nachträgliche Regelpflege.

Ein Network Monitor zeigt aktive Verbindungen mit Zielsystemen, Protokollen und Datenvolumen an. Damit lassen sich etwa dauerhaft aktive Hintergrundverbindungen oder ungewöhnliche Kommunikationsmuster aufspüren. Das ist nützlich für Debugging und Analysen gleichermaßen.

Die Regeln lassen sich nach Protokollen und Zielen definieren – etwa, um Verbindungen auf HTTPS zu beschränken. Solche Funktionen erfordern typischerweise eine enge Verzahnung mit der DNS-Auflösung.

GUI statt Kommandozeile

Anders als viele Linux-Tools setzt Little Snitch stark auf eine grafische Oberfläche. Regeln entstehen per UI statt über nftables-Regelwerke. Das kommt vor allem Desktop-Nutzern entgegen, die mehr Transparenz wollen, ohne sich in Low-Level-Firewall-Konfiguration einzuarbeiten.

Technisch setzt die Linux-Umsetzung auf eBPF, um Netzwerkverbindungen auf Kernel-Ebene abzufangen. Das ermöglicht eine performante und portable Überwachung – anders als Kernel-Erweiterungen, die distributionsabhängig wären. Die Zuordnung von Netzwerkpaketen zu User-Space-Prozessen ist anspruchsvoll. eBPF bietet hier eine vergleichsweise flexible Möglichkeit, Socket- und Netzwerkereignisse zu überwachen.

Privacy-Tool mit Grenzen

Little Snitch hilft Nutzern zwar dabei, unerwartete Verbindungen wie für Telemetriedaten aufzuspüren. Trotzdem ist es kein Security-Tool: eBPF hat technische Grenzen, die Umgehungen ermöglichen. OpenSnitch verfolgt unter Linux ein ähnliches Konzept, Little Snitch bietet im Vergleich eine Kombination aus ausgereifter Oberfläche, Visualisierung und Regel-Engine. Die Software zielt dabei keineswegs nur auf den Desktop: Da die Bedienoberfläche als Web-Anwendung umgesetzt wurde, lässt sich Little Snitch explizit auch auf Headless-Servern einsetzen und von anderen Geräten aus fernsteuern, um etwa die Verbindungen von Diensten wie Nextcloud zu überwachen.

Aktuell läuft Little Snitch für Linux ab Linux-Kernel 6.12 – in der Praxis also auf Debian 13, Ubuntu 25.04, Mint 22, Fedora 40 oder RHEL 10 sowie auf Rolling-Release-Distros wie Arch und Manjaro, wie der Blog-Post der Entwickler erläutert. Interessierte Nutzer können das Tool auf der Webseite des Anbieters kostenlos herunterladen.

(fo)

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

Bei der am Dienstag vom britischen National Cyber Security Center (NCSC) bekannt gemachten Angriffsserie auf Router und Access Points des Herstellers TP-Link hatten Angreifer offenbar die Microsoft Cloud im Visier. Deutschland ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber nur in geringem Ausmaß betroffen. Zuvor hatten Bundesnachrichtendienst und Verfassungsschutz aktiv vor Angriffen gewarnt und Kompromittierungs-Indikatoren zur Verfügung gestellt.

Die Gruppierung APT-28, die dem russischen Militärgeheimdienst GRU zugerechnet wird, habe bei ihrem Angriff eine 2024 bekannt gewordene Zero-Day-Lücke (CVE-2023-50224) ausgenutzt, bestätigen die Sicherheitsbehörden. Ziel der Attacken, bei denen die DNS-Anfragen auf von den Angreifern kontrollierte Server geleitet wurden, soll die Übernahme von eigentlich wirksam verschlüsselten Sessions zu Microsofts Clouddiensten gewesen sein, berichtet die Firma in einer umfangreichen Stellungnahme.

Deutschland hat Glück gehabt

„Glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr geringen Betroffenenanzahl in Deutschland aus“, sagt BSI-Präsidentin Claudia Plattner auf Anfrage von heise online. Das Bundesamt für Verfassungsschutz hatte in einer ersten Einordnung die Zahl von 30 betroffenen Geräten genannt. Auf identifizierte Betroffene sind die Verfassungsschutzbehörden der Länder individuell zugegangen – was angesichts der überschaubaren Zahl möglich war.

Die meisten der betroffenen Geräte von TP-Link sind einige Jahre, teils weit über ein Jahrzehnt alt. „Auch und gerade Netzwerkgeräte wie Router können zum Einfallstor für Angriffe werden – regelmäßige Härtungsmaßnahmen, insbesondere das Schließen bekannter Sicherheitslücken, sind essentiell“, mahnt Plattner. „Wenn es Angreifern gelingt, in den Router einzudringen, können sie nicht nur das Gerät selbst, sondern potentiell auch alle angeschlossenen Geräte kompromittieren.“ In Sicherheitskreisen wird das im März von der US-Regulierungsbehörde FCC verhängte Importverbot für Router in engem Zusammenhang mit der Entdeckung der GRU-Kampagne gesehen.

Für viele der betroffenen Modelle (vollständige Liste des NCSC) gibt es jedoch längst keine Sicherheitsupdates vom Hersteller mehr. Für einige davon ist aber zumindest alternative Software aus dem OpenWRT-Projekt abrufbar. Diese Versionen sind laut OpenWRT-Aktiven im aktuellen Fall nicht kompromittiert. Stichproben von heise online haben derweil gezeigt, dass manche der betroffenen Modelle hierzulande auch weiterhin in Elektronikmärkten verkauft werden.

(mho)