In Episode 155 des c’t-Datenschutz-Podcasts Auslegungssache dreht sich alles um smarte Brillen – und die Frage, ob man sie bedenkenlos tragen darf. c’t-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben sich gleich zwei Gäste eingeladen: Datenschutzanwalt Thomas Schwenke, der vor zehn Jahren über Smart Glasses promoviert hat, und c’t-Redakteur Nico Jurran, der selbst eine Ray-Ban Meta besitzt und sie im Alltag nutzt.

Jurran stellt die Technik vor: Die Meta-Brille sieht aus wie eine gewöhnliche Ray-Ban Wayfarer, hat aber eine Kamera, Mikrofone, Lautsprecher und einen Akku in den etwas breiteren Bügeln versteckt. Per Sprachbefehl oder Knopfdruck macht sie Fotos und Videos, übersetzt Sprachen in Echtzeit, liest Nachrichten vor und erkennt Objekte. Über Bluetooth ist sie permanent mit dem Smartphone verbunden, ein Meta-Account ist Pflicht. Von außen erkennt man die smarte Brille kaum – und genau das macht sie aus Datenschutzsicht so problematisch.

Besitz verboten?

Schwenke bringt zunächst eine fundamentale Frage auf den Tisch: Darf man die Brille überhaupt besitzen? Das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) verbietet Aufnahmegeräte, die als Alltagsgegenstände getarnt sind und heimliche Aufnahmen ermöglichen. Zwar blinkt beim Fotografieren eine kleine LED am Rahmen, doch Bleich bestätigt aus eigener Erfahrung, dass er dieses Signal bei Tageslicht nicht wahrgenommen hat. Schwenke verschärft das Argument: Für wenige Euro gibt es bei Amazon Abdeckkappen, die das Warnsignal unsichtbar machen, ohne die Kamerafunktion zu blockieren. Wer eine solche Kappe anbringt, könnte sich als Hersteller einer verbotenen Telekommunikationsanlage strafbar machen, spekuliert Schwenke.

Auch die DSGVO stellt die Brillenträger vor massive Probleme. Eine Rechtsgrundlage für heimliche Aufnahmen fremder Personen sieht Schwenke praktisch nicht. Berechtigte Interessen scheitern regelmäßig an den überwiegenden Schutzinteressen der Gefilmten. Eine Einwilligung ist im Alltag nicht einholbar – schon gar nicht bei Kindern, deren Erziehungsberechtigte man erst finden müsste. Die sogenannte Haushaltsausnahme für rein private Datenverarbeitung greift nach Einschätzung der Diskutanten ebenfalls nicht, sobald die Aufnahmen in die Meta-Cloud wandern, von Subunternehmern gesichtet und für KI-Training verwendet werden. Schwenke sieht hier sogar eine gemeinsame Verantwortlichkeit von Brillenträger und Meta -– mit der Folge, dass Nutzer für Datenschutzverstöße des Konzerns mithaften könnten.

Strafrechtliche Konsequenzen

Weitere Rechtsprobleme türmen sich auf: Das Recht am eigenen Bild schützt vor heimlichen Aufnahmen. Strafrechtlich drohen Konsequenzen bei Aufnahmen in geschützten Lebensbereichen wie Umkleidekabinen, beim Mitschneiden nicht öffentlich gesprochener Worte oder bei der Verbreitung intimer Aufnahmen. Schwenke warnt zudem vor einem gesellschaftlichen Überwachungseffekt: Wenn jeder eine solche Brille tragen könnte, veränderten Menschen ihr Verhalten aus Angst vor permanenter Beobachtung.

Trotz aller Bedenken sprechen sich alle Beteiligten gegen ein generelles Verbot aus. Bleich verweist darauf, dass Smartphones mit ihren Kameras ähnliche Probleme aufwerfen, ohne dass jemand ein Verbot fordere. Jurran betont die positiven Anwendungsszenarien, etwa für Sehbehinderte. Schwenke plädiert für stärkere technische Schutzmaßnahmen wie automatische Anonymisierung oder deutlich wahrnehmbare Aufnahmegeräusche. Am Ende bleibt die Erkenntnis, dass die Technik der Regulierung wieder einmal weit voraus ist -– und die Faszination selbst bei den Warnern überwiegt.

Episode 155:

Hier geht es zu allen bisherigen Folgen:

(hob)

Strafverfolgungsbehörden aus den USA, Kanada und Deutschland haben in einer gemeinsamen Aktion die Infrastruktur von vier großen Botnets „gestört“, die für massive DDoS-Attacken genutzt wurden. Das hat die Staatsanwaltschaft von Alaska publik gemacht. Demnach waren an der Aktion unter anderem das Bundeskriminalamt BKA und die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) beteiligt. Vorgegangen sind die Behörden demnach gegen Internet-Domains, virtuelle Server und andere Infrastruktur, die für die Angriffe genutzt worden sein sollen. Von festgenommenen Personen ist in der Mitteilung keine Rede und die Strafverfolger behaupten nicht, dass die Botnets zerschlagen wurden.

Angriffe gegen Geld

Bei den betroffenen Botnets handelt es sich demnach um Aisuru, KimWolf, JackSkid und Mossad. Zusammen sollen die zuletzt mehr als drei Millionen IT-Geräte in aller Welt gekapert haben, hunderttausende davon in den USA. Es handelt sich demnach um verschiedene IoT-Anlagen, darunter Videorekorder, Internetkameras und Router. Teilweise soll es sich auch um Geräte gehandelt haben, die durch eine Firewall eigentlich vom Internet abgeschirmt sein sollen. Der Zugriff auf die Geräte wurde dann im bekannten Modell „Cybercrime as a Service“ vermietet. Für Geld konnte man sie also auf Netze der Opfer loslassen, die sie mit zahllosen gleichzeitigen Anfragen in die Knie gezwungen haben. Typischerweise wird dann Geld dafür verlangt, dass die Angriffe aufhören.

Laut der Staatsanwaltschaft von Alaska haben einige der Angriffe Rekordzugriffsraten von 30 Terabits pro Sekunde erreicht, vor allem Aisuru wurde für viele Attacken genutzt. Mit großem Abstand folgten JackSkid und KimWolf, Mossad war demnach deutlich seltener im Einsatz. Von den deutschen Behörden gibt es bislang keine Stellungnahmen zu dem Einsatz. Der IT-Sicherheitsforscher Brian Krebs hat aber nach eigener Aussage ermittelt, dass das KimWolf-Botnet hauptsächlich von einem 22-jährigen Kanadier betrieben wurde. Bei den Ermittlungen habe sich dann herausgestellt, dass ein zweiter Hauptverdächtiger 15 Jahre alt sei und in Deutschland lebt. Ob die Behörden diese Einschätzung teilen und gegen die beiden vorgegangen sind, ist bislang nicht bekannt.

(mho)

Oracle hat ein Notfall-Update abseits des sonst üblichen vierteljährlichen Critical-Patch-Update (CPU) genannten Patchdays veröffentlicht. Es schließt eine Sicherheitslücke in Oracle Identity Manager und Web Services Manager, die Angreifern aus dem Netz ohne vorherige Anmeldung das vollständige Kompromittieren verwundbarer Instanzen ermöglicht.

Die CVE-Schwachstellenbeschreibung präzisiert, dass beide betroffenen Produkte Teile der Oracle Fusion Middleware sind. Im Identity Manager ist ein API-Endpunkt „REST WebServices“ anfällig, im Web Services Manager hingegen die Komponente Web Services Security. Die Schwachstelle sei einfach zu missbrauchen, durch bösartige Akteure mit HTTP-Zugriff, schreibt Oracle dort. Damit können sie Oracle Identity Manager und Web Services Manager übernehmen (CVE-2026-21992, CVSS 9.8, Risiko „kritisch“).

In der Sicherheitsmitteilung schreibt Oracle, dass die Lücke sich ohne Authentifizierung aus der Ferne missbrauchen lässt und dann in der Ausführung von eingeschleustem Schadcode münden kann. Betroffen sind Oracle Identity Manager und Oracle Web Services Manager jeweils in den Versionen 12.2.1.4.0 und 14.1.2.1.0. Die Informationen zur Patch-Verfügbarkeit sind hinter einem Login versteckt, sie sind somit nicht öffentlich zugänglich.

Jetzt aktualisieren

Wenn Oracle Updates abseits der gewohnten Patchdays veröffentlicht, deutet das darauf hin, dass es sich um wirklich zügig zu stopfende Sicherheitslücken handelt. Das Unternehmen schreibt dazu auch: „Oracle empfiehlt seinen Kunden dringend, die in diesem Sicherheitshinweis bereitgestellten Updates oder Abhilfemaßnahmen so schnell wie möglich zu installieren.“ Immerhin wird die Lücke noch nicht in freier Wildbahn angegriffen, davon schreibt der Hersteller zumindest nichts.

IT-Verantwortliche sollten die Schwachstelle nicht auf die leichte Schulter nehmen. Im vergangenen Herbst wurde eine Sicherheitslücke in Oracles E-Business-Suite bekannt, die die Cybergang Cl0p in einer Angriffswelle missbraucht hat. Daten von hunderten Unternehmen waren davon betroffen. Die Kriminellen haben die Unternehmen unter Androhung der Veröffentlichung der Daten um Lösegeld erpresst.

(dmk)